Tato stránka slouží k zadání funkcí, které server podporuje, když se chová jako klient jiného serveru dále na trase.
Určuje podporu šíření atributu zabezpečení při zpracování žádostí o přihlášení. Vyberete-li tuto volbu, aplikační server zachová doplňující informace o požadavku na přihlášení, například použitou sílu ověřování, spolu s identitou a umístěním původce požadavku.
Pokud tuto volbu nevyberete, nebude aplikační server přijímat žádné další informace o přihlášení určené k předání do serverů po směru zpracování.
Výchozí hodnota: | Povoleno |
Určuje deklaraci identit jako metodu předávání ověřených identit mezi servery při volání objektů Enterprise JavaBeans (EJB) ve směru zpracování.
Tento server již deklarovanou identitu neověřuje, protože důvěřuje předchozímu serveru na trase zpracování. Deklarace identit má přednost před všemi ostatními typy ověřování.
Deklarace identity probíhá ve vrstvě atributů a lze ji použít pouze pro servery. Činitel určený na straně serveru vychází z pravidel priority. Pokud je použita deklarace identit, je identita vždy odvozována z vrstvy atributů. Pokud je použito základní ověřování bez deklarace identity, je identita vždy odvozována z vrstvy zpráv. Pokud je použito ověřování pomocí certifikátu klienta bez základního ověřování a bez deklarace identity, je identita odvozována z transportní vrstvy.
Deklarovaná identita tvoří vyvolávací pověření určené režimem RunAs objektu enterprise bean. Pokud je režim RunAs nastaven na hodnotu Klient, je použita identita klienta. Pokud je režim RunAs nastaven na hodnotu Systém, je použita identita serveru. Pokud je režim RunAs nastaven na hodnotu Určeno, je použita určená identita. Přijímající server obdrží identitu v rámci tokenu identity a současně obdrží také identitu odesílajícího serveru v tokenu ověřování klienta. Přijímající server ověří identitu odesílajícího serveru jako důvěryhodnou identitu prostřednictvím vstupního pole ID důvěryhodného serveru. Zadejte seznam názvů činitelů oddělených svislými čarami (|), například IDserveru1|IDserveru2|IDserveru3.
Všechny typy tokenů identity jsou mapovány na pole jména uživatele v aktivním registru uživatelů. Token identity ITTPrincipal je mapován na pole jmen uživatelů v relaci 1:1. U tokenu identity ITTDistinguishedName je na pole jména uživatele mapována hodnota za prvním znakem = (rovnítko). U tokenu identity ITTCertChain je na pole jména uživatele mapována hodnota za prvním znakem = (rovnítko) v rozlišujícím názvu.
Při ověřování pomocí registru uživatelů LDAP je mapování identit typu ITTCertChain a ITTDistinguishedName do registru určováno pomocí filtrů protokolu LDAP. Pokud je použit token typu ITTPrincipal, je činitel mapován na pole UID v registru LDAP.
Výchozí hodnota: | Zakázáno |
Určuje identitu serveru, kterou aplikační server používá k ustavení důvěryhodnosti cílového serveru. Identita serveru může být odeslána jednou z následujících metod:
Výchozí hodnota: | Zakázáno |
Tato možnost určuje alternativního uživatele jako důvěryhodnou identitu, která je odeslána na cílové servery místo odesílání identity serveru.
Tato volba je doporučená pro deklaraci identity. Tato identita se automaticky stane důvěryhodnou, pokud je odeslána do stejné buňky, a v rámci stejné buňky nemusí být uvedena v seznamu důvěryhodných identit. Tato identita však musí být v registru cílových serverů v externí buňce a jméno uživatele musí být uvedeno v seznamu důvěryhodných identit, nebo je identita odmítnuta v průběhu vyhodnocování důvěryhodnosti.
Výchozí hodnota: | Zakázáno |
Tato možnost určuje důvěryhodnou identitu, která je odeslána z odesílajícího serveru na přijímající server.
Pokud zadáte identitu do tohoto pole, může být vybrána na panelu pro konfigurované úložiště uživatelských účtů. Pokud identitu nezadáte, je mezi servery odeslán token LTPA (Lightweight Third Party Authentication).
Určuje seznam uživatelských jmen
administrátorů důvěryhodného serveru oddělených svislými čarami (|), která jsou
považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad:
IDserveru1|IDserveru2|IDserveru3.
