Common Secure Interoperability 第 2 版入埠通訊設定

請利用這個頁面來指定伺服器支援用戶端存取其資源的特性。

若要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 從「鑑別」中,按一下 RMI/IIOP 安全 > CSIv2 入埠通訊

請利用 Common Secure Interoperability (CSI) 入埠通訊設定來配置送入之要求或傳輸所包含的鑑別資訊類型。

鑑別特性包含三層可以同時使用的鑑別:

「配置」標籤

傳播安全屬性

指定在登入要求期間,支援傳送安全屬性。 當您選取這個選項時,應用程式伺服器會保留登入要求的其他相關資訊(如使用的鑑別強度),且會保留要求發送端的身分和位置。

如果您並未選取這個選項,應用程式伺服器不會接受要傳送至下游伺服器的任何其他登入資訊。

預設值: 啟用
使用身分確認

指定在下游 Enterprise JavaBeans™ (EJB) 呼叫期間,利用身分主張作為在伺服器之間主張身分的方法之一。

這部伺服器不會重新鑑別確認的身分,因為它信任上游伺服器。 身分確認的優先順序高於所有其他類型的鑑別。

身分主張是在屬性層執行的,只在伺服器中才適用。 在伺服器中判定的主體是根據優先順序規則而定。 如果使用身分主張,一律從屬性層衍生身分。 如果是執行不含身分主張的基本鑑別,一律從訊息層衍生身分。 最後,如果在沒有基本鑑別或身分確認的情況下執行 SSL 用戶端憑證鑑別,就會從傳輸層衍生身分。

主張的身分就是 Enterprise Bean 的執行模式所決定的呼叫認證。 如果執行模式是「用戶端」,則身分為用戶端身分。如果執行模式是「系統」,則身分為伺服器身分。 如果執行模式是「指定」,則身分為指定的身分。 接收端伺服器會接收身分識別記號中的身分,也會接收用戶端鑑別記號中的傳送端伺服器身分。 接收端伺服器會透過「授信伺服器 ID」輸入框,來確認傳送端伺服器的身分為授信身分。 請輸入以垂直線 (|) 分開的主體名稱清單,例如:serverid1|serverid2|serverid3

所有身分記號類型都會對映至作用中的使用者登錄之使用者 ID 欄位。 如果是 ITTPrincipal 身分記號,這個記號會與使用者 ID 欄位一對一對映。如果是 ITTDistinguishedName 身分記號,第一個等號的值會對映至使用者 ID 欄位。如果是 ITTCertChain 身分記號,識別名稱第一個等號的值會對映至使用者 ID 欄位。

在鑑別 LDAP 使用者登錄時,LDAP 過濾器會決定 ITTCertChain 和 ITTDistinguishedName 類型的身分要如何對映至登錄。 如果記號類型是 ITTPrincipal,主體就會對映至 LDAP 登錄中的 UID 欄位。

預設值: 停用
授信身分

指定從傳送端伺服器傳給接收端伺服器的授信身分。

[AIX Solaris HP-UX Linux Windows] [iSeries] 指定以垂直線 (|) 區隔的授信伺服器管理者使用者 ID 清單,這些 ID 已獲授信,可以進行這部伺服器的身分確認。比方說,serverid1|serverid2|serverid3。應用程式伺服器支援逗點 (,) 字元作為清單定界字元,以便相容於舊版。當垂直線 (|) 找不到有效的授信伺服器 ID 時,應用程式伺服器會檢查逗點字元。

[z/OS] 指定以分號 (;) 或逗點 (,) 區隔的授信伺服器 ID 清單,這些伺服器已獲授信可以在這部伺服器上使用身分主張。 比方說,下列清單便可能是授信 ID:serverid1;serverid2;serverid3serverid1,serverid2,serverid3

請利用這份清單來判斷伺服器是否已授信。即使伺服器在清單中,傳送端伺服器仍必須接受接收端伺服器的鑑別,傳送端伺服器的身分記號才會被接受。

資料類型: 字串
用戶端憑證鑑別

指定在方法要求期間,於建立用戶端和伺服器之間的起始連線時進行鑑別。

在傳輸層中,會進行 Secure Socket Layer (SSL) 用戶端憑證鑑別。在訊息層中,會使用基本鑑別(使用者 ID 和密碼)。 用戶端憑證鑑別的執行效果一般比訊息層鑑別還要好,但需要某些其他設定。 這些額外的步驟還包括確認伺服器信任所連接的每個用戶端的簽章者憑證。 如果用戶端利用憑證管理中心 (CA) 來建立其個人憑證,則在 SSL 授信檔的伺服器簽章者區段中,您只需要 CA 主要憑證。

[AIX Solaris HP-UX Linux Windows] [iSeries] 當憑證通過「輕量型目錄存取通訊協定 (LDAP)」使用者登錄的鑑別時,識別名稱 (DN) 會根據配置 LDAP 時所指定的過濾器來對映。 當憑證通過本端 OS 使用者登錄的鑑別時,憑證中識別名稱 (DN) 的第一個屬性(通常是通用名稱)會對映至登錄中的使用者 ID。

