Механизмы идентификации и срок действия

На этой странице можно настроить общие ключи и механизмы идентификации, используемые для обмена данными между серверами. Можно также указать время, в течение которого данные идентификации остаются применимыми, и настроить параметры единого входа в систему.

Для просмотра этой страницы административной консоли выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Идентификация выберите Механизмы идентификации и истечение срока действия > LTPA.
Настроив эти свойства, далее выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Определения доступных областей убедитесь, что настроен соответствующий реестр.
  3. Нажмите Применить. Если при включенной защите любое из этих свойств изменилось, вернитесь к панели Глобальная защита и нажмите Применить для проверки измененных значений.

Конфигурация

Группа набора ключей

Группы открытых, личных и общих ключей. Группы позволяют управлять различными наборами ключей LTPA на сервере приложений.

Создавать ключи

Указывает, будет ли сгенерирован новый набор ключей LTPA в хранилище ключей, и будет ли среда выполнения обновлена для работы с новыми ключами. По умолчанию ключи LTPA обновляются по расписанию раз в 90 дней, но можно делать это раз в неделю.

Все новые наборы ключей LTPA помещаются в хранилище ключей, связанное с группой набора ключей. Можно настроить максимальное число ключей (в том числе и один). Однако рекомендуется иметь хотя бы два ключа, старые ключи можно использовать для проверки, пока распространяются новые ключи.

Это необязательный этап в ходе включения защиты. Набор ключей по умолчанию создается при первом запуске сервера. Если какие-либо узлы не работали во время создания ключей, их нужно синхронизировать с диспетчером развертывания перед перезапуском.

Тайм-аут кэша идентификации

Указывает период времени, в течение которого действует одноразовое разрешение идентификации, находящееся в кэше. Укажите это значение меньшим, чем тайм-аут для пересланных идентификационных данных между серверами.

Если среда защиты серверов приложений включена, то тайм-аут кэша защиты может влиять на производительность. Тайм-аут задает частоту обновления кэшей защиты. Кэшируется информация защиты, относящаяся к EJB, правам доступа и идентификационным данным. По истечении времени хранения вся информация, к которой за это время не было обращений, удаляется из кэша. Последующие обращения к этой информации приводят к запросу к базе данных. Иногда эта информация требует запроса с идентификацией LDAP или встроенной. Любой из этих вызовов требует немалых затрат времени. Поэтому для приложения необходимо определить оптимальные соотношения, проанализировав требования защиты и использование этих функций на сайте.

Значение по умолчанию тайм-аута кэша защиты равно 10. При небольшом числе пользователей увеличьте это значение, при большом - уменьшите.

Тайм-аут LTPA должен быть меньше, чем тайм-аут кэша защиты. Также рекомендуется задать тайм-аут LTPA больше, чем тайм-аут запросов ORB. Но тайм-аут кэша защиты и тайм-аут запросов ORB никак не связаны друг с другом.

[AIX Solaris HP-UX Linux Windows] [iSeries] В тестах, в которых параметры кэша были заданы таким образом, что в течение 20 минут ни разу не наблюдался тайм-аут кэша, достигался 40% выигрыш в производительности.

Тип данных Целое число
Единицы измерения Минуты и секунды
Значение по умолчанию 10 минут
Диапазон: Больше 30 секунд
Тайм-аут данных идентификации, передаваемых между серверами

Время устаревания пересланных идентификационных данных.

Укажите значение, превышающее тайм-аут кэша идентификации.

Значение по умолчанию 120 минут
Прим.: Значение тайм-аута для пересылаемых между серверами одноразовых разрешений должно быть целым числом в диапазоне от 5 до 35971.
Пароль

Укажите пароль для шифрования и расшифровки ключей LTPA из файла свойств SSO. При импорте этот пароль должен соответствовать паролю, применявшемуся при экспорте ключей на другом сервере LTPA (например, в другой ячейке серверов приложений, на сервере Lotus Domino Server и т.д.). При экспорте запомните этот пароль, чтобы использовать его во время импорта.

