Mechanismy ověřování a vypršení platnosti

Tato stránka slouží k zadání sdílených klíčů a ke konfiguraci mechanizmu ověřování, který se používá k výměně informací mezi servery. Pomocí této stránky můžete rovněž zadat dobu, po kterou informace o ověřování zůstanou platné, a určit konfiguraci jednotného přihlášení.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Mechanismy ověřování a skončení platnosti > LTPA.
Po konfigurování vlastností na této stránce proveďte následující kroky:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V sekci Definice dostupné sféry ověřte, že je konfigurován příslušný registr.
  3. Klepněte na tlačítko Použít. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, vraťte se na panel Globální zabezpečení a klepnutím na tlačítko Použít změny ověřte.
Skupina sad klíčů

Určuje skupiny veřejných, soukromých a sdílených klíčů. Tyto skupiny klíčů umožňují aplikačnímu serveru spravovat více sad klíčů LTPA (Lightweight Third Party Authentication).

Vygenerovat klíče

Určuje, zda chcete v konfigurovaném úložišti klíčů vygenerovat novou sadu klíčů LTPA a aktualizovat novými klíči běhovou komponentu. Ve výchozím nastavení je opětovné generování klíčů LTPA plánováno na každých 90 dní a lze je konfigurovat na konkrétní den v týdnu.

Každá nová sada klíčů LTPA je uložena v úložišti klíčů přidruženému ke skupině sad klíčů. Lze konfigurovat maximální počet klíčů (nebo dokonce jen jeden). Doporučuje se však mít alespoň dva klíče; v době, kdy se distribuují nové klíče, lze pro ověření použít staré klíče.

Tento krok není nutný v případě, že je povoleno zabezpečení. Při prvním spuštění serveru je vytvořena výchozí sada klíčů. Pokud během události generování klíčů neběží některé uzly, měly by být tyto uzly před restartováním synchronizovány pomocí správce zavedení.

Časový limit mezipaměti ověřování

Určuje časové období, po které je ověřené pověření v mezipaměti platné. Toto časové období musí být kratší než časové období zadané v poli Hodnota časového limitu pro předaná pověření mezi servery.

Pokud je povoleno zabezpečení infrastruktury aplikačního serveru, může časový limit mezipaměti ověřování ovlivnit výkon. Nastavení časového limitu určuje, jak často se mají aktualizovat mezipaměti související se zabezpečením. Do mezipaměti se ukládají informace o zabezpečení týkající se objektů typu bean, oprávnění a pověření. Po vypršení časového limitu mezipaměti budou veškeré informace uložené v mezipaměti, k nimž nebylo během časového limitu přistupováno, z mezipaměti uvolněny. Další požadavky na tyto informace vyvolají vyhledávání v databázi. Někdy získání informací vyžaduje vyvolání ověřování vázaného na protokol LDAP (Lightweight Directory Access Protocol) nebo nativního ověřování. Obě tato vyvolání představují relativně nákladné operace z hlediska výkonu. Na základě vzorů využití a potřeb zabezpečení u webového serveru stanovte pro aplikaci nejlepší variantu tohoto nastavení.

Mezi hodnotou časového limitu mezipaměti ověřování a hodnotou časového limitu požadavku ORB neexistuje žádný vztah.

[AIX Solaris HP-UX Linux Windows] [iSeries] Ve 20minutovém testu výkonu lze ověřit, zda je časový limit mezipaměti ověřování nastaven tak, aby časový limit během daného období 20 minut nevypršel. Tím lze dosáhnout 40% zlepšení výkonu.

Datový typ Celé číslo
Jednotky Minuty a sekundy
Výchozí hodnota 10 minut
Rozsah: Větší než 30 sekund
Hodnota časového limitu pro předaná pověření mezi servery

Určuje časový interval, v jehož průběhu jsou platné pověřovací údaje jiného serveru. Po uplynutí tohoto časového limitu je nutné obnovit platnost pověřovacích údajů jiného serveru.

Do tohoto pole zadejte hodnotu větší než hodnota zadaná v poli Časový limit mezipaměti ověřování.

Datový typ Celé číslo
Jednotky Minuty a sekundy
Výchozí hodnota 120 minut
Rozsah: Celé číslo mezi 5 a 35971
Heslo

Zadejte heslo, které se bude používat pro šifrování a dešifrování klíčů LTPA ze souboru vlastností funkce SSO. Během importu by toto heslo mělo odpovídat heslu použitému k exportu klíčů na jiném serveru LTPA (například na jiné buňce aplikačních serverů, na serveru Lotus Domino apod.). Během exportu si toto heslo zapamatujte, abyste je mohli zadat během operace importu.

