Common Secure Interoperability 第 2 版出埠通訊設定

請利用這個頁面來指定在伺服器是另一個下游伺服器的用戶端時,它應該支援的特性。

若要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 從「鑑別」中,按一下 RMI/IIOP 安全 > CSIv2 出埠通訊
鑑別特性包含三層可以同時使用的鑑別:

「配置」標籤

傳播安全屬性

指定以支援在登入要求期間傳送安全屬性。 當您選取這個選項時,應用程式伺服器會保留登入要求的其他相關資訊(如使用的鑑別強度),且會保留要求發送端的身分和位置。

如果您並未選取這個選項,應用程式伺服器不會接受要傳送至下游伺服器的任何其他登入資訊。

預設值: 啟用
使用身分確認 [z/OS]

指定在下游 Enterprise JavaBeans™ (EJB) 呼叫期間,利用身分主張作為在伺服器之間主張身分的方法之一。

這部伺服器不會重新鑑別確認的身分,因為它信任上游伺服器。 身分確認的優先順序高於所有其他類型的鑑別。

身分主張是在屬性層執行的,只在伺服器中才適用。 在伺服器中判定的主體是根據優先順序規則而定。 如果執行身分確認,一律從屬性層衍生身分。 如果是使用不含身分主張的基本鑑別,一律從訊息層衍生身分。 最後,如果在沒有基本鑑別或身分確認的情況下執行 SSL 用戶端憑證鑑別,就會從傳輸層衍生身分。

主張的身分就是 Enterprise Bean 的執行模式所決定的呼叫認證。 如果執行模式是「用戶端」,則身分為用戶端身分。如果執行模式是「系統」,則身分為伺服器身分。 如果執行模式是「指定」,則身分為指定的身分。 接收端伺服器會接收身分識別記號中的身分,也會接收用戶端鑑別記號中的傳送端伺服器身分。 接收端伺服器會透過「授信伺服器 ID」輸入框,來確認傳送端伺服器的身分為授信身分。 請輸入以垂直線 (|) 分開的主體名稱清單,例如:serverid1|serverid2|serverid3

所有身分記號類型都會對映至作用中的使用者登錄之使用者 ID 欄位。 如果是 ITTPrincipal 身分記號,這個記號會與使用者 ID 欄位一對一對映。如果是 ITTDistinguishedName 身分記號,第一個等號的值會對映至使用者 ID 欄位。如果是 ITTCertChain 身分記號,識別名稱第一個等號的值會對映至使用者 ID 欄位。

在鑑別 LDAP 使用者登錄時,LDAP 過濾器會決定 ITTCertChain 和 ITTDistinguishedName 類型的身分要如何對映至登錄。 如果記號類型是 ITTPrincipal,主體就會對映至 LDAP 登錄中的 UID 欄位。

預設值: 停用
使用伺服器授信身分

指定應用程式伺服器在和目標伺服器間建立信任時,所用的伺服器身分。伺服器身分可使用下列一種方法來傳送:

  • 當登錄配置中有指定伺服器密碼時,可使用伺服器 ID 與密碼。
  • 當使用內部伺服器 ID 時,可使用「小型認證機構 (LTPA)」記號中的伺服器 ID。
若要與 WebSphere® Application Server 以外的應用程式伺服器交互作業,請使用下列方法之一:
  • 在登錄中配置伺服器 ID 和密碼。
  • 選取伺服器授信身分選項,並指定授信身分和密碼,以便傳送可交互作業的「通用安全服務使用者名稱密碼」(GSSUP) 記號,而不使用 LTPA 記號。
預設值: 停用
指定替代的授信身分

指定替代的使用者作為授信身分來傳給目標伺服器,而不傳送伺服器身分。

若要進行身分確認,建議使用這個選項。如果是在相同 Cell 中傳送,則身分會自動變成授信的,且不需要位於相同 Cell 中的授信身分清單內。不過,這個身分必須在位於外部 Cell 之目標伺服器的登錄中,且使用者 ID 必須在授信身分清單中,否則,在信任評估期間,將會拒絕這個身分。