V zájmu zpětné kompatibility podporuje aplikační server oddělování položek seznamu znakem
, (čárka). Aplikační server se pokusí použít znak čárky, pokud se mu nepodaří najít
platné ID důvěryhodného serveru pomocí znaku svislé čáry (|).
Určuje seznam ID důvěryhodných serverů oddělených
středníky (;) nebo čárkami (,), která jsou považována za důvěryhodná pro účely deklarace
identit na tomto serveru. Příklad: IDserveru1;IDserveru2;IDserveru3 nebo
IDserveru1,IDserveru2,IDserveru3.
Tento seznam slouží k rozhodování o tom, zda je server důvěryhodný. I v případě, že je server uveden v seznamu, musí odesílající server projít ověřením u přijímajícího serveru, aby mohl být přijat token identity odesílajícího serveru.
Určuje heslo, které je asociováno s důvěryhodnou identitou.
Datový typ: | Text |
Potvrzuje heslo, které je asociováno s důvěryhodnou identitou.
Datový typ: | Text |
Určuje ověřování klienta na serveru pomocí ověřování Kerberos, LTPA nebo základního ověřování.
Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol LTPA, server se obrátí na další server na trase a předá jméno uživatele, heslo nebo token LTPA.
Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol KRB5, server se obrátí na další server na trase a předá jméno uživatele, heslo, token Kerberos nebo token LTPA.
Pokud nevyberete volbu Základní ověřování, server nepředá jméno uživatele a heslo dalšímu serveru na trase zpracování.
Určuje, zda se procesy klienta připojují k serveru s použitím jednoho z připojených transportů.
Jako příchozí transport podporovaný serverem můžete zvolit službu SSL (Secure Sockets Layer), protokol TCP/IP nebo obojí. Vyberete-li volbu TCP/IP, server bude podporovat pouze protokol TCP/IP a nebude moci přijímat připojení SSL. Vyberete-li volbu Podporováno SSL, bude tento server moci podporovat připojení protokolu TCP/IP i připojení SSL. Vyberete-li volbu Vyžadováno SSL, bude muset každý server komunikující s tímto serverem používat zabezpečení SSL.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
Výchozí hodnota: | Podporováno SSL |
Rozsah: | TCP/IP, Vyžadováno SSL, Podporováno SSL |
Určuje seznam předdefinovaných nastavení SSL pro příchozí připojení.
Datový typ: | Řetězec |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Rozsah: | Všechna nastavení SSL konfigurovaná v repertoáru konfigurace SSL |
Tato možnost určuje, zda je certifikát klienta z konfigurovaného úložiště klíčů použit k ověřování na serveru při vytvoření připojení SSL mezi daným server a serverem dále na trase v případě, že server dále na trase podporuje ověřování pomocí certifikátu klienta.
Ověřování pomocí certifikátu klienta má většinou vyšší výkon než ověřování vrstvy zpráv, ale vyžaduje další nastavení. Tyto další kroky zahrnují ověření, že daný server má osobní certifikát a že server dále na trase má certifikát podepisujícího subjektu tohoto serveru.
Výchozí hodnota: | Povoleno |
Určuje typ konfigurace přihlašování k systému, který má být použit pro ověřování příchozích požadavků.
Chcete-li přidat vlastní moduly přihlašování, můžete klepnout na volby Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému.
Tuto volbu vyberte, chcete-li povolit stavové relace, využívané především ke zvýšení výkonu.
Při prvním kontaktu mezi klientem a serverem musí proběhnout úplné ověření. Všechny další kontakty v rámci platných relací však používají znovu tytéž informace zabezpečení. Klient předá serveru ID kontextu a na základě tohoto ID je vyhledána relace. Oborem ID kontextu je dané připojení, čímž je zaručena jedinečnost. Vždy, když není nalezena platná relace zabezpečení a je povoleno opakované ověřování (výchozí stav), zachytávač zabezpečení na straně klienta zneplatní relaci na straně klienta a odešle požadavek znovu bez rozlišení klienta. Tato situace může nastat v případě, že daná relace na straně serveru neexistuje, například po selhání serveru a obnovení jeho činnosti. Pokud je tato volba zakázána, musí při každém volání metody proběhnout nové ověření.
Tato možnost povoluje použití vlastních odchozích modulů přihlášení RMI (Remote Method Invocation).
Vlastní modul přihlášení mapuje nebo provede další funkce před provedením předdefinovaného odchozího volání RMI.
Odkazy s označením (online) vyžadují přístup k Internetu.