公共安全互操作性 V2 入站通信设置

使用此页面来指定服务器为使客户机访问其资源所支持的功能。

要查看此管理控制台页面,请完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“认证”下,单击 RMI/IIOP 安全性 > CSIv2 入站通信

将公共安全互操作性(CSI)入站通信设置用于配置包含在入局请求或传输中的认证信息的类型。

认证功能部件包括您可以同时使用的三层认证:

“配置”选项卡

传播安全属性

指定在登录请求期间支持安全性属性传播。选择此选项后,应用程序服务器将保留有关登录请求的其他信息(例如使用的认证强度),并保留请求发起方的标识和位置。

如果未选择此选项,应用程序服务器就不接受传播到下游服务器的任何其他登录信息。

缺省值: 已启用
使用标识声明

指定在执行下游 Enterprise JavaBeans™(EJB)调用期间,标识声明是从一台服务器向另一台服务器声明标识的方法。

此服务器将不重新认证已声明的标识,因为它信任上游服务器。标识声明优先于其他所有的认证类型。

标识声明在属性层中执行,并且只可以在服务器上应用。根据优先顺序规则在服务器上确定主体。如果使用了标识声明,那么始终将从属性层派生标识。如果在没有标识声明的情况下使用基本认证,那么将始终从消息层中派生出标识。最后,如果在没有基本认证或标识声明的情况下执行 SSL 客户机证书认证,那么从传输层中派生出标识。

声明的标识是调用凭证,它是由企业 bean 的 RunAs 方式确定的。如果 RunAs 方式为“客户机”,那么标识是客户机标识。如果 RunAs 方式为“系统”,那么标识是服务器标识。如果 RunAs 方式为“指定的”,那么标识是指定的一个标识。 接收服务器接收标识令牌中的标识,并且也接收客户机认证令牌中的发送服务器标识。接收服务器通过“可信的服务器标识”输入框,将发送服务器标识验证为可信的标识。输入以竖线(|)分隔的主体名称的列表,例如,serverid1|serverid2|serverid3

所有标识令牌类型都映射到活动用户注册表的用户标识字段。对于 ITTPrincipal 标识令牌,此令牌以一对一的形式映射到用户标识字段。对于 ITTDistinguishedName 标识令牌,将第一个等号的值映射到用户标识字段。对于 ITTCertChain 标识令牌,将专有名称的第一个等号的值映射到用户标识字段。

向 LDAP 用户注册表认证时,LDAP 过滤器确定类型为 ITTCertChain 和 ITTDistinguishedName 的标识如何映射到注册表。如果令牌类型为 ITTPrincipal,那么主体映射到 LDAP 注册表中的 UID 字段。

缺省值: 已禁用
可信标识

指定从发送服务器发送到接收服务器的可信标识。

[AIX Solaris HP-UX Linux Windows] [iSeries] 指定以竖线(|)分隔的可信服务器管理员用户标识列表,这些标识对于向此服务器执行标识声明是可信的。例如,serverid1|serverid2|serverid3。应用程序服务器支持逗号(,)字符作为向后兼容性的列表定界符。当竖线(|)无法找到有效的可信服务器标识时,应用程序服务器检查逗号字符。

[z/OS] 指定以分号(;)或逗号(,)分隔的可信服务器标识列表,这些标识对于在此服务器上使用标识声明是可信的。例如,以下列表可能是一些可信标识:serverid1;serverid2;serverid3serverid1,serverid2,serverid3

使用此列表确定服务器是否是可信的。即使服务器在列表上,为了接受发送服务器的标识令牌,发送服务器仍必须向接收服务器认证。

数据类型: 字符串
客户机证书认证

指定在方法请求期间,客户机和服务器之间建立初始连接时执行的认证。

在传输层中,发生安全套接字层(SSL)客户机证书认证。在消息层中,使用基本认证(用户标识和密码)。通常客户机证书认证的性能比消息层认证高,但需要一些其他的设置。这些附加步骤包括验证服务器信任与其连接的每个客户机的签署者证书。如果客户机使用认证中心(CA)来创建它的个人证书,那么您只需要在 SSL 信任文件的服务器签署者部分中有 CA 根证书。

[AIX Solaris HP-UX Linux Windows] [iSeries] 向轻量级目录访问协议(LDAP)用户注册表认证证书时,根据配置 LDAP 时指定的过滤器映射专有名称(DN)。向本地操作系统用户注册表认证证书时,证书中专有名称(DN)的第一个属性(通常是公共名)映射到注册表中的用户标识。

