使用此页面来指定服务器作为另一台下游服务器的客户机时所支持的功能。
指定此选项以便在登录请求期间支持安全性属性传播。选择此选项后,应用程序服务器将保留有关登录请求的其他信息(例如使用的认证强度),并保留请求发起方的标识和位置。
如果未选择此选项,应用程序服务器就不接受传播到下游服务器的任何其他登录信息。
缺省值: | 已启用 |
指定在执行下游 Enterprise JavaBeans™(EJB)调用期间,标识声明是从一台服务器向另一台服务器声明标识的方法。
此服务器将不重新认证已声明的标识,因为它信任上游服务器。标识声明优先于其他所有的认证类型。
标识声明在属性层中执行,并且只可以在服务器上应用。根据优先顺序规则在服务器上确定主体。如果执行标识声明,那么总是从属性层派生标识。如果在没有标识声明的情况下使用基本认证,那么将始终从消息层中派生出标识。最后,如果在没有基本认证或标识声明的情况下执行 SSL 客户机证书认证,那么从传输层中派生出标识。
声明的标识是调用凭证,它是由企业 bean 的 RunAs 方式确定的。如果 RunAs 方式为“客户机”,那么标识是客户机标识。如果 RunAs 方式为“系统”,那么标识是服务器标识。如果 RunAs 方式为“指定的”,那么标识是指定的一个标识。 接收服务器接收标识令牌中的标识,并且也接收客户机认证令牌中的发送服务器标识。接收服务器通过“可信的服务器标识”输入框,将发送服务器标识验证为可信的标识。输入以竖线(|)分隔的主体名称的列表,例如,serverid1|serverid2|serverid3。
所有标识令牌类型都映射到活动用户注册表的用户标识字段。对于 ITTPrincipal 标识令牌,此令牌以一对一的形式映射到用户标识字段。对于 ITTDistinguishedName 标识令牌,将第一个等号的值映射到用户标识字段。对于 ITTCertChain 标识令牌,将专有名称的第一个等号的值映射到用户标识字段。
向 LDAP 用户注册表认证时,LDAP 过滤器确定类型为 ITTCertChain 和 ITTDistinguishedName 的标识如何映射到注册表。如果令牌类型为 ITTPrincipal,那么主体映射到 LDAP 注册表中的 UID 字段。
缺省值: | 已禁用 |
指定服务器标识,应用程序服务器将使用此标识来与目标服务器建立信任关系。可以通过下列其中一种方法来发送服务器标识:
缺省值: | 已禁用 |
指定一个备用用户作为要发送到目标服务器的可信标识(以代替发送服务器标识)。
对于标识声明来说,建议您选择此选项。当在同一个单元中发送该标识时,将自动信任该标识,它无需包含在同一单元中的可信标识列表中。但是,外部单元中目标服务器的注册表必须包含此标识,并且可信标识列表必须包含用户标识,否则在可信评估期间将拒绝此标识。
缺省值: | 已禁用 |
指定从发送服务器发送到接收服务器的可信标识。
如果在此字段中指定了标识,那么可以在已配置的用户帐户存储库的面板上选择此标识。如果未指定标识,那么将在服务器之间发送轻量级第三方认证(LTPA)令牌。
指定以竖线(|)分隔的可信服务器管理员用户标识列表,这些标识对于向此服务器执行标识声明是可信的。例如,serverid1|serverid2|serverid3。应用程序服务器支持逗号(,)字符作为向后兼容性的列表定界符。当竖线(|)无法找到有效的可信服务器标识时,应用程序服务器检查逗号字符。
指定以分号(;)或逗号(,)分隔的可信服务器标识列表,这些标识对于向此服务器执行标识声明是可信的。例如,serverid1;serverid2;serverid3 或 serverid1,serverid2,serverid3。
使用此列表确定服务器是否是可信的。即使服务器在列表上,为了接受发送服务器的标识令牌,发送服务器仍必须向接收服务器认证。
指定与可信标识相关联的密码。
数据类型: | 文本 |
确认与可信标识相关联的密码。
数据类型: | 文本 |
指定使用 Kerberos、LTPA 或基本认证进行客户机至服务器的认证。
如果您选择基本认证和 LTPA,并且现行认证机制是 LTPA,那么服务器将使用用户名、密码或 LTPA 令牌进入下游服务器。
如果您选择基本认证和 KRB5,并且现行认证机制是 KRB5,那么服务器将使用用户名、密码、Kerberos 令牌或 LTPA 令牌进入下游服务器。
如果您未选择基本认证,那么服务器不会使用用户名和密码进入下游服务器。
指定客户机进程是否使用它的一个已连接传输连接到服务器。
您可以选择使用安全套接字层(SSL)、TCP/IP 或者两样都用,以作为服务器支持的入站传输。如果您指定 TCP/IP,服务器仅支持 TCP/IP 而不能接受 SSL 连接。如果您指定支持 SSL,此服务器可以支持 TCP/IP 连接或 SSL 连接。如果您指定需要 SSL,那么与它通信的任何服务器都必须使用 SSL。
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
缺省值: | 支持 SSL |
范围: | TCP/IP、需要 SSL、支持 SSL |
指定要从入站连接选择的预定义的 SSL 设置的列表。
数据类型: | 字符串 |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
范围: | 在“SSL 配置指令表”中配置的任何 SSL 设置 |
指定当在此服务器与下游服务器之间建立 SSL 连接时,倘若下游服务器支持客户机证书认证的话,是否使用已配置的密钥库中的客户机证书来向此服务器认证。
通常,客户机证书认证的性能比消息层认证高,但需要一些其他的设置步骤。 这些额外的步骤包括验证该服务器是否有个人证书,以及下游服务器是否有该服务器的签署者证书。
缺省值: | 已启用 |
指定用于入站认证的系统登录配置的类型。
可以通过单击安全性 > 全局安全性添加定制登录模块。在“认证”下,单击 Java™ 认证和授权服务 > 系统登录。
选择此选项以启用有状态的会话,这些会话主要用于提高性能。
客户机和服务器之间第一次联系必须充分认证。但是,所有具有有效会话的后继联系将复用安全信息。客户机将上下文标识传递给服务器,服务器将使用该标识查找会话。上下文标识的作用域仅限于连接,这保证了唯一性。只要安全会话无效并且已启用认证重试(缺省值),客户端安全拦截器就会使客户端会话失效,并且在用户不知道的情况下重新提交请求。如果服务器上不存在该会话,那么可能发生这种情况,例如,服务器失败并且继续操作。禁用此值时,每个方法调用都必须重新认证。
启用定制远程方法调用(RMI)出站登录模块的使用。
定制登录模块在执行预定义的 RMI 出站调用之前将映射或完成其他功能。
如果在不同域之间进行 RMI/IIOP 通信,那么使用此链接来添加出站可信域。
仅将凭证令牌发送至可信域。此外,用于接收令牌的服务器应通过使用入站可信域配置来验证 LTPA 令牌从而信任此域。
标有(在线)的链接要求访问因特网。