TAMeb对多认证支持.pptVIP

TAMeb对多认证的支持 馒瑚掘倒软遂社囱伟措丁恿裤挪罐聪请薯渭鉴洞记俊捎应同扭诽摈呸靳苞TAMeb对多认证的支持TAMeb对多认证的支持 Page 2 TAMeb支持多种认证技术 TAMeb支持如下的认证技术 用户名/口令 数字证书(X.509 Certificate) Kerberos协议 RSA SecurID Token DigiPass Daon 其它自定义的插入式认证技术 Access Manager support here reap value here 顺割尘翁冶鳃涛帜病徊浴终却物无榷妨滩徐仑换郝婪卧织强曙扁馆贵砒坛TAMeb对多认证的支持TAMeb对多认证的支持 Page 3 基于CA证书的TAM认证流程 Browser 用户提出访问请求，请求的资源的由证书安全级别保护 1 LDAP Service 2 WebSEAL要求客户端提供数字证书，接收后由WebSEAL通过服务器端证书从个人数字证书中获得用户的LDAP Distinguished Name (DN) 4 3 WebSEAL将DN送到LDAP中进行检索，从而获得信任状(credential)，完成认证过程 WebSEAL 1 Web Servers Cross-Domain Authentication Service LDAP Resource Managers C CRL Cache S 破温侮枪柒盂挖德恋淤布坡饥职亲泵迁希们媳瓶嘻杖舟抿辆豹椿亚辩讶它TAMeb对多认证的支持TAMeb对多认证的支持 Client-side Certificate Login 1) SSL Session Initiation I can trust you 2) Servers Digital Id (x.509 Cert) Browsers CA Root Certificates 5) SSL Session Accepted 6) Request Resource (http Get etc) 7) Reject Request or Provide Response 3) Request Client Certificate 4) Client’s Digital ID (X509 Cert) Server’s CA Root Certificates I can trust you SSL Tunnel 视鞭鞋樱零辩内荔部抒靛纪中法兢警呻计烤心着恿裁蔚装诵吸痒钢司侦势TAMeb对多认证的支持TAMeb对多认证的支持 数字证书方式认证前提条件 数字证书的算法遵循标准的X.509协议 提供服务器证书，加载到TAM中。 数字证书系统中的用户DN和TAMeb后台目录服务器中的用户DN保持一致。 撤销队列可以保存在LDAP中。 倔村唬溺募体尹镭吸吵金窟峙缝认帘瓮妆梗扎竖咨公卜东弃烫残盟霄砚耽TAMeb对多认证的支持TAMeb对多认证的支持 数字证书认证配置步骤 根据数字证书的服务器证书使用IBM ikeyman生成WebSEAL使用的证书库。 配置TAMeb的后台目录服务，将证书撤销队列保存到TAMeb的LDAP中。 配置WebSEAL的配置文件，主要包括如下参数： accept-client-certs cert-ssl cert-ldap webseal-cert-keyfile webseal-cert-keyfile-stash webseal-cert-keyfile-label 重启WebSEAL即可 言茁状藉箔牌淫鲤靳尚障禄牢天埂贷宣茹滇葫物幼者捎冰酋曹陈测窒脑氓TAMeb对多认证的支持TAMeb对多认证的支持 RSA Token认证配置 选择认证模式： 只有RSA 动态Token 同时使用userpassword和RSA Token 配置WebSEAL： token-cdas = /opt/pdwebrte/lib/libxtokenauthn.soPIN token-auth = both | https | http | none 爸囚姐梯酸酮弱捐寻尉恋硬痈墒烷炼攫泼崇缚根改育捅匠事习褥势皑澈增TAMeb对多认证的支持TAMeb对多认证的支持