[z/OS] 當憑證通過本端 OS 使用者登錄的鑑別時,憑證即會對映至登錄中的使用者 ID。

只有在沒有提供其他鑑別層次給伺服器時,才會使用用戶端憑證所提供的身分。

絕不
指定用戶端無法在這部伺服器嘗試 Secure Socket Layer (SSL) 用戶端憑證鑑別。
支援
指定連接這部伺服器的用戶端可以利用 SSL 用戶端憑證來進行鑑別。不過,伺服器即使沒有這種類型的鑑別,也可以呼叫方法。比方說,可以改用匿名或用戶端憑證。
必要的
指定連接這部伺服器的用戶端必須先利用 SSL 用戶端憑證來進行鑑別,才能呼叫方法。
傳輸

指定用戶端程序是否要利用伺服器所連接的傳輸來連接至伺服器。

您可以選擇 Secure Socket Layer (SSL)、TCP/IP 或這兩者來作為伺服器支援的入埠傳輸。 如果您指定 TCP/IP,伺服器只會支援 TCP/IP,無法接受 SSL 連線。 如果您指定支援 SSL,這部伺服器可以支援 TCP/IP 或 SSL 連線。 如果您指定需要 SSL,與這部伺服器通訊的任何伺服器都必須使用 SSL。

註: 除非 Cell 中 6.0.x 版和更早版本的節點同時存在,否則這個選項不適用於 z/OS® 平台。
TCP/IP
如果您選取 TCP/IP,伺服器只會開啟 TCP/IP 接聽器埠,所有入埠要求都不會有 SSL 保護。
需要 SSL
如果您選取需要 SSL,伺服器只會開啟 SSL 接聽器埠,所有入埠要求都會用 SSL 來接收。
支援 SSL
如果您選取支援 SSL,伺服器會開啟 TCP/IP 和 SSL 接聽器埠,大部分入埠要求都會用 Secure Socket Layer (SSL) 來接收。
請提供下列埠的固定埠號。埠號零表示在執行時期動態指派。 [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

預設值: 支援 SSL
範圍: TCP/IP、需要 SSL、支援 SSL
SSL 設定

指定要從中選取的入埠連線預定 SSL 設定清單。

[z/OS] 註: 除非 Cell 中 6.0.x 版和更早版本的節點同時存在,否則這個選項不適用於 z/OS 平台。
資料類型: 字串
[AIX Solaris HP-UX Linux Windows] [iSeries] 預設值: DefaultSSLSettings
[z/OS] 預設值: DefaultIIOPSSL
範圍: SSL 配置儲存庫中所配置的 SSL 設定
訊息層鑑別

訊息層鑑別的可用選項如下:
絕不
指定這部伺服器不接受使用者 ID 和密碼鑑別。
支援
指定與這部伺服器通訊的用戶端可以指定使用者 ID 和密碼。不過,呼叫方法時可能並沒有這種類型的鑑別。比方說,可能會改用匿名或用戶端憑證。
必要的
指定與這部伺服器通訊的用戶端必須指定使用者 ID 和密碼,才能進行任何方法要求。
用戶端至伺服器鑑別的可用工具:

指定利用 Kerberos、LTPA 或基本鑑別進行用戶端至伺服器鑑別。

用戶端至伺服器鑑別的可用選項如下:
Kerberos (KRB5)
選取以指定 Kerberos 作為鑑別機制。 您必須先配置 Kerberos 鑑別機制。 如需相關資訊,請參閱利用管理主控台來將 Kerberos 配置為鑑別機制。
LTPA
選取以指定 LTPA 記號鑑別
基本鑑別
基本鑑別是通用安全服務使用者名稱密碼 (GSSUP)。 這種類型的鑑別通常包括將用戶端的使用者 ID 和密碼傳送給伺服器進行鑑別。

如果您選取基本鑑別LTPA,且作用中的鑑別機制是 LTPA,就會接受使用者名稱、密碼和 LTPA 記號。

如果您選取基本鑑別KRB5,且作用中的鑑別機制是 KRB5,就會接受使用者名稱、密碼、Kerberos 記號和 LTPA 記號。

如果您沒有選取基本鑑別,伺服器不會接受使用者名稱和密碼。

登入配置

指定入埠鑑別所用的系統登入配置類型。

您可以按一下安全 > 廣域安全,來新增自訂登入模組。從「鑑別」中,按一下 Java™ 鑑別和授權服務 > 系統登入

Stateful 階段作業

請選取這個選項來啟用 Stateful 階段作業,通常是為了提升效能而使用這類階段作業。

用戶端與伺服器之間的第一次聯絡必須進行完整鑑別。 不過,具備有效階段作業的所有後續聯絡都會重複使用這項安全資訊。用戶端會傳遞環境定義 ID 給伺服器,來查閱階段作業。環境定義 ID 以連線為範圍,可以保證唯一性。 每當安全階段作業無效時,如果啟用鑑別重試(這是預設值),用戶端安全攔截程式就會驗證用戶端階段作業,且會在使用者不知不覺的情況下重新提出要求。如果階段作業不在伺服器中,就可能發生這種狀況;例如,伺服器失敗且回復作業。 當停用這個值時,每個方法呼叫都必須重新鑑別。

預設值: 啟用



標示(線上)的鏈結表示需要存取網際網路。

相關工作
相關參考
Java 鑑別和授權服務的系統登入配置項目設定
鑑別機制和期限


檔名: usec_inbound.html