2-es változatú Közös biztonságos együttműködés kimenő kommunikációs beállítások

Az oldal segítségével meghatározhatók egy másik lefelé irányuló kiszolgáló felé ügyfélként szereplő kiszolgáló által támogatott jellemzők.

Az adminisztrációs konzol ezen oldalának megjelenítéséhez tegye a következőket:
  1. Kattintson a Biztonság > Globális biztonság elemre.
  2. A Hitelesítés szakaszban kattintson az RMI/IIOP biztonság> CSIv2 kimenő kommunikációk elemre.
A hitelesítési jellemzők három egyidejűleg használható hitelesítési réteget tartalmaznak:
Biztonsági attribútumok terjesztése

Meghatározza a bejelentkezési kérések során a biztonsági jellemzők terjesztésének támogatását. A lehetőség választásakor az alkalmazáskiszolgáló megőrzi a bejelentkezési kérés további információit, mint például a használt hitelesítés erősségét, és megőrzi a kérés-kezdeményező azonosságát és helyét.

Ha nem választja ki ezt a lehetőséget, akkor az alkalmazáskiszolgáló nem fogad el további bejelentkezési információkat a lefelé irányuló kiszolgálók felé terjesztéshez.

Alapértelmezett: Engedélyezett
Fontos: A többszörözési szolgáltatás igénybevételekor győződjön meg róla, hogy a Biztonsági jellemzők továbbítása beállítás engedélyezett.
Kiszolgáló által megbízhatónak tartott azonosság alkalmazása

Meghatározza az alkalmazáskiszolgáló által a célkiszolgáló felé tanúsítvány megvalósításához használt kiszolgáló azonosságot. A kiszolgáló azonosság az alábbi módokon küldhető el:

  • Kiszolgáló azonosítóként és jelszóként, ha a kiszolgáló jelszó a nyilvántartás konfigurációban megadott.
  • Kiszolgálói azonosítóként egy Egyszerűsített külső hitelesítés (LTPA) jelsorban, belső kiszolgáló azonosító használata esetén.
Egyéb, nem WebSphere Application Server alkalmazáskiszolgálókkal megvalósuló együttműködés érdekében, használja a következő módszerek egyikét:
  • Kiszolgáló azonosító és jelszó megadása a nyilvántartásban.
  • A Kiszolgáló által megbízhatónak tartott azonosság lehetőség kiválasztása, majd a megbízható azonosság és jelszó megadása, hogy az LTPA jelsor helyett egy együttműködésre képes Általános biztonsági szolgáltatás felhasználói név jelszó (GSSUP) jelsor legyen elküldve.
Alapértelmezett: Tiltott
Alternatív megbízható azonosság megadása

A célkiszolgálók felé küldéshez kiszolgáló azonosság helyett megbízható azonosságként egy alternatív felhasználót határoz meg.

A beállítás azonosság-érvényesítéshez ajánlott. Cellán belüli küldéskor az azonosság automatikusan megbízható, nem szükséges szerepelnie a cellán belüli megbízható azonosság listán. Az azonosságnak szerepelnie kell viszont külső cellában lévő célkiszolgálók nyilvántartásában, a felhasználói azonosítónak pedig rajta kell lennie megbízható azonosságok listáján, különben megbízhatóság kiértékeléskor az azonosság vissza lesz utasítva.

Alapértelmezett: Tiltott
Megbízható azonosság

Meghatározza a küldő kiszolgálótól a fogadó kiszolgáló számára elküldött megbízható azonosságot.

Ha ebben a mezőben azonosságot ad meg, akkor az kiválasztható a beállított felhasználói fiók lerakat panelen. Ha nem ad meg azonosságot, akkor a kiszolgálók között egy Egyszerűsített külső hitelesítés (LTPA) jelsor küldése valósul meg.

[AIX Solaris HP-UX Linux Windows] [iSeries] Csőjel (|) elválasztású listát határoz meg megbízható kiszolgáló adminisztrátor azonosítónevekkel, melyek a kiszolgálón megbízhatók azonosság kijelentés végrehajtására. Például: kiszolgálóazonosító_1|kiszolgálóazonosító_2|kiszolgálóazonosító_3. Az alkalmazáskiszolgáló listahatárolóként a vessző (,) karaktert támogatja a lefelé kompatibilitás érdekében. Ha az alkalmazáskiszolgáló nem talál érvényes kiszolgáló azonosítót a csőjel (|) elválasztással, akkor vessző (,) karakterrel is megvizsgálja.

[z/OS] Pontosvessző (;) vagy vessző (,) elválasztású listát határoz meg megbízható kiszolgáló azonosítókkal, melyek a kiszolgálón megbízhatók azonosság kijelentés végrehajtására. Például: kiszolgálóazonosító_1;kiszolgálóazonosító_2;kiszolgálóazonosító_3 vagy kiszolgálóazonosító_1,kiszolgálóazonosító_2,kiszolgálóazonosító_3.

A lista használatával döntse el, hogy megbízható-e egy kiszolgáló. Ha a kiszolgáló szerepel a listán, a küldő kiszolgálónak akkor is hitelesítenie kell a fogadó kiszolgálóval, a küldő kiszolgáló azonosság jelsorának elfogadásához.

Jelszó

A megbízható azonossághoz tartozó jelszót határozza meg.

