Nastavení odchozí komunikace protokolu Common Secure Interoperability verze 2

Tato stránka slouží k zadání funkcí, které server podporuje, když se chová jako klient jiného serveru dále na trase.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Zabezpečení RMI/IIOP > Odchozí komunikace CSIv2.
Funkce ověřování zahrnují tři vrstvy ověřování, které lze používat souběžně:

Karta Konfigurace

Šíření atributů zabezpečení

Určuje podporu šíření atributu zabezpečení při zpracování žádostí o přihlášení. Vyberete-li tuto volbu, aplikační server zachová doplňující informace o požadavku na přihlášení, například použitou sílu ověřování, spolu s identitou a umístěním původce požadavku.

Pokud tuto volbu nevyberete, nebude aplikační server přijímat žádné další informace o přihlášení určené k předání do serverů po směru zpracování.

Výchozí hodnota: Povoleno
Použít deklaraci identity [z/OS]

Určuje deklaraci identit jako metodu předávání ověřených identit mezi servery při volání objektů Enterprise JavaBeans (EJB) ve směru zpracování.

Tento server již deklarovanou identitu neověřuje, protože důvěřuje předchozímu serveru na trase zpracování. Deklarace identit má přednost před všemi ostatními typy ověřování.

Deklarace identity probíhá ve vrstvě atributů a lze ji použít pouze pro servery. Činitel určený na straně serveru vychází z pravidel priority. Pokud je použita deklarace identit, je identita vždy odvozována z vrstvy atributů. Pokud je použito základní ověřování bez deklarace identity, je identita vždy odvozována z vrstvy zpráv. Pokud je použito ověřování pomocí certifikátu klienta bez základního ověřování a bez deklarace identity, je identita odvozována z transportní vrstvy.

Deklarovaná identita tvoří vyvolávací pověření určené režimem RunAs objektu enterprise bean. Pokud je režim RunAs nastaven na hodnotu Klient, je použita identita klienta. Pokud je režim RunAs nastaven na hodnotu Systém, je použita identita serveru. Pokud je režim RunAs nastaven na hodnotu Určeno, je použita určená identita. Přijímající server obdrží identitu v rámci tokenu identity a současně obdrží také identitu odesílajícího serveru v tokenu ověřování klienta. Přijímající server ověří identitu odesílajícího serveru jako důvěryhodnou identitu prostřednictvím vstupního pole ID důvěryhodného serveru. Zadejte seznam názvů činitelů oddělených svislými čarami (|), například IDserveru1|IDserveru2|IDserveru3.

Všechny typy tokenů identity jsou mapovány na pole jména uživatele v aktivním registru uživatelů. Token identity ITTPrincipal je mapován na pole jmen uživatelů v relaci 1:1. U tokenu identity ITTDistinguishedName je na pole jména uživatele mapována hodnota za prvním znakem = (rovnítko). U tokenu identity ITTCertChain je na pole jména uživatele mapována hodnota za prvním znakem = (rovnítko) v rozlišujícím názvu.

Při ověřování pomocí registru uživatelů LDAP je mapování identit typu ITTCertChain a ITTDistinguishedName do registru určováno pomocí filtrů protokolu LDAP. Pokud je použit token typu ITTPrincipal, je činitel mapován na pole UID v registru LDAP.

Výchozí hodnota: Zakázáno
Použít identitu server-trusted

Určuje identitu serveru, kterou aplikační server používá k ustavení důvěryhodnosti cílového serveru. Identita serveru může být odeslána jednou z následujících metod:

  • ID serveru a heslo, pokud je heslo serveru určeno v konfiguraci registru.
  • ID serveru v tokenu LTPA (Lightweight Third Party Authentication), pokud je použito interní ID serveru.
Pro interoperabilitu s aplikačními servery jinými než server WebSphere Application Server použijte jednu z následujících metod:
  • Konfigurujte ID serveru a heslo v registru.
  • Vyberte volbu Identita, jíž důvěřuje server a určete důvěryhodnou identitu a heslo, aby byl místo tokenu LTPA odeslán interoperabilní token GSSUP (Generic Security Services Username Password).
Výchozí hodnota: Zakázáno
Zadat alternativní důvěryhodnou identitu

Tato možnost určuje alternativního uživatele jako důvěryhodnou identitu, která je odeslána na cílové servery místo odesílání identity serveru.

