本示例介绍纯 Java™ 客户机 C,它通过用户 bob 访问服务器 S1 上的安全企业 Bean。以下各步骤使您通过 C、S1 和 S2 的配置。
关于此任务
S1 上的企业 Bean 代码访问服务器 S2 上的另一个企业 Bean。此配置使用身份断言将
bob 的标识传播到下游服务器 S2。因为 S2 信任 S1,所以它信任 bob 已由 S1 认证。要获取此信任,S1 的
标识还要同步流到 S2,而且 S2 会通过检查 trustedPrincipalList 列表验证它是否是有效的服务器主体来验证该标识。S2 也认证 S1。
过程
- 配置客户机 C 以使用安全套接字层 (SSL) 传输进行消息层认证。
- 将客户机指向 sas.client.props 文件。
使用 com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props
属性。
所有进一步配置涉及该文件中的属性设置。
使用 com.ibm.CORBA.ConfigURL=file:/profile_root /properties/sas.client.props 属性。profile_root 变量是您使用的特定概要文件。
所有进一步配置涉及该文件中的属性设置。
- 启用 SSL。
在这种情况下,支持 SSL,但它不是必需的:com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false
- 在消息层启用客户机认证。
在这种情况下,支持客户机认证,但它不是必需的:com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=true
- 使用 sas.client.props 文件中的所有其余的缺省值。
- 配置服务器 S1。
在管理控制台中,在没有客户机证书认证的情况下,为入局请求配置服务器 S1 以支持消息层客户机认证,并为入局连接配置服务器 S1 以支持 SSL。为出局请求配置服务器 S1 以支持身份断言。
- 为入局连接配置 S1。
- 禁用身份断言。
- 启用用户标识和密码认证。
- 启用 SSL。
- 禁用 SSL 客户机证书认证。
- 为出局连接配置 S1。
- 启用身份断言。
- 禁用用户标识和密码认证。
- 启用 SSL。
- 禁用 SSL 客户机证书认证。
- 配置服务器 S2。
在管理控制台中,为入局请求配置服务器 S2 以支持身份断言和接受 SSL 连接。完成以下各步骤以配置入局连接。出局请求和连接的配置与本示例无关。
- 启用身份断言。
- 禁用用户标识和密码认证。
- 启用 SSL。
- 禁用 SSL 客户机认证。