[AIX Solaris HP-UX Linux Windows][z/OS]

与 C++ 公共对象请求代理体系结构客户机互操作

WebSphere® Application Server 支持 CORBA C++ 客户机中的安全性以访问受保护的企业 Bean。如果配置了 C++ CORBA 客户机,那么它们可以使用客户机证书访问受保护的企业 Bean 方法,以实现 WebSphere Application Server 应用程序上的相互认证。

关于此任务

[AIX Solaris HP-UX Linux Windows]可以在因特网 ORB 间协议 (RMI-IIOP) 的远程方法调用上,使用公共安全互操作性 V2 (CSIv2) 认证协议,实现 C++ 公共对象请求代理体系结构 (CORBA) 客户机与 WebSphere Application Server 之间的安全性认证服务的互操作性。CSIv2 安全服务协议具有认证、属性和传输层。在三个层之间,传输认证从概念上来说很简单,但是暗地里基本传输认证最强大。WebSphere Application Server 已实现传输认证层,以便 C++ 安全 CORBA 客户机可以有效地使用它,从而使 CORBA 客户机和受保护企业 Bean 资源一起工作。

[z/OS]可在 C++ CORBA 客户机与使用公共安全互操作性 V2 (CSIv2) 的 WebSphere Application Server 间实现互操作性,也可使用 z/OS® Secure Authentication Service (z/SAS) 协议实现互操作性。除非是需要与 WebSphere Application Server V4 进行互操作,否则应该使用 CSIv2。
要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。

[z/OS]有关更多信息,请参阅全局安全性设置

从基于非 Java C++ 客户机到企业 Bean 的安全性认证WebSphere Application Server 支持 CORBA C++ 客户机中的安全性以访问受保护的企业 Bean。如果配置了 C++ CORBA 客户机,那么它们可以使用客户机证书访问受保护的企业 Bean 方法,以实现 WebSphere Application Server 应用程序上的相互认证。

要支持 C++ CORBA 客户机访问受保护的企业 Bean,请完成以下步骤:
  • 创建客户机的环境文件,例如:current.env。在该文件中设置以下列表中提供的变量:
    表 1. 环境变量.

    此表列示访问受保护企业 Bean 时支持 C++ CORBA 客户机所需的环境变量。

    C++ 安全性设置 描述
    client_protocol_password 指定用户标识的密码。
    client_protocol_user 指定要在目标服务器上认证的用户标识。
    security_sslKeyring 指定客户机要使用的 RACF® 密钥环的名称。密钥环必须在发出命令运行客户机的用户标识下定义。
  • 通过 WAS_CONFIG_FILE 环境变量使用标准路径名指向环境文件。例如,在 test.sh 测试 Shell 脚本中,导出:
    /WebSphere/V6R0M0/DeploymentManager/profiles/default/config/cells
      /PLEX1Network/nodes/PLEX1Manager/servers/dmgr
    某些环境文件术语说明如下:
    缺省值
    概要文件名
    PLEX1Network
    单元名
    PLEX1Manager
    节点名
    dmgr
    服务器名
[AIX Solaris HP-UX Linux Windows]

过程

  1. 获取表示客户机的有效证书,并将其公用密钥导出到目标企业 Bean 服务器。

    需要有效证书来表示 C++ 客户机。出于测试目的,从认证中心 (CA) 请求证书或创建自签名证书。

    使用来自 Global Security Kit (GSKit) 的密钥管理实用程序,从个人证书中抽取公用密钥,并将它以 .arm 格式保存。

  2. WebSphere Application Server 准备信任库文件。
    添加从客户机的 .arm 文件中抽取的客户机公用密钥到服务器密钥信任库文件。现在服务器可以认证客户机了。
    注: 这是通过从 WebSphere Application Server 安装,经由 ikeyman.batikeyman.sh 调用密钥管理实用程序完成的。
  3. 配置 WebSphere Application Server 以支持安全套接字层 (SSL) 作为认证机制。
    1. 启动管理控制台。
    2. 找到已部署目标企业 Bean 的应用程序服务器,并将它配置成使用 SSL 客户机证书认证。
      如果它是 base 安装,请完成以下步骤:
      1. 单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 CSIv2 入站通信。 为基本认证和客户机证书认证选项选择支持。保留剩余选项为缺省值。
      2. 单击确定
      3. 单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 CSIv2 入站通信,然后验证是否在“传输”下选择了支持 SSL 选项。
      如果它是 WebSphere Application Server Network Deployment 设置,请完成以下步骤:
      1. 单击服务器 > 应用程序服务器 > server_name_where_the_EJB_resides
      2. 在“安全性”下,单击服务器安全性
      3. 选择此服务器的 RMI/IIOP 安全性覆盖单元设置选项。
      4. 在“其他属性”下,单击 CSIv2 入站通信
      5. 为基本认证和客户机证书认证选项选择支持。保留剩余选项为缺省值。
      6. 单击服务器 > 应用程序服务器 > server_name_where_the_EJB_resides
      7. 在“安全性”下,单击服务器安全性
      8. 在“其他属性”下,单击 CSIv2 入站通信
      9. 验证是否选择了支持 SSL 选项。

      有关详细信息,请参阅配置公共安全互操作性 V2 入站通信配置入站传输

    3. 重新启动应用程序服务器。

      WebSphere Application Server 已经可通过在传输层中使用 SSL,以采用 C++ CORBA 安全性客户机和相互认证的服务器和客户机。

  4. 配置 C++ CORBA 客户机为在执行相互认证中使用证书。
    客户机用户习惯于使用其应用程序中的属性文件,因为它们有助于指定配置设置。以下列表提供重要的 C++ 安全性设置:
    表 2. C++ 安全属性.

    此表列示重要的 C++ 安全设置。

    C++ 安全性设置 描述
    com.ibm.CORBA.bootstrapHostName=ricebella.austin.ibm.com 指定目标主机名。
    com.ibm.CORBA.securityEnabled=yes 启用安全性。
    com.ibm.CSI.performTLClientAuthenticationSupported=yes 确保客户机支持通过证书相互认证
    com.ibm.ssl.keyFile=C:/ricebella/etc/DummyKeyRingFile.KDB 指定要使用的密钥数据库文件。
    com.ibm.ssl.keyPassword=WebAS 指定打开密钥数据库文件的密码。WebSphere Application Server 支持称为 PasswordEncode4cpp 的实用程序来编写明文密码。
    com.ibm.CORBA.translationEnabled=1 启用值类型转换。
    为了在运行 C++ 客户机时使用属性文件,使用了环境变量 WASPROPS 表明一个属性文件或一组属性文件所在的位置。

    要获取 C++ 客户机属性的完整集合,请参阅与产品一起提供的样本属性文件 scclient.props,它位于 app_server_root/profiles/profile_name/etc 目录中。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperatec
文件名:tsec_interoperatec.html