Tato volba je doporučená pro deklaraci identity. Tato identita se automaticky stane důvěryhodnou, pokud je odeslána do stejné buňky, a v rámci stejné buňky nemusí být uvedena v seznamu důvěryhodných identit. Tato identita však musí být v registru cílových serverů v externí buňce a jméno uživatele musí být uvedeno v seznamu důvěryhodných identit, nebo je identita odmítnuta v průběhu vyhodnocování důvěryhodnosti.

Výchozí hodnota: Zakázáno
Důvěryhodná identita

Tato možnost určuje důvěryhodnou identitu, která je odeslána z odesílajícího serveru na přijímající server.

Pokud zadáte identitu do tohoto pole, může být vybrána na panelu pro konfigurované úložiště uživatelských účtů. Pokud identitu nezadáte, je mezi servery odeslán token LTPA (Lightweight Third Party Authentication).

[AIX Solaris HP-UX Linux Windows] [iSeries] Určuje seznam uživatelských jmen administrátorů důvěryhodného serveru oddělených svislými čarami (|), která jsou považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad: IDserveru1|IDserveru2|IDserveru3. V zájmu zpětné kompatibility podporuje aplikační server oddělování položek seznamu znakem , (čárka). Aplikační server se pokusí použít znak čárky, pokud se mu nepodaří najít platné ID důvěryhodného serveru pomocí znaku svislé čáry (|).

[z/OS] Určuje seznam ID důvěryhodných serverů oddělených středníky (;) nebo čárkami (,), která jsou považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad: IDserveru1;IDserveru2;IDserveru3 nebo IDserveru1,IDserveru2,IDserveru3.

Tento seznam slouží k rozhodování o tom, zda je server důvěryhodný. I v případě, že je server uveden v seznamu, musí odesílající server projít ověřením u přijímajícího serveru, aby mohl být přijat token identity odesílajícího serveru.

Heslo

Určuje heslo, které je asociováno s důvěryhodnou identitou.

Datový typ: Text
Potvrzení hesla

Potvrzuje heslo, které je asociováno s důvěryhodnou identitou.

Datový typ: Text
Ověřování vrstvy zpráv

Pro ověřování vrstvy zpráv jsou k dispozici následující volby:
Nikdy
Udává, že daný server nepřijímá ověřování pomocí jména uživatele a hesla.
Podporováno
Udává, že klient komunikující s tímto serverem může zadat jméno uživatele a heslo. Metodu však lze vyvolat i bez tohoto typu ověření. Místo něj může být použit například anonymní certifikát nebo certifikát klienta.
Vyžadováno
Určuje, že klienti komunikující s tímto serverem musí zadat jméno uživatele a heslo s každým požadavkem na metodu.
Povolení ověřování klienta na servery pomocí:

Určuje ověřování klienta na serveru pomocí ověřování Kerberos, LTPA nebo základního ověřování.

Pro ověřování klienta na serveru jsou k dispozici následující volby:
Kerberos (KRB5)
Tuto volbu vyberte, chcete-li použít mechanismus ověřování Kerberos. Nejprve musíte konfigurovat mechanismus ověřování Kerberos. Podrobnější informace naleznete v části Configuring Kerberos as the authentication mechanism using the administrative console.
LTPA
Tuto volbu vyberte, chcete-li konfigurovat a povolit ověřování tokenů LTPA (Lightweight Third-Party Authentication).
Základní ověřování
Základní ověřování je GSSUP (Generic Security Services Username Password). Tento typ ověřování obvykle zahrnuje odeslání jména uživatele a hesla z klienta na server k ověření.

Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol LTPA, server se obrátí na další server na trase a předá jméno uživatele, heslo nebo token LTPA.

Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol KRB5, server se obrátí na další server na trase a předá jméno uživatele, heslo, token Kerberos nebo token LTPA.

Pokud nevyberete volbu Základní ověřování, server nepředá jméno uživatele a heslo dalšímu serveru na trase zpracování.

Transport

Určuje, zda se procesy klienta připojují k serveru s použitím jednoho z připojených transportů.

Jako příchozí transport podporovaný serverem můžete zvolit službu SSL (Secure Sockets Layer), protokol TCP/IP nebo obojí. Vyberete-li volbu TCP/IP, server bude podporovat pouze protokol TCP/IP a nebude moci přijímat připojení SSL. Vyberete-li volbu Podporováno SSL, bude tento server moci podporovat připojení protokolu TCP/IP i připojení SSL. Vyberete-li volbu Vyžadováno SSL, bude muset každý server komunikující s tímto serverem používat zabezpečení SSL.

