Setările comunicaţiilor de ieşire CSIv2 (Common Secure Interoperability Version 2)

Utilizaţi această pagină pentru a specifica ce caracteristici suportă un server când se comportă ca un client pentru alt server din aval.

Pentru a vizualiza această pagină de consolă administrativă, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Din Autentificare, apăsaţi pe Securitate RMI/IIOP > Comunicaţii de ieşire CSIv2.
Caracteristicile de autentificare includ trei niveluri de autentificare pe care le puteţi utiliza simultan:
Propagarea atributelor de securitate

Specifică să se suporte propagarea atributelor de securitate în timpul cererilor de logare. Când selectaţi această opţiune, serverul de aplicaţii reţine informaţii suplimentare despre cererea de logare, cum ar fi tăria autentificării utilizate şi reţine identitatea şi locaţia originatorului cererii.

Dacă nu selectaţi această opţiune, serverul de aplicaţii nu acceptă ca vreo informaţie de logare suplimentară să se propage la serverele din aval.

Implicit: Activat
Important: Când utilizaţi serviciile de replicare, asiguraţi-vă că opţiunea Propagarea atirbutelor de securitate este activată.
Utilizarea identităţii de încredere server

Specifică identitatea de server pe care serverul de aplicaţii o utilizează pentru a stabili încrederea cu serverul destinaţie. Identitatea serverului poate fi trimisă utilizând una dintre următoarele metode:

  • Un ID server şi parolă când parola serverului este specificată în configuraţia registrului.
  • Un ID server într-un token LTPA (Lightweight Third Party Authentication) când se utilizează ID-ul de server intern.
Pentru interoperabilitate cu alte servere de aplicaţii decât WebSphere Application Server, utilizaţi una dintre următoarele metode:
  • Configuraţi ID-ul de server şi parola în registru.
  • Selectaţi opţiunea Identitate de încredere server şi specificaţi identitatea de încredere şi parola, pentru ca un token GSSUP (Generic Security Services Username Password) să fie trimis în loc de un token LTPA.
Implicit: Dezactivat
Specificaţi o identitate de încredere alternativă

Specifică un utilizator alternativ ca identitate de încredere care este trimisă la serverele destinaţie în loc să se trimită identitatea serverului.

Această opţiune este recomandată pentru aserţiunea identităţii. Identitatea este automat de încredere când este trimisă în aceeaşi celulă şi nu trebuie să fie în lista de identităţi de încredere în aceeaşi celulă. Totuşi, această identitate trebuie să fie în registrul de servere destinaţie dintr-o celulă externă, iar ID-ul de utilizator trebuie să fie pe lista de identităţi de încredere sau identitatea este respinsă în timpul evaluării încrederii.

Implicit: Dezactivat
Identitate de încredere

Specifică identitatea de încredere care este trimisă de la serverul emiţător la serverul receptor.

Dacă specificaţi o identitate în acest câmp, aceasta poate fi selectată pe panoul pentru magazia contului dumneavoastră de utilizator configurată. Dacă nu specificaţi o identitate, se trimite un token LTPA (Lightweight Third Party Authentication) între servere.

[AIX Solaris HP-UX Linux Windows] [iSeries] Specifică o listă separată prin bare verticale (|) de ID-uri de utilizator administrator server de încredere, care sunt de încredere pentru a realiza aserţiunea identităţii pe acest server. De exemplu, serverid1|serverid2|serverid3. Serverul de aplicaţii suportă caracterul virgulă (,) ca delimitator de listă pentru compatibilitate înapoi (invers). Serverul de aplicaţii verifică acest caracter virgulă când caracterul bară verticală (|) nu reuşeşte să găsească un ID server de încredere valid.

[z/OS] Specifică o listă de ID-uri de servere de încredere separate prin punct şi virgulă (;) sau virgulă (,), care sunt de încredere pentru a realiza aserţiunea identităţii pe acest server. De exemplu, serverid1;serverid2;serverid3 sau serverid1,serverid2,serverid3.