Po vygenerování nebo importu se budou klíče používat k šifrování a dešifrování tokenu LTPA. Při každé změně hesla se po klepnutí na tlačítko OK nebo Použít automaticky vygeneruje nová sada klíčů LTPA. Nová sada klíčů se začne používat po uložení změn konfigurace.

Datový typ Řetězec
Potvrzení hesla

Určuje potvrzení hesla, které se používá pro šifrování a dešifrování klíčů LTPA.

Toto heslo použijte při importu těchto klíčů do jiných konfigurací administrativních domén aplikačních serverů a při konfiguraci funkce jednotného přihlášení (SSO) pro server Lotus Domino.

Datový typ Řetězec
Úplný název souboru s klíči

Určuje název souboru použitého k importu nebo exportu klíčů.

Zadejte úplný název souboru s klíči a klepněte na volbu Importovat klíče nebo Exportovat klíče.

Datový typ Řetězec
Interní ID serveru

Určuje ID serveru, které se používá pro meziprocesovou komunikaci mezi servery. ID serveru je při vzdáleném odeslání chráněno tokenem LTPA. Interní ID serveru lze upravit tak, aby bylo identické s ID serverů ve více administrativních doménách (buňkách) aplikačních serverů. Ve výchozím nastavení je tímto ID název buňky.

Toto interní ID serveru by se mělo používat pouze v prostředí verze 6.1 nebo vyšší. U buněk se smíšenými verzemi byste z důvodu interoperability měli přejít na používání ID uživatele serveru a hesla serveru.

Chcete-li z důvodu interoperability přejít zpět na ID a heslo uživatele serveru, proveďte následující kroky:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Úložiště uživatelského účtu klepněte na rozevírací seznam Definice dostupné sféry, vyberte registr uživatelů a klepněte na tlačítko Konfigurovat.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Vyberte volbu Identita serveru uložená v úložišti a zadejte platné ID registru a heslo.

[z/OS] Můžete zadat buď volbu Automaticky generovaná identita serveru, nebo Identita uživatele pro úlohu spuštěnou v rámci platformy z/OS.

Datový typ Řetězec
Importovat klíče

Určuje, zda server importuje nové klíče LTPA.

Chcete-li podporovat jednotné přihlášení (SSO) v produktu aplikačního serveru mezi více doménami (buňkami) aplikačních serverů, nastavte klíče LTPA a heslo jako sdílené mezi doménami. Pomocí volby Importovat klíče můžete importovat klíče LTPA z jiných domén. Klíče LTPA jsou exportovány z jedné z buněk do souboru. Chcete-li importovat novou sadu klíčů LTPA, proveďte následující kroky:
  1. Do polí Heslo a Potvrzení hesla zadejte příslušné heslo.
  2. Klepněte na tlačítko OK a Uložit.
  3. Zadejte umístění adresáře, ve kterém se nacházejí klíče LTPA, do pole Úplný název souboru s klíči a následně klepněte na volbu Importovat klíče.
  4. Neklepejte na tlačítko OK ani Použít, ale uložte nastavení.
Exportovat klíče

Určuje, zda server exportuje klíče LTPA.

Chcete-li podporovat jednotné přihlášení (SSO) v produktu WebSphere mezi více doménami (buňkami) aplikačních serverů, nastavte klíče LTPA a heslo jako sdílené mezi doménami. Pomocí volby Exportovat klíče exportujte klíče LTPA do jiných domén.

Chcete-li exportovat klíče LTPA, ověřte, zda systém běží s povoleným zabezpečením a používá protokol LTPA. Do pole Úplný název souboru s klíči zadejte název souboru a klepněte na tlačítko Exportovat klíče. Šifrované klíče jsou uloženy do zadaného souboru.

Používat mechanizmus SWAM (Simple WebSphere Authentication Mechanism) - bez ověřené komunikace mezi servery [AIX Solaris HP-UX Linux Windows]

Určuje mechanizmus SWAM (Simple WebSphere Authentication Mechanism). Mezi servery jsou předávána neověřená pověření. Pokud volající proces vyvolá metodu vzdáleného rozhraní, nebude jeho identita ověřena. V závislosti na oprávněních zabezpečení pro metody EJB by mohlo docházet k selhání ověření.

Mechanismus SWAM představuje neschválenou funkci a bude v příští verzi odebrán. Pro komunikaci mezi servery se doporučuje používat protokol LTPA.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy


Název souboru: usec_authmechandexpire.html