Poznámka: Tato volba není k dispozici v operačních systémech z/OS, s výjimkou případů, kdy se v buňce nacházejí uzly verze 6.0.x i uzly dřívějších verzí.
TCP/IP
Vyberete-li volbu TCP/IP, server otevře pouze port modulu listener TCP/IP a pro žádné z příchozích požadavků nebude použito zabezpečení SSL.
Vyžadováno SSL
Vyberete-li volbu Vyžadováno SSL, server otevře pouze port modulu listener SSL a při příjmu všech příchozích požadavků bude použito zabezpečení SSL.
Podporováno SSL
Vyberete-li volbu Podporováno SSL, server otevře port modulu listener pro protokol TCP/IP i SSL a při příjmu většiny příchozích požadavků bude použito zabezpečení SSL.
Zadejte pevné číslo portu pro následující porty. Nulové číslo portu znamená, že bude provedeno dynamické přiřazení při běhu. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Výchozí hodnota: Podporováno SSL
Rozsah: TCP/IP, Vyžadováno SSL, Podporováno SSL
Nastavení SSL

Určuje seznam předdefinovaných nastavení SSL pro příchozí připojení.

[z/OS] Poznámka: Tato volba není k dispozici v operačních systémech z/OS, s výjimkou případů, kdy se v buňce nacházejí uzly verze 6.0.x i uzly dřívějších verzí.
Datový typ: Řetězec
[AIX Solaris HP-UX Linux Windows] [iSeries] Výchozí hodnota: DefaultSSLSettings
[z/OS] Výchozí hodnota: DefaultIIOPSSL
Rozsah: Všechna nastavení SSL konfigurovaná v repertoáru konfigurace SSL
Ověřování pomocí certifikátu klienta

Tato možnost určuje, zda je certifikát klienta z konfigurovaného úložiště klíčů použit k ověřování na serveru při vytvoření připojení SSL mezi daným server a serverem dále na trase v případě, že server dále na trase podporuje ověřování pomocí certifikátu klienta.

Ověřování pomocí certifikátu klienta má většinou vyšší výkon než ověřování vrstvy zpráv, ale vyžaduje další nastavení. Tyto další kroky zahrnují ověření, že daný server má osobní certifikát a že server dále na trase má certifikát podepisujícího subjektu tohoto serveru.

Pokud vyberete ověřování pomocí certifikátu klienta, budou k dispozici následující volby:
Nikdy
Určuje, že se daný server nepokouší o ověřování pomocí certifikátu klienta pomocí protokolu SSL se servery dále na trase.
Podporováno
Určuje, že tento server může používat certifikáty klienta SSL pro ověřování na dalších serverech po směru zpracování. Metodu však lze vyvolat i bez tohoto typu ověření. Server může místo něj například použít anonymní certifikát nebo základní ověřování.
Vyžadováno
Určuje, že tento server musí používat certifikáty klienta SSL pro ověřování na dalších serverech po směru zpracování.
Výchozí hodnota: Povoleno
Konfigurace přihlašování

Určuje typ konfigurace přihlašování k systému, který má být použit pro ověřování příchozích požadavků.

Chcete-li přidat vlastní moduly přihlašování, můžete klepnout na volby Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému.

Stavové relace

Tuto volbu vyberte, chcete-li povolit stavové relace, využívané především ke zvýšení výkonu.

Při prvním kontaktu mezi klientem a serverem musí proběhnout úplné ověření. Všechny další kontakty v rámci platných relací však používají znovu tytéž informace zabezpečení. Klient předá serveru ID kontextu a na základě tohoto ID je vyhledána relace. Oborem ID kontextu je dané připojení, čímž je zaručena jedinečnost. Vždy, když není nalezena platná relace zabezpečení a je povoleno opakované ověřování (výchozí stav), zachytávač zabezpečení na straně klienta zneplatní relaci na straně klienta a odešle požadavek znovu bez rozlišení klienta. Tato situace může nastat v případě, že daná relace na straně serveru neexistuje, například po selhání serveru a obnovení jeho činnosti. Pokud je tato volba zakázána, musí při každém volání metody proběhnout nové ověření.

Vlastní odchozí mapování

Tato možnost povoluje použití vlastních odchozích modulů přihlášení RMI (Remote Method Invocation).

Vlastní modul přihlášení mapuje nebo provede další funkce před provedením předdefinovaného odchozího volání RMI.

Chcete-li deklarovat vlastní odchozí mapování, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému > Nové.



Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy


Název souboru: usec_outbound.html