Mechanismy ověřování a vypršení platnosti

Tato stránka slouží k zadání sdílených klíčů a ke konfiguraci mechanismu ověřování, který se používá k výměně informací mezi servery. Pomocí této stránky můžete rovněž zadat dobu, po kterou informace o ověřování zůstanou platné, a určit konfiguraci jednotného přihlášení.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Mechanismy ověřování a skončení platnosti > LTPA.
Po konfigurování vlastností na této stránce proveďte následující kroky:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. Ověřte, že je konfigurován příslušný registr.
  3. Klepněte na tlačítko Použít. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, vraťte se na panel Globální zabezpečení a klepnutím na tlačítko Použít změny ověřte.

Karta Konfigurace

Skupina sad klíčů

Určuje skupiny veřejných, soukromých a sdílených klíčů. Tyto skupiny klíčů umožňují aplikačnímu serveru spravovat více sad klíčů LTPA (Lightweight Third Party Authentication).

Vygenerovat klíče

Určuje, zda chcete v konfigurovaném úložišti klíčů vygenerovat novou sadu klíčů LTPA a aktualizovat novými klíči běhovou komponentu. Ve výchozím nastavení je opětovné generování klíčů LTPA plánováno na každých 90 dní a lze je konfigurovat na konkrétní den v týdnu.

Každá nová sada klíčů LTPA je uložena v úložišti klíčů přidruženému ke skupině sad klíčů. Lze konfigurovat maximální počet klíčů (nebo dokonce jen jeden). Doporučuje se však mít alespoň dva klíče; v době, kdy se distribuují nové klíče, lze pro ověření použít staré klíče.

Tento krok není nutný v případě, že je povoleno zabezpečení. Při prvním spuštění serveru je vytvořena výchozí sada klíčů. Pokud během události generování klíčů neběží některé uzly, měly by být tyto uzly před restartováním synchronizovány pomocí správce zavedení.

Časový limit mezipaměti ověřování

Určuje časové období, po jehož uplynutí vyprší platnost ověřeného pověření v mezipaměti. Ověřte, zda je toto časové období kratší než pole Hodnota časového limitu pro předaná pověření mezi servery.

Pokud je povoleno zabezpečení infrastruktury aplikačního serveru, může časový limit mezipaměti zabezpečení ovlivnit výkon. Nastavení časového limitu určuje, jak často se mají aktualizovat mezipaměti související se zabezpečením. Do mezipaměti se ukládají informace o zabezpečení týkající se objektů typu bean, oprávnění a pověření. Po vypršení časového limitu mezipaměti budou veškeré informace uložené v mezipaměti, k nimž nebylo během časového limitu přistupováno, z mezipaměti uvolněny. Další požadavky na tyto informace vyvolají vyhledávání v databázi. Někdy získání informací vyžaduje vyvolání ověřování vázaného na protokol LDAP (Lightweight Directory Access Protocol) nebo nativního ověřování. Obě tato vyvolání představují relativně nákladné operace z hlediska výkonu. Na základě vzorů využití a potřeb zabezpečení u webového serveru stanovte pro aplikaci nejlepší variantu tohoto nastavení.

Výchozí časový limit mezipaměti zabezpečení je 10 minut. Máte-li malý počet uživatelů, měla by být tato hodnota nastavena na vyšší hodnotu. Naopak v případě velkého počtu uživatelů by měla být nastavena na nižší hodnotu.

Hodnota časového limitu u protokolu LTPA by měla být nastavena na nižší hodnotu než časový limit mezipaměti zabezpečení. Doporučuje se také, aby hodnota časového limitu u protokolu LTPA byla nastavena na vyšší hodnotu než hodnota časového limitu požadavku ORB. Mezi hodnotou časového limitu mezipaměti zabezpečení a hodnotou časového limitu požadavku ORB však neexistuje žádný vztah.

[AIX Solaris HP-UX Linux Windows] [iSeries] V 20minutovém testu výkonu lze ověřit, zda je časový limit mezipaměti nastaven tak, aby časový limit nevypršel. Tím lze dosáhnout 40% zlepšení výkonu.

Datový typ Celé číslo
Jednotky Minuty a sekundy
Výchozí hodnota 10 minut
Rozsah: Větší než 30 sekund
Hodnota časového limitu pro předaná pověření mezi servery

Určuje časový interval, po jehož uplynutí vyprší platnost předaných pověření.

Do tohoto pole zadejte hodnotu větší než hodnota časového limitu mezipaměti ověřování.

