[AIX Solaris HP-UX Linux Windows][IBM i]

例 1: 基本認証および ID アサーションの構成

この例は、ユーザー bob を介してサーバー S1 上のセキュアなエンタープライズ Bean にアクセスする、ピュアな Java™ クライアント C を示しています。 以下のステップでは、C、S1、および S2 の構成を行います。

このタスクについて

S1 のエンタープライズ Bean コードは、サーバー S2 上の別のエンタープライズ Bean にアクセスします。この構成では、ID アサーションを使用して、bob の ID がダウンストリーム・サーバー S2 に伝搬されます。S2 は、S1 を信頼しているため、bob が S1 によって既に認証されていることを信頼します。この信頼を得るには、S1 の識別も同時に S2 に渡され、S2 が trustedPrincipalList リストを検査してこの識別が有効なサーバー・プリンシパルであることを確認することで、この識別の妥当性検査を行います。S2 も S1 を認証します。

S1 上のエンタープライズ Bean コードは、サーバー S2 上の別のエンタープライズ Bean にアクセスします。この構成は、 ID アサーションを使用してダウンストリーム・サーバー S2 に bob の識別を伝えます。 S2 は、S1 を信頼しているため、 bob が既に S1 によって認証済みであることを信頼します。 この信頼を得るには、S1 の識別も同時に S2 に渡され、S2 が trustedPrincipalList リストを検査してこの識別が有効な サーバー・プリンシパルであることを確認することで、この識別の妥当性検査を行います。 S2 は S1 の認証も行います。

手順

  1. Secure Sockets Layer (SSL) トランスポートによるメッセージ層認証のためにクライアント C を構成します。
    1. クライアントが sas.client.props ファイルを指すようにします。

      [AIX Solaris HP-UX Linux Windows]com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props プロパティーを使用します。 これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。

      [IBM i]com.ibm.CORBA.ConfigURL=file:/profile_root/properties/sas.client.props プロパティーを使用します。 profile_root 変数は、操作対象となる特定のプロファイルです。 これ以降のすべての構成には、このファイル内でのプロパティーの設定が関係します。

    2. SSL を使用可能にします。

      この場合、SSL はサポートされますが必須ではありません。com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false

    3. メッセージ層でクライアント認証を使用可能にします。

      この場合、クライアント認証はサポートされますが必須ではありません。com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=true

    4. sas.client.props ファイル内の残りのすべてはデフォルトを使用します。
  2. サーバー S1 を構成します。

    管理コンソールで、 サーバー S1 を、メッセージ層クライアント認証をサポートする着信要求用と、 クライアント証明書認証なしで SSL をサポートする着信接続用に構成します。 サーバー S1 を、ID アサーションをサポートする発信要求用に構成します。

    1. S1 を着信接続用に構成します。
      1. ID アサーションを使用不可にします。
      2. ユーザー ID とパスワード認証を使用可能にします。
      3. SSL を使用可能にします。
      4. SSL クライアント証明書認証を使用不可にします。
    2. S1 を発信接続用に構成します。
      1. ID アサーションを使用可能にします。
      2. ユーザー ID とパスワード認証を使用不可にします。
      3. SSL を使用可能にします。
      4. SSL クライアント証明書認証を使用不可にします。
  3. サーバー S2 を構成します。

    管理コンソールで、 サーバー S2 を、ID アサーションをサポートし、SSL 接続を受け入れる着信要求用に構成します。 以下のステップを完了して、着信接続を構成します。 発信要求および発信接続用の構成は、この例には関係ありません。

    1. ID アサーションを使用可能にします。
    2. ユーザー ID とパスワード認証を使用不可にします。
    3. SSL を使用可能にします。
    4. SSL クライアント認証を使用不可にします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario1
ファイル名:tsec_scenario1.html