請利用這個頁面來指定在伺服器是另一個下游伺服器的用戶端時,它應該支援的特性。
指定以支援在登入要求期間傳送安全屬性。 當您選取這個選項時,應用程式伺服器會保留登入要求的其他相關資訊(如使用的鑑別強度),且會保留要求發送端的身分和位置。
如果您並未選取這個選項,應用程式伺服器不會接受要傳送至下游伺服器的任何其他登入資訊。
預設值: | 啟用 |
指定在下游 Enterprise JavaBeans™ (EJB) 呼叫期間,利用身分主張作為在伺服器之間主張身分的方法之一。
這部伺服器不會重新鑑別確認的身分,因為它信任上游伺服器。 身分確認的優先順序高於所有其他類型的鑑別。
身分主張是在屬性層執行的,只在伺服器中才適用。 在伺服器中判定的主體是根據優先順序規則而定。 如果執行身分確認,一律從屬性層衍生身分。 如果是使用不含身分主張的基本鑑別,一律從訊息層衍生身分。 最後,如果在沒有基本鑑別或身分確認的情況下執行 SSL 用戶端憑證鑑別,就會從傳輸層衍生身分。
主張的身分就是 Enterprise Bean 的執行模式所決定的呼叫認證。 如果執行模式是「用戶端」,則身分為用戶端身分。如果執行模式是「系統」,則身分為伺服器身分。 如果執行模式是「指定」,則身分為指定的身分。 接收端伺服器會接收身分識別記號中的身分,也會接收用戶端鑑別記號中的傳送端伺服器身分。 接收端伺服器會透過「授信伺服器 ID」輸入框,來確認傳送端伺服器的身分為授信身分。 請輸入以垂直線 (|) 分開的主體名稱清單,例如:serverid1|serverid2|serverid3。
所有身分記號類型都會對映至作用中的使用者登錄之使用者 ID 欄位。 如果是 ITTPrincipal 身分記號,這個記號會與使用者 ID 欄位一對一對映。如果是 ITTDistinguishedName 身分記號,第一個等號的值會對映至使用者 ID 欄位。如果是 ITTCertChain 身分記號,識別名稱第一個等號的值會對映至使用者 ID 欄位。
在鑑別 LDAP 使用者登錄時,LDAP 過濾器會決定 ITTCertChain 和 ITTDistinguishedName 類型的身分要如何對映至登錄。 如果記號類型是 ITTPrincipal,主體就會對映至 LDAP 登錄中的 UID 欄位。
預設值: | 停用 |
指定應用程式伺服器在和目標伺服器間建立信任時,所用的伺服器身分。伺服器身分可使用下列一種方法來傳送:
預設值: | 停用 |
指定替代的使用者作為授信身分來傳給目標伺服器,而不傳送伺服器身分。
若要進行身分確認,建議使用這個選項。如果是在相同 Cell 中傳送,則身分會自動變成授信的,且不需要位於相同 Cell 中的授信身分清單內。不過,這個身分必須在位於外部 Cell 之目標伺服器的登錄中,且使用者 ID 必須在授信身分清單中,否則,在信任評估期間,將會拒絕這個身分。
預設值: | 停用 |
指定從傳送端伺服器傳給接收端伺服器的授信身分。
如果您在這個欄位中指定了某個身分,則可在您配置的使用者帳戶儲存庫的畫面上選取它。如果您並未指定身分,就會在伺服器之間傳送「小型認證機構 (LTPA)」記號。
指定以垂直線 (|) 區隔的授信伺服器管理者使用者 ID 清單,這些 ID 已獲授信,可以進行這部伺服器的身分確認。比方說,serverid1|serverid2|serverid3。應用程式伺服器支援逗點 (,) 字元作為清單定界字元,以便相容於舊版。當垂直線 (|) 找不到有效的授信伺服器 ID 時,應用程式伺服器會檢查逗點字元。
指定以分號 (;) 或逗點 (,) 區隔的授信伺服器 ID 清單,這些伺服器已獲授信可執行這部伺服器的身分確認。