預設值: 停用
授信身分

指定從傳送端伺服器傳給接收端伺服器的授信身分。

如果您在這個欄位中指定了某個身分,則可在您配置的使用者帳戶儲存庫的畫面上選取它。如果您並未指定身分,就會在伺服器之間傳送「小型認證機構 (LTPA)」記號。

[AIX Solaris HP-UX Linux Windows] [iSeries] 指定以垂直線 (|) 區隔的授信伺服器管理者使用者 ID 清單,這些 ID 已獲授信,可以進行這部伺服器的身分確認。比方說,serverid1|serverid2|serverid3。應用程式伺服器支援逗點 (,) 字元作為清單定界字元,以便相容於舊版。當垂直線 (|) 找不到有效的授信伺服器 ID 時,應用程式伺服器會檢查逗點字元。

[z/OS] 指定以分號 (;) 或逗點 (,) 區隔的授信伺服器 ID 清單,這些伺服器已獲授信可執行這部伺服器的身分確認。 比方說,serverid1;serverid2;serverid3serverid1,serverid2,serverid3

請利用這份清單來判斷伺服器是否已授信。即使伺服器在清單中,傳送端伺服器仍必須接受接收端伺服器的鑑別,傳送端伺服器的身分記號才會被接受。

密碼

指定授信身分的相關密碼。

資料類型: 文字
確認密碼

確認授信身分的相關密碼。

資料類型: 文字
訊息層鑑別

訊息層鑑別的可用選項如下:
絕不
指定這部伺服器不接受使用者 ID 和密碼鑑別。
支援
指定與這部伺服器通訊的用戶端可以指定使用者 ID 和密碼。不過,呼叫方法時可能並沒有這種類型的鑑別。比方說,可能會改用匿名或用戶端憑證。
必要的
指定與這部伺服器通訊的用戶端必須指定使用者 ID 和密碼,才能進行任何方法要求。
用戶端至伺服器鑑別的可用工具:

指定利用 Kerberos、LTPA 或基本鑑別進行用戶端至伺服器鑑別。

用戶端至伺服器鑑別的可用選項如下:
Kerberos (KRB5)
選取以指定 Kerberos 作為鑑別機制。 您必須先配置 Kerberos 鑑別機制。 如需相關資訊,請參閱利用管理主控台來將 Kerberos 配置為鑑別機制。
LTPA
選取以配置和啟用小型認證機構 (LTPA) 記號鑑別。
基本鑑別
基本鑑別是通用安全服務使用者名稱密碼 (GSSUP)。 這種類型的鑑別通常包括將用戶端的使用者 ID 和密碼傳送給伺服器進行鑑別。

如果您選取基本鑑別LTPA,且作用中的鑑別機制是 LTPA,伺服器便會以使用者名稱、密碼和 LTPA 記號與下游伺服器合作。

如果您選取基本鑑別KRB5,且作用中的鑑別機制是 KRB5,伺服器便會以使用者名稱、密碼、Kerberos 記號或 LTPA 記號與下游伺服器合作。

如果您沒有選取基本鑑別,伺服器便不會以使用者名稱和密碼與下游伺服器合作。

傳輸

指定用戶端程序是否要利用伺服器所連接的傳輸來連接至伺服器。

您可以選擇利用 Secure Socket Layer (SSL)、TCP/IP 或這兩者來作為伺服器支援的入埠傳輸。 如果您指定 TCP/IP,伺服器只會支援 TCP/IP,無法接受 SSL 連線。 如果您指定支援 SSL,這部伺服器可以支援 TCP/IP 或 SSL 連線。 如果您指定需要 SSL,與這部伺服器通訊的任何伺服器都必須使用 SSL。

