鑑別機制和期限

請利用這個頁面來指定共用金鑰和配置在伺服器之間交換資訊時所用的鑑別機制。 您也可以利用這個頁面來指定鑑別資訊持續有效的時間量,以及指定單一登入配置。

若要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「鑑別」之下,按一下鑑別機制和期限 > LTPA
配置好這個頁面的各項內容之後,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「可用的網域範圍定義」之下,確認已配置適當的登錄。
  3. 按一下套用。當啟用安全且任何這些內容有了改變時,請返回「廣域安全」畫面,按一下套用來驗證變更。

「配置」標籤

金鑰集群組

指定公開、私密和共用金鑰的群組。這些金鑰群組可讓應用程式伺服器管理多組小型認證機構 (LTPA) 金鑰。

產生金鑰

指定是否在配置的金鑰儲存庫中產生一組新的 LTPA 金鑰,或利用新金鑰來更新執行時期。依預設,LTPA 金鑰會排定每隔 90 天產生一次,可配置成星期別。

每組新的 LTPA 金鑰都儲存在金鑰集群組的相關金鑰儲存庫中。可配置金鑰數目上限(甚至只有一個)。不過,建議您至少要有兩個金鑰;用舊金鑰來進行驗證,用新金鑰來進行配送。

在啟用安全期間,這個步驟並非必要。在第一次啟動伺服器期間,會建立一組預設的金鑰。如果有任何節點在產生金鑰的事件中當掉,在重新啟動之前,應該先與部署管理程式同步化。

鑑別快取逾時值

指定快取內已鑑別認證到期的時段。 請確認這個時段小於「伺服器之間轉遞認證的逾時值」欄位值。

如果啟用應用程式伺服器基礎架構安全,安全快取逾時可能會影響效能。逾時設定會指定安全相關快取記憶體的重新整理頻率。 Bean、許可權和憑證的相關安全資訊都會予以快取。 快取逾時到期之後,在逾時期間內未曾存取的所有快取資訊,都會從快取記憶體中除去。 後續的資訊要求都會執行資料庫查閱。 有時候必須呼叫「輕量型目錄存取通訊協定」(LDAP) 連結或原生鑑別,才能取得資訊。 兩種呼叫都是效能成本相對較高的作業。 請檢視用法型樣和網站的安全需求來決定應用程式的最佳取捨。

預設安全快取逾時值為 10 分鐘。如果您的使用者不多,這個值應該設得更高,如果有許多使用者,就應該設成比較低。

LTPA 逾時值不應設成低於安全快取逾時值。 另外,也建議您應該將 LTPA 逾時值設成高於 ORB 要求逾時值。 不過,在安全快取逾時值和 ORB 要求逾時值之間,沒有任何關係。

[AIX Solaris HP-UX Linux Windows] [iSeries] 在 20 分鐘的效能測試中,將快取逾時值設成不會發生逾時可以增進 40% 的效能。

資料類型 整數
單位 分和秒
預設值 10 分
範圍: 大於 30 秒
伺服器之間轉遞認證的逾時值

指定轉遞認證到期過了多久,便告到期。

請指定個欄位的值,使它大於鑑別快取逾時值。

預設值 120 分
註: 伺服器之間轉遞認證的逾時值應該是 5-35971 範圍內的整數。
密碼

請輸入用來加密和解密 SSO 內容檔 LTPA 金鑰的密碼。在匯入期間,這個密碼應該符合在另一個 LTPA 伺服器用來匯出金鑰的密碼(如另一個應用程式伺服器 Cell、Lotus® Domino® 伺服器等)。 在匯出期間,請記住這個密碼,以便在匯入作業期間提供它。

產生或匯入金鑰之後,會利用它們來加密及解密 LTPA 記號。每當密碼變更時,只要您按一下確定套用,就會自動產生一組新的 LTPA 金鑰。在儲存配置變更之後,即可使用該組新的金鑰。

資料類型 字串
確認密碼

指定用來加密和解密 LTPA 金鑰的確認密碼。

當您將這些金鑰匯入其他應用程式伺服器管理網域配置時,以及在配置 Lotus Domino 伺服器的 SSO 時,請使用這個密碼。

資料類型 字串
完整的金鑰檔名稱

指定匯入或匯出金鑰時所用的檔案名稱。

請輸入完整的金鑰檔名稱,然後再按一下匯入金鑰匯出金鑰

資料類型 字串
內部伺服器 ID

指定用來進行伺服器之間的跨程序通訊之伺服器 ID。當進行遠端傳送時,伺服器 ID 會受到 LTPA 記號的保護。您可以編輯內部伺服器 ID,使它與多個應用程式伺服器管理網域 (Cell) 的伺服器 ID 相同。依預設,這個 ID 是 Cell 名稱。

只有在 6.1 版或後續環境中,才應該使用這個內部伺服器 ID。如果是混合版本的 Cell,您應該轉換成使用伺服器使用者 ID 和伺服器密碼,以便進行交互作業。

若要切回伺服器使用者 ID 和密碼,以便交互作業,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「使用者帳戶儲存庫」之下,按一下可用的網域範圍定義下拉清單,選取一個使用者登錄,再按一下配置
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] 選取儲存庫所儲存的伺服器身分選項,輸入有效的登錄 ID 和密碼。

[z/OS] 您可以指定自動產生的伺服器身分選項或 z/OS® 啟動之作業的使用者身分選項。

資料類型 字串
匯入金鑰

請指定伺服器是否要匯入新的 LTPA 金鑰。

若要跨越多個應用程式伺服器網域 (Cell) 來支援應用程式伺服器產品中的單一登入 (SSO),請在這些網域間共用 LTPA 金鑰和密碼。您可以利用匯入金鑰選項,從其他網域匯入 LTPA 金鑰。LTPA 金鑰已經從其中一個 Cell 匯出到某個檔案。若要匯入一組新的 LTPA 金鑰,請完成下列步驟:
  1. 在「密碼」和「確認密碼」欄位中,輸入適當的密碼。
  2. 按一下確定,再按一下儲存
  3. 在按一下匯入金鑰之前,在「完整金鑰檔名稱」欄位中,輸入 LTPA 金鑰所在的目錄位置。
  4. 不要按確定套用,只要儲存設定即可。
匯出金鑰

請指定伺服器是否要匯出 LTPA 金鑰。

若要跨越多個應用程式伺服器網域 (Cell) 來支援 WebSphere® 產品中的單一登入 (SSO),請在這些網域間共用 LTPA 金鑰和密碼。 請利用「匯出金鑰」選項,將 LTPA 金鑰匯出至其他網域中。

若要匯出 LTPA 金鑰,系統必須啟用安全,而且使用 LTPA。在「完整金鑰檔名稱」欄位中輸入檔案名稱,再按一下匯出金鑰。加密的金鑰會儲存在指定的檔案中。

使用 SWAM - 無伺服器之間的鑑別通訊 [AIX Solaris HP-UX Linux Windows]

指定簡易 WebSphere 鑑別機制 (SWAM)。 未經鑑別的認證會在伺服器之間轉遞。當呼叫端程序呼叫遠端方法時,不會驗證它的身分。依 EJB 方法的安全許可權而定,鑑別有可能失敗。

SWAM 是一個即將棄用的特性,未來的版本會移除它。建議您利用 LTPA 來進行伺服器之間的鑑別通訊。




標示(線上)的鏈結表示需要存取網際網路。

相關工作


檔名: usec_authmechandexpire.html