比方說,serverid1;serverid2;serverid3 或 serverid1,serverid2,serverid3。
請利用這份清單來判斷伺服器是否已授信。即使伺服器在清單中,傳送端伺服器仍必須接受接收端伺服器的鑑別,傳送端伺服器的身分記號才會被接受。
指定授信身分的相關密碼。
資料類型: | 文字 |
確認授信身分的相關密碼。
資料類型: | 文字 |
指定利用 Kerberos、LTPA 或基本鑑別進行用戶端至伺服器鑑別。
如果您選取基本鑑別和 LTPA,且作用中的鑑別機制是 LTPA,伺服器便會以使用者名稱、密碼和 LTPA 記號與下游伺服器合作。
如果您選取基本鑑別和 KRB5,且作用中的鑑別機制是 KRB5,伺服器便會以使用者名稱、密碼、Kerberos 記號或 LTPA 記號與下游伺服器合作。
如果您沒有選取基本鑑別,伺服器便不會以使用者名稱和密碼與下游伺服器合作。
指定用戶端程序是否要利用伺服器所連接的傳輸來連接至伺服器。
您可以選擇利用 Secure Socket Layer (SSL)、TCP/IP 或這兩者來作為伺服器支援的入埠傳輸。 如果您指定 TCP/IP,伺服器只會支援 TCP/IP,無法接受 SSL 連線。 如果您指定支援 SSL,這部伺服器可以支援 TCP/IP 或 SSL 連線。 如果您指定需要 SSL,與這部伺服器通訊的任何伺服器都必須使用 SSL。
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
預設值: | 支援 SSL |
範圍: | TCP/IP、需要 SSL、支援 SSL |
指定要從中選取的入埠連線預定 SSL 設定清單。
資料類型: | 字串 |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
範圍: | SSL 配置儲存庫中所配置的 SSL 設定 |
指定在建立伺服器和下游伺服器之間的 SSL 連線時,如果下游伺服器支援用戶端憑證鑑別,是否要利用配置的金鑰儲存庫其中的用戶端憑證,來接受伺服器的鑑別。
用戶端憑證鑑別的效能通常比訊息層鑑別好,但需要其他設定。 這些其他步驟包括確認這部伺服器有個人憑證,以及下游伺服器有這部伺服器的簽章者憑證。
預設值: | 啟用 |
指定入埠鑑別所用的系統登入配置類型。
您可以按一下安全 > 廣域安全來新增自訂登入模組。從「鑑別」中,按一下 Java™ 鑑別和授權服務 > 系統登入。
請選取這個選項來啟用 Stateful 階段作業,通常是為了提升效能而使用這類階段作業。
用戶端與伺服器之間的第一次聯絡必須進行完整鑑別。 不過,具備有效階段作業的所有後續聯絡都會重複使用這項安全資訊。用戶端會傳遞環境定義 ID 給伺服器,來查閱階段作業。環境定義 ID 以連線為範圍,可以保證唯一性。 每當安全階段作業無效時,如果啟用鑑別重試(這是預設值),用戶端安全攔截程式就會驗證用戶端階段作業,且會在使用者不知不覺的情況下重新提出要求。如果階段作業不在伺服器中,就可能發生這種狀況,例如,伺服器失敗且回復作業。 當停用這個值時,每個方法呼叫都必須重新鑑別。
讓您能使用自訂遠端方法呼叫 (RMI) 出埠登入模組。
自訂登入模組會在預定的 RMI 出埠呼叫之前,對映或完成其他功能。
如果 RMI/IIOP 通訊跨越不同的網域範圍,請利用這個鏈結來新增出埠授信網域範圍。
認證記號只會傳給授信網域範圍。 另外,接收端伺服器應該利用入埠授信網域範圍配置來驗證 LTPA 記號,以信任這個網域範圍。
標示(線上)的鏈結表示需要存取網際網路。