После создания или генерации ключей они используются для шифрования ключей LTPA. При каждом изменении пароля сразу после нажатия OK или Применить автоматически генерируется новый набор ключей LTPA. Он становится действительным только после сохранения.

Тип данных Строка
Подтверждение пароля

Подтверждение пароля для шифрования и расшифровки ключей LTPA.

Используйте этот пароль при импорте ключей в конфигурации административного домена другого сервера приложений и настройке SSO на сервере Lotus Domino.

Тип данных Строка
Полное имя файла ключей

Имя файла, в котором хранятся импортированные ключи.

Введите полное имя файла ключей и нажмите Импортировать ключи или Экспортировать ключи.

Тип данных Строка
Внутренний ИД сервера

ИД сервера, используемый в межпроцессном взаимодействии серверов. При передаче по сети ИД сервера защищается маркером LTPA. Внутренний ИД сервера можно сделать единым в нескольких административных доменах (ячейках) серверов приложений. По умолчанию этот ИД совпадает с именем ячейки.

Внутренний ИД сервера следует применять только в среде не ниже версии 6.1. В ячейках со смешанными версиями используйте ИД пользователя сервера и пароль пользователя для обеспечения взаимодействия.

Для того чтобы вернуться к работе с ИД пользователя сервера и паролем для обеспечения взаимодействия, выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Хранилище учетных записей пользователей откройте выпадающий список Доступные определения областей, выберите реестр пользователей и нажмите Настроить.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Выберите опцию Идентификационные данные сервера хранятся в хранилище и укажите правильный ИД в хранилище и пароль.

[z/OS] Выберите опцию Автоматически сгенерированный ИД сервера или ИД пользователя для запущенной задачи z/OS.

Тип данных Строка
Импортировать ключи

Указывает, будет ли сервер импортировать новые ключи LTPA.

Поддержка единого входа в систему (SSO) в продукте сервера приложений, расположенного в нескольких доменах серверов приложений (ячейках), осуществляется посредством общих для доменов ключей LTPA и паролей. Для импорта ключей LTPA из других доменов можно использовать опцию Импортировать ключи. Ключи LTPA экспортируются в файл в одной из ячеек. Для того чтобы импортировать набор ключей LTPA, выполните следующие действия:
  1. Введите пароль в полях Пароль и Подтверждение пароля.
  2. Нажмите OK, затем Сохранить.
  3. Укажите каталог, где будут расположены ключи LTPA, и затем нажмите Импортировать ключи.
  4. Не нажимайте OK или Применить, а просто сохраните параметры.
Экспортировать ключи

Указывает, будет ли сервер экспортировать ключи LTPA.

Поддержка единого входа в систему (SSO) в продукте WebSphere, расположенном в нескольких доменах серверов приложений (ячейках), осуществляется посредством общих для доменов ключей LTPA и паролей. Для экспорта ключей LTPA в другой домен можно использовать опцию Экспортировать ключи.

При экспорте ключей LTPA система защиты должна быть включена и в качестве механизма идентификации должен использоваться LTPA. Введите имя файла в поле Полное имя файла и нажмите Экспортировать ключи. Зашифрованные ключи будут записаны в файл.

Использовать SWAM - обмен данными между серверами без идентификации [AIX Solaris HP-UX Linux Windows]

Включает WebSphere Authentication Mechanism (SWAM). Идентификационные данные передаются между серверами без проверки. Когда процесс вызывает удаленный метод, его идентификация не проверяется. В зависимости от прав доступа к методам EJB могут возникать ошибки идентификации.

SWAM - устаревшая функция, которая в будущих выпусках будет удалена. Она рекомендована при использовании LTPA для идентификации связи между серверами.



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной

Имя файла: usec_authmechandexpire.html