註: 除非 Cell 中 6.0.x 版和更早版本的節點同時存在,否則,這個選項不適用於 z/OS® 作業系統。
TCP/IP
如果您選取 TCP/IP,伺服器只會開啟 TCP/IP 接聽器埠,所有入埠要求都不會有 SSL 保護。
需要 SSL
如果您選取需要 SSL,伺服器只會開啟 SSL 接聽器埠,所有入埠要求都會用 SSL 來接收。
支援 SSL
如果您選取支援 SSL,伺服器會開啟 TCP/IP 和 SSL 接聽器埠,大部分入埠要求都會用 Secure Socket Layer (SSL) 來接收。
請提供下列埠的固定埠號。埠號零表示在執行時期動態指派。 [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

預設值: 支援 SSL
範圍: TCP/IP、需要 SSL、支援 SSL
SSL 設定

指定要從中選取的入埠連線預定 SSL 設定清單。

[z/OS] 註: 除非 Cell 中 6.0.x 版和更早版本的節點同時存在,否則,這個選項不適用於 z/OS 作業系統。
資料類型: 字串
[AIX Solaris HP-UX Linux Windows] [iSeries] 預設值: DefaultSSLSettings
[z/OS] 預設值: DefaultIIOPSSL
範圍: SSL 配置儲存庫中所配置的 SSL 設定
用戶端憑證鑑別

指定在建立伺服器和下游伺服器之間的 SSL 連線時,如果下游伺服器支援用戶端憑證鑑別,是否要利用配置的金鑰儲存庫其中的用戶端憑證,來接受伺服器的鑑別。

用戶端憑證鑑別的效能通常比訊息層鑑別好,但需要其他設定。 這些其他步驟包括確認這部伺服器有個人憑證,以及下游伺服器有這部伺服器的簽章者憑證。

如果您選取用戶端憑證鑑別,可以使用下列選項:
絕不
指定這部伺服器不在下游伺服器嘗試 Secure Socket Layer (SSL) 用戶端憑證鑑別。
支援
指定這部伺服器可以利用 SSL 用戶端憑證來接受下游伺服器的鑑別。不過,呼叫方法時不必進行這類型的鑑別。例如,伺服器可以改用匿名或基本鑑別。
必要的
指定這部伺服器必須利用 SSL 用戶端憑證來接受下游伺服器的鑑別。
預設值: 啟用
登入配置

指定入埠鑑別所用的系統登入配置類型。

您可以按一下安全 > 廣域安全來新增自訂登入模組。從「鑑別」中,按一下 Java™ 鑑別和授權服務 > 系統登入

Stateful 階段作業

請選取這個選項來啟用 Stateful 階段作業,通常是為了提升效能而使用這類階段作業。

用戶端與伺服器之間的第一次聯絡必須進行完整鑑別。 不過,具備有效階段作業的所有後續聯絡都會重複使用這項安全資訊。用戶端會傳遞環境定義 ID 給伺服器,來查閱階段作業。環境定義 ID 以連線為範圍,可以保證唯一性。 每當安全階段作業無效時,如果啟用鑑別重試(這是預設值),用戶端安全攔截程式就會驗證用戶端階段作業,且會在使用者不知不覺的情況下重新提出要求。如果階段作業不在伺服器中,就可能發生這種狀況,例如,伺服器失敗且回復作業。 當停用這個值時,每個方法呼叫都必須重新鑑別。

自訂出埠對映

讓您能使用自訂遠端方法呼叫 (RMI) 出埠登入模組。

自訂登入模組會在預定的 RMI 出埠呼叫之前,對映或完成其他功能。

若要宣告自訂出埠對映,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 從「鑑別」中,按一下 Java 鑑別和授權服務 > 系統登入 > 新建
授信鑑別網域範圍 - 出埠

如果 RMI/IIOP 通訊跨越不同的網域範圍,請利用這個鏈結來新增出埠授信網域範圍。

認證記號只會傳給授信網域範圍。 另外,接收端伺服器應該利用入埠授信網域範圍配置來驗證 LTPA 記號,以信任這個網域範圍。




標示(線上)的鏈結表示需要存取網際網路。

相關工作


檔名: usec_outbound.html