[AIX Solaris HP-UX Linux Windows][IBM i]

示例 1:配置基本认证和身份断言

本示例介绍纯 Java™ 客户机 C,它通过用户 bob 访问服务器 S1 上的安全企业 Bean。以下各步骤使您通过 C、S1 和 S2 的配置。

关于此任务

S1 上的企业 Bean 代码访问服务器 S2 上的另一个企业 Bean。此配置使用身份断言将 bob 的标识传播到下游服务器 S2。因为 S2 信任 S1,所以它信任 bob 已由 S1 认证。要获取此信任,S1 的标识还要同步流到 S2,而且 S2 会通过检查 trustedPrincipalList 列表验证它是否是有效的服务器主体来验证该标识。S2 也认证 S1。

S1 上的企业 Bean 代码访问服务器 S2 上的另一个企业 Bean。此配置使用身份断言将 bob 的标识传播到下游服务器 S2。因为 S2 信任 S1,所以它信任 bob 已由 S1 认证。要获取此信任,S1 的 标识还要同步流到 S2,而且 S2 会通过检查 trustedPrincipalList 列表验证它是否是有效的服务器主体来验证该标识。S2 也认证 S1。

过程

  1. 配置客户机 C 以使用安全套接字层 (SSL) 传输进行消息层认证。
    1. 将客户机指向 sas.client.props 文件。

      [AIX Solaris HP-UX Linux Windows]使用 com.ibm.CORBA.ConfigURL=file:/C:/was/properties/sas.client.props 属性。 所有进一步配置涉及该文件中的属性设置。

      [IBM i]使用 com.ibm.CORBA.ConfigURL=file:/profile_root /properties/sas.client.props 属性。profile_root 变量是您使用的特定概要文件。 所有进一步配置涉及该文件中的属性设置。

    2. 启用 SSL。

      在这种情况下,支持 SSL,但它不是必需的:com.ibm.CSI.performTransportAssocSSLTLSSupported=true, com.ibm.CSI.performTransportAssocSSLTLSRequired=false

    3. 在消息层启用客户机认证。

      在这种情况下,支持客户机认证,但它不是必需的:com.ibm.CSI.performClientAuthenticationRequired=false, com.ibm.CSI.performClientAuthenticationSupported=true

    4. 使用 sas.client.props 文件中的所有其余的缺省值。
  2. 配置服务器 S1。

    在管理控制台中,在没有客户机证书认证的情况下,为入局请求配置服务器 S1 以支持消息层客户机认证,并为入局连接配置服务器 S1 以支持 SSL。为出局请求配置服务器 S1 以支持身份断言。

    1. 为入局连接配置 S1。
      1. 禁用身份断言。
      2. 启用用户标识和密码认证。
      3. 启用 SSL。
      4. 禁用 SSL 客户机证书认证。
    2. 为出局连接配置 S1。
      1. 启用身份断言。
      2. 禁用用户标识和密码认证。
      3. 启用 SSL。
      4. 禁用 SSL 客户机证书认证。
  3. 配置服务器 S2。

    在管理控制台中,为入局请求配置服务器 S2 以支持身份断言和接受 SSL 连接。完成以下各步骤以配置入局连接。出局请求和连接的配置与本示例无关。

    1. 启用身份断言。
    2. 禁用用户标识和密码认证。
    3. 启用 SSL。
    4. 禁用 SSL 客户机认证。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_scenario1
文件名:tsec_scenario1.html