Utilizaţi această listă pentru a decide dacă un server este sau nu de încredere. Chiar dacă serverul este pe listă, serverul emiţător tot trebuie să se autentifice cu serverul receptor pentru a accepta token-ul de identitate al serverului emiţător.

Parolă

Specifică parola care este asociată cu identitatea de încredere.

Tip date: Text
Confirmare parolă

Confirmă parola care este asociată cu identitatea de încredere.

Tip date: Text
Autentificarea nivelului de mesaje

Sunt disponibile următoarele opţiuni pentru autentificarea nivelului de mesaje:
Niciodată
Specifică faptul că acest server nu poate accepta autentificarea cu ID de utilizator şi parolă.
Suportat
Specifică faptul că un client care comunică cu acest server poate specifica un ID de utilizator şi parolă. Totuşi, o metodă ar putea fi invocată fără acest tip de autentificare. De exemplu, s-ar putea utiliza în schimb un certificat de client sau anonim.
Necesar
Specifică faptul că un client care comunică cu acest server trebuie să specifice un ID de utilizator şi parolă pentru orice cerere de metodă.
Permite autentificarea client la server cu:

Specifică autentificarea client-la-server utilizând autentificare Kerberos, LTPA sau Basic (de bază).

Următoarele opţiuni sunt disponibile pentru autentificarea client la server:
Kerberos (KRB5)
Selectaţi pentru a specifica Kerberos ca mecanism de autentificare. Mai întâi trebuie să configuraţi mecanismul de autentificare Kerberos. Citiţi despre Configurarea Kerberos ca mecanism de autentificare utilizând consola administrativă pentru informaţii suplimentare.
LTPA
Selectaţi pentru a configura şi a activa autentificarea cu token LTPA (Lightweight Third-Party Authentication).
Autentificare de bază
Autentificarea de bază este GSSUP (Generic Security Services Username Password). Acest tip de autentificare de obicei implică trimiterea unui ID de utilizator şi a unei parole de la client la server pentru autentificare.

Dacă selectaţi Autentificare de bază şi LTPA şi mecanismul de autentificare activ este LTPA, serverul se duce cu un server în aval cu un nume de utilizator, parolă sau token LTPA.

Dacă selectaţi Autentificare de bază şi KRB5 şi mecanismul de autentificare activ este KRB5, serverul se duce cu un server în aval cu un nume de utilizator, parolă, token Kerberos sau token LTPA.

Dacă nu selectaţi Autentificare de bază, serverul nu se duce cu un server în aval cu un nume de utilizator şi parolă.

Transport

Specifică dacă procesele de client se conectează la server utilizând unul dintre transporturile sale conectate.

Puteţi alege fie să utilizaţi SSL (Secure Sockets Layer), TCP/IP sau ambele ca transport de intrare pe care îl suportă un server. Dacă specificaţi TCP/IP, serverul suportă numai TCP/IP şi nu poate accepta conexiuni SSL. Dacă specificaţi suportat-SSL, acest server poate suporta şi conexiuni TCP/IP şi SSL. Dacă specificaţi necesar-SSL, atunci toate serverele care comunică cu acesta trebuie să utilizeze SSL.

Note: Această opţiune nu este disponibilă pe sistemul de operare z/OS decât dacă există şi nodurile Versiunii 6.0.x şi cele anterioare în celulă.
TCP/IP
Dacă selectaţi TCP/IP, atunci serverul deschide un port ascultător TCP/IP şi nici o cerere de intrare nu are protecţie SSL.
necesar-SSL
Dacă selectaţi necesar-SSL, atunci serverul deschide un port ascultător SSL şi toate cererile de intrare sunt primite utilizând SSL.
suportat-SSL
Dacă selectaţi suportat-SSL, atunci serverul deschide şi un port ascultător SSL şi unul TCP-IP şi majoritatea cererilor de intrare sunt primite utilizând SSL.
Furnizaţi un număr de port fix pentru următoarele porturi. Un număr de port zero indică faptul că se face o alocare dinamică la rulare.[AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Implicit: Suportat-SSL
Interval: TCP/IP, Necesar SSL, Suportat-SSL
Setări SSL

Specifică o listă de setări SSL predefinite din care să alegeţi pentru conexiunea de intrare.