[z/OS] 向本地操作系统用户注册表认证证书时,证书映射到注册表中的用户标识。

仅当不向服务器提供其他认证层时,才使用客户机证书的标识。

从不
指定客户机不能尝试向此服务器进行安全套接字层(SSL)客户机证书认证。
受支持
指定连接到此服务器的客户机可以使用 SSL 客户机证书进行认证。然而,服务器可以不使用此认证类型而调用方法。例如,可以改为使用匿名或基本认证。
必需
指定连接到此服务器的客户机在调用方法之前必须使用 SSL 客户机证书进行认证。
传输

指定客户机进程是否使用它的一个已连接传输连接到服务器。

可以选择将安全套接字层(SSL)和/或 TCP/IP 作为服务器支持的入站传输。如果您指定 TCP/IP,服务器仅支持 TCP/IP 而不能接受 SSL 连接。如果您指定支持 SSL,此服务器可以支持 TCP/IP 连接或 SSL 连接。如果您指定需要 SSL,那么与它通信的任何服务器都必须使用 SSL。

注: 在 z/OS® 平台上,除非单元中同时存在 V6.0.x 和更早版本的节点,否则此选项不可用。
TCP/IP
如果您选择 TCP/IP,那么服务器只打开 TCP/IP 侦听器端口并且所有入站请求都没有 SSL 保护。
需要 SSL
如果您选择需要 SSL,那么服务器只打开 SSL 侦听器端口并且使用 SSL 接收所有入站请求。
支持 SSL
如果您选择支持 SSL,那么服务器打开 TCP/IP 和 SSL 侦听器端口,并且使用 SSL 接收多数入站请求。
为下列端口提供固定的端口号。如果端口号为 0,那么表示将在运行时动态指定端口号。[AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

缺省值: 支持 SSL
范围: TCP/IP、需要 SSL、支持 SSL
SSL 设置

指定要从入站连接选择的预定义的 SSL 设置的列表。

[z/OS] 注: 在 z/OS 平台上,除非单元中同时存在 V6.0.x 和更早版本的节点,否则此选项不可用。
数据类型: 字符串
[AIX Solaris HP-UX Linux Windows] [iSeries] 缺省值: DefaultSSLSettings
[z/OS] 缺省值: DefaultIIOPSSL
范围: 在“SSL 配置指令表”中配置的任何 SSL 设置
消息层认证

下列选项可用于消息层认证:
从不
指定此服务器不能接受用户标识和密码认证。
受支持
指定与此服务器通信的客户机可以指定用户标识和密码。然而,可以不使用此认证类型来调用方法。例如,可能会改为使用匿名或客户机证书。
必需
指定与此服务器通信的客户机必须对任何方法请求指定用户标识和密码。
允许通过以下方法进行客户机至服务器的认证:

指定使用 Kerberos、LTPA 或基本认证进行客户机至服务器的认证。

下列选项可用于客户机至服务器的认证:
Kerberos(KRB5)
选择此项以指定 Kerberos 作为认证机制。您必须首先配置 Kerberos 认证机制。请阅读使用管理控制台将 Kerberos 配置为认证机制以了解更多信息。
LTPA
选择此项以指定 LTPA 令牌认证
基本认证
基本认证是类属安全性服务用户名密码(GSSUP)。此类型的认证通常包括将用户标识和密码从客户机发送到服务器来进行认证。

如果您选择基本认证LTPA,并且现行认证机制是 LTPA,那么接受用户名、密码和 LTPA 令牌。

如果您选择基本认证KRB5,并且现行认证机制是 KRB5,那么接受用户名、密码、Kerberos 令牌和 LTPA 令牌。

如果您未选择基本认证,那么服务器将不接受用户名和密码。

登录配置

指定用于入站认证的系统登录配置的类型。

可以通过单击安全性 > 全局安全性添加定制登录模块。在“认证”下,单击 Java™ 认证和授权服务 > 系统登录

有状态的会话

选择此选项以启用有状态的会话,这些会话主要用于提高性能。

客户机和服务器之间第一次联系必须充分认证。但是,所有具有有效会话的后继联系将复用安全信息。客户机将上下文标识传递给服务器,服务器将使用该标识查找会话。上下文标识的作用域仅限于连接,这保证了唯一性。只要安全会话无效并且已启用认证重试(缺省值),客户端安全拦截器就会使客户端会话失效,并且在用户不知道的情况下重新提交请求。如果服务器上不存在该会话,那么可能发生这种情况;例如,服务器失败并且继续操作。禁用此值时,每个方法调用都必须重新认证。

缺省值: 已启用



标有(在线)的链接要求访问因特网。

相关任务
相关参考
Java 认证和授权服务的系统登录配置条目设置
认证机制和到期


文件名: usec_inbound.html