Výchozí hodnota 120 minut
Poznámka: Hodnota časového limitu pro předaná pověření mezi servery musí být celé číslo v rozsahu 5 až 35971.
Heslo

Zadejte heslo, které se bude používat pro šifrování a dešifrování klíčů LTPA ze souboru vlastností funkce SSO. Během importu by toto heslo mělo odpovídat heslu použitému k exportu klíčů na jiném serveru LTPA (například na jiné buňce aplikačních serverů, na serveru Lotus Domino apod.). Během exportu si toto heslo zapamatujte, abyste je mohli zadat během operace importu.

Po vygenerování nebo importu se budou klíče používat k šifrování a dešifrování tokenu LTPA. Při každé změně hesla se po klepnutí na tlačítko OK nebo Použít automaticky vygeneruje nová sada klíčů LTPA. Nová sada klíčů se začne používat po uložení změn konfigurace.

Datový typ Řetězec
Potvrzení hesla

Určuje potvrzení hesla, které se používá pro šifrování a dešifrování klíčů LTPA.

Toto heslo použijte při importu těchto klíčů do jiných konfigurací administrativních domén aplikačních serverů a při konfiguraci funkce jednotného přihlášení (SSO) pro server Lotus Domino.

Datový typ Řetězec
Úplný název souboru s klíči

Určuje název souboru použitého k importu nebo exportu klíčů.

Zadejte úplný název souboru s klíči a klepněte na volbu Importovat klíče nebo Exportovat klíče.

Datový typ Řetězec
Interní ID serveru

Určuje ID serveru, které se používá pro meziprocesovou komunikaci mezi servery. ID serveru je při vzdáleném odeslání chráněno tokenem LTPA. Interní ID serveru lze upravit tak, aby bylo identické s ID serverů ve více administrativních doménách (buňkách) aplikačních serverů. Ve výchozím nastavení je tímto ID název buňky.

Toto interní ID serveru by se mělo používat pouze v prostředí verze 6.1 nebo vyšší. U buněk se smíšenými verzemi byste z důvodu interoperability měli přejít na používání ID uživatele serveru a hesla serveru.

Chcete-li z důvodu interoperability přejít zpět na ID a heslo uživatele serveru, proveďte následující kroky:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Úložiště uživatelského účtu klepněte na rozevírací seznam Definice dostupné sféry, vyberte registr uživatelů a klepněte na tlačítko Konfigurovat.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Vyberte volbu Identita serveru uložená v úložišti a zadejte platné ID registru a heslo.

[z/OS] Můžete zadat buď volbu Automaticky generovaná identita serveru, nebo Identita uživatele pro úlohu spuštěnou v rámci platformy z/OS.

Datový typ Řetězec
Importovat klíče

Určuje, zda server importuje nové klíče LTPA.

Chcete-li podporovat jednotné přihlášení (SSO) v produktu aplikačního serveru mezi více doménami (buňkami) aplikačních serverů, nastavte klíče LTPA a heslo jako sdílené mezi doménami. Pomocí volby Importovat klíče můžete importovat klíče LTPA z jiných domén. Klíče LTPA jsou exportovány z jedné z buněk do souboru. Chcete-li importovat novou sadu klíčů LTPA, proveďte následující kroky:
  1. Do polí Heslo a Potvrzení hesla zadejte příslušné heslo.
  2. Klepněte na tlačítko OK a Uložit.
  3. Zadejte umístění adresáře, ve kterém se nacházejí klíče LTPA, do pole Úplný název souboru s klíči a následně klepněte na volbu Importovat klíče.
  4. Neklepejte na tlačítko OK ani Použít, ale uložte nastavení.
Exportovat klíče

Určuje, zda server exportuje klíče LTPA.

Chcete-li podporovat jednotné přihlášení (SSO) v produktu WebSphere mezi více doménami (buňkami) aplikačních serverů, nastavte klíče LTPA a heslo jako sdílené mezi doménami. Pomocí volby Exportovat klíče exportujte klíče LTPA do jiných domén.

Chcete-li exportovat klíče LTPA, ověřte, zda systém běží s povoleným zabezpečením a používá protokol LTPA. Do pole Úplný název souboru s klíči zadejte název souboru a klepněte na tlačítko Exportovat klíče. Šifrované klíče jsou uloženy do zadaného souboru.

Používat mechanismus SWAM (Simple WebSphere Authentication Mechanism) - bez ověřené komunikace mezi servery [AIX Solaris HP-UX Linux Windows]

Určuje mechanizmus SWAM (Simple WebSphere Authentication Mechanism). Mezi servery jsou předávána neověřená pověření. Pokud volající proces vyvolá metodu vzdáleného rozhraní, nebude jeho identita ověřena. V závislosti na oprávněních zabezpečení pro metody EJB by mohlo docházet k selhání ověření.

Mechanismus SWAM představuje neschválenou funkci a bude v příští verzi odebrán. Pro komunikaci mezi servery se doporučuje používat protokol LTPA.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy


Název souboru: usec_authmechandexpire.html