[z/OS] Note: Această opţiune nu este disponibilă pe sistemul de operare z/OS decât dacă există şi nodurile Versiunii 6.0.x şi cele anterioare în celulă.
Tip date: Şir
[AIX Solaris HP-UX Linux Windows] [iSeries] Implicit: DefaultSSLSettings
[z/OS] Implicit: DefaultIIOPSSL
Interval: Toate setările SSL configurate în SSL Configuration Repertoire
Autentificare certificat client

Specifică dacă se utilizează un certificat de client de la depozitul de chei configurat pentru autentificare la server când se face conexiunea SSL între acest server şi un server din aval, dat fiind că serverul din aval suportă autentificarea certificatului de client.

În mod normal, autentificarea certificatului de client are o performanţă mai ridicată decât autentificarea nivelului de mesaje, dar necesită o setare suplimentară. Aceşti paşi suplimentari includ verificarea că acest server are un certificat personal şi că serverul din aval are certificatul semnatarului pentru acest server.

Dacă selectaţi autentificarea certificatului de client, sunt disponibile următoarele opţiuni:
Niciodată
Specifică faptul că acest server nu încearcă autentificarea certificatului de client SSL (Secure Sockets Layer) cu serverele din aval.
Suportat
Specifică faptul că acest server poate utiliza certificate de client SSL pentru autentificare la servere din aval. Totuşi, o metodă poate fi invocată fără acest tip de autentificare. De exemplu, serverul poate utiliza în loc autentificare de bază sau anonimă.
Necesar
Specifică faptul că acest server trebuie să utilizeze certificate de client SSL pentru autentificare la servere din aval.
Implicit: Activat
Configurarea logării

Specifică tipul de configuraţie de logare pe sistem de utilizat pentru autentificarea de intrare.

Puteţi adăuga module de logare personalizate, apăsând pe Securitate > Securitate globală. Din Autentificare, apăsaţi pe Java Authentication and Authorization Service > Logări pe sistem.

Sesiuni stateful

Selectaţi această opţiune pentru a activa sesiunile stateful, care sunt utilizat în principal pentru îmbunătăţiri ale performanţei.

Primul contact dintre un client şi un server trebuie să se autentifice complet. Totuşi, toate contactele ulterioare cu sesiuni valide reutilizează informaţiile de securitate. Clientul transmite un ID contextual la server şi ID-ul este utilizat pentru a căuta sesiunea. ID-ul contextual are ca domeniu conexiunea, ceea ce garantează unicitatea. Ori de câte ori sesiunea de securitate nu este validă şi este activată reîncercarea autentificării, care este valoarea implicită, interceptorul de securitate pe partea de client invalidează sesiunea pe parte de client şi lansează din nou cererea fără ştiinţa utilizatorului. Această situaţie ar putea apărea dacă sesiunea nu există pe server, de exemplu, serverul a eşuat şi a reluat operaţia. Când această valoare este dezactivată, fiecare invocare de metodă trebuie să se autentifice din nou.

Activarea limitei de cache sesiune CSIv2

Specifică dacă să se limiteze dimensiunea memoriei cache a sesiunii CSIv2.

Când activaţi această opţiune, trebuie să setaţi valori pentru opţiunile Dimensiune maximă cache şi Timeout sesiune nefolosită. Când nu activaţi această opţiune, memoria cache a sesiunii CSIv2 nu este limitată.

În versiunile anterioare ale serverului de aplicaţii, e posibil să fi setat această valoare ca proprietatea personalizată com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. În această versiune de produs, este recomandat să setaţi această valoare utilizând acest panou al consolei administrative şi nu ca proprietate personalizată.

Implicit: false (fals)
Dimensiune maximă cache

Specificaţi dimensiunea maximă a memoriei cache a sesiunii după care sesiunile expirate sunt şterse din cache.

Sesiunile expirate sunt definite ca sesiuni care sunt nefolosite mai mult decât timpul care este specificat în câmpul Timeout sesiune nefolosită. Când specificatţi o valoare pentru câmpul Dimensiune maximă cache, aveţi în vedere setarea valorii sale între 100 şi 1000 de intrări.

Luaţi în considerare specificarea unei valori pentru acest câmp dacă mediul dumneavoastră utilizează autentificare Kerberos şi are o mică deviere a ceasului pentru KDC-ul (Centru de distribuţie chei) configurat. În acest scenariu, o mică deviere a ceasului este definită ca mai puţin de 20 de minute. Luaţi în considerare creşterea valorii acestui câmp dacă dimensiunea mică a cache-ului face ca colectarea gunoiului să ruleze atât de des încât are impact asupra performanţei serverului de aplicaţii.

În versiunile anterioare ale serverului de aplicaţii, e posibil să fi setat această valoare ca proprietatea personalizată com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. În această versiune de produs, este recomandat să setaţi această valoare utilizând acest panou al consolei administrative şi nu ca proprietate personalizată.

Acest câmp se aplică numai dacă activaţi ambele opţiuni Sesiuni stateful şi Activarea limitei cache de sesiune CSIv2.

Implicit: Implicit, nu este setată o valoare.
Interval: De la 100 la 1000 de intrări
Timeout sesiune nefolosită

Această proprietate specifică timpul în milisecunde cat o sesiune CSIv2 poate rămâne nefolosită înainte de a fi ştearsă. Sesiunea este ştearsă dacă selectaţi opţiunea Activarea limitei cache a sesiunii CSIv2 şi valoarea câmpului Dimensiune maximă cache este depăşită.

Această valoare de timeout se aplică numai dacă activaţi ambele opţiuni Sesiuni stateful şi Activarea limitei cache de sesiune CSIv2. Luaţi în considerare micşorarea valorii pentru acest câmp dacă mediul dumneavoastră utilizează autentificare Kerberos şi are o mică deviere a ceasului pentru KDC-ul (Centru de distribuţie chei) configurat. În acest scenariu, o mică deviere a ceasului este definită ca mai puţin de 20 de minute. O mică deviere a ceasului poate avea ca rezultat un număr mai mare de sesiuni CSIv2 respinse. Totuţi, cu o valoare mai mică pentru câmpul Timeout sesiune nefolosită, serverul de aplicaţii poate curăţa aceste sesiuni respinse mai des şi eventual reduce penele de resurse.

În versiunile anterioare ale WebSphere Application Server, e posibil să fi setat această valoare ca proprietatea personalizată com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. În această versiune de produs, este recomandat să setaţi această valoare utilizând acest panou al consolei administrative şi nu ca proprietate personalizată. Dacă înainte aţi setat-o ca proprietate personalizată, valoarea a fost setată în milisecunde şi convertita pe acest panou al consolei administrative în secunde. Pe acest panou al consolei administrative, trebuie să specificaţi valoarea în secunde.

Implicit: Implicit, nu este setată o valoare.
Interval: De la 60 la 86.400 secunde
Mapare de ieşire personalizată

Permite utilizarea modulelor de logare de ieşire RMI (Remote Method Invocation - Invocare metodă la distanţă).

Modulul de logare personalizat mapează sau finalizează alte funcţii înainte de apelul de ieşire RMI predefinit.

Pentru a declara o mapare de ieşire personalizată, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Din Autentificare, apăsaţi pe Java Authentication and Authorization Service > Logări pe sistem > Nou.
Regiuni de autentificare de încredere - ieşire

Dacă comunicaţia RMI/IIOP este peste regiuni diferite, utilizaţi această legătură pentru a adăuga regiunile de încredere de ieşire.

Token-urile de acreditare sunt trimise numai la regiunile care sunt de încredere. În plus, serverul receptor ar trebui să aibă încredere în această regiune utilizând configuraţia regiunilor de încredere de intrare pentru a valida token-ul LTPA.




Legăturile marcate (online) necesită acces la internet.

Related tasks


Nume fişier: usec_outbound.html