Adattípus: Szöveg
Jelszó megerősítése

A megbízható azonossághoz tartozó jelszót erősíti meg.

Adattípus: Szöveg
Üzenetréteg hitelesítés

Az üzenetréteg hitelesítéshez a következő beállítások állnak rendelkezésre:
Soha
Meghatározza, hogy a kiszolgáló nem fogadhatja el a felhasználói név és jelszó hitelesítést.
Támogatott
Meghatározza, hogy a kiszolgálóval kommunikáló ügyfél megadhat felhasználói nevet és jelszót. Meghívható azonban ilyen hitelesítést nélkülöző módszer is. Például anonim- vagy ügyféligazolás is használható.
Kötelező
Meghatározza, hogy a kiszolgálóval kommunikáló ügyfeleknek bármilyen módszerkérésre felhasználói nevet és jelszót kell megadniuk.
Kiszolgálóhitelesítés engedélyezése az ügyfél számára a következővel:

Az ügyfél számára meghatározza a kiszolgálóhitelesítést Kerberos, LTPA vagy Alapszintű kiszolgáló segítségével.

A következő beállítások állnak rendelkezésre az ügyfél számára a kiszolgáló hitelesítéséhez:
Kerberos (KRB5)
Ha Kerberos hitelesítés mechanizmust szeretne megadni, akkor válassza ezt a lehetőséget. Először konfigurálnia kell a Kerberos hitelesítési mechanizmust. További információkért lásd: A Kerberos hitelesítési mechanizmus beállítása az adminisztrációs konzol segítségével.
LTPA
Az Egyszerűsített külső hitelesítés (LTPA) jelsor hitelesítés beállításához és engedélyezéséhez jelölje ki ezt a lehetőséget.
Alapvető hitelesítés
Az alap hitelesítési beállítás az Általános biztonsági szolgáltatás felhasználói név jelszó (GSSUP). Az ilyen jellegű hitelesítés esetén jellemzően az ügyfél felhasználói azonosítót és jelszót küld a kiszolgálónak hitelesítésre.

Ha az Alapvető hitelesítés és LTPA elemeket választja, és az aktív hitelesítési mechanizmus LTPA, akkor a kiszolgáló lefelé irányuló adatfolyam kiszolgálót fog használni felhasználói névvel, jelszóval vagy LTPA jelsorral.

Ha az Alapvető hitelesítés és KRB5 elemeket választja, és az aktív hitelesítési mechanizmus KRB5, akkor a kiszolgáló lefelé irányuló adatfolyam kiszolgálót fog használni felhasználói névvel, jelszóval Kerberos vagy LTPA jelsorral.

Ha nem választja ki az Alapvető hitelesítés lehetőséget, akkor a kiszolgáló nem működik lefelé irányuló adatfolyam kiszolgálóval felhasználói név és jelszó használatával.

Szállítás

Meghatározza, hogy az ügyfélfolyamatok a kiszolgálóhoz annak egyik szállítási kapcsolatával csatlakozzanak.

A kiszolgáló által támogatott bejövő szállításként választható Védett socket réteg (SSL), TCP/IP vagy mindkettő. TCP/IP megadása esetén a kiszolgáló csak TCP/IP protokollt támogat, és nem fogad el SSL kapcsolatokat. SSL-támogatott lehetőség megadása esetén a kiszolgáló TCP/IP és SSL kapcsolatokat is támogat. SSL-kötelező lehetőség megadása esetén a kiszolgálóval kommunikáló összes kiszolgálónak SSL kapcsolatot kell használnia.

Megjegyzés: A lehetőség nem érhető el z/OS operációs rendszeren, kivéve, ha a cellában 6.0.x változatú és korábbi csomópontok is vannak.
TCP/IP
TCP/IP lehetőség választása esetén a kiszolgáló csak egy TCP/IP figyelő portot nyit meg, és a bejövő kérések nem rendelkeznek SSL védelemmel.
SSL-kötelező
SSL-kötelező lehetőség választása esetén a kiszolgáló csak egy SSL figyelő portot nyit meg, és a bejövő kérések fogadása SSL alkalmazásával valósul meg.
SSL-támogatott
SSL-támogatott lehetőség választása esetén a kiszolgáló egy TCP/IP és egy SSL figyelő portot nyit meg, és a bejövő kérések többségének fogadása SSL alkalmazásával valósul meg.
Az alábbi portokra biztosítson rögzített portszámokat. A nulla portszám jelzi, hogy a futás során dinamikus hozzárendelés valósul meg. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Alapértelmezett: SSL-támogatott
Tartomány: TCP/IP, SSL-kötelező, SSL-támogatott
SSL beállítások

A bejövő kapcsolatokhoz megadható előre meghatározott SSL beállítások listája.

[z/OS] Megjegyzés: A lehetőség nem érhető el z/OS operációs rendszeren, kivéve, ha a cellában 6.0.x változatú és korábbi csomópontok is vannak.
Adattípus: Karaktersorozat
[AIX Solaris HP-UX Linux Windows] [iSeries] Alapértelmezett: DefaultSSLSettings
[z/OS] Alapértelmezett: DefaultIIOPSSL
Tartomány: Az SSL konfigurációs rejtjelkészletben meghatározott bármely SSL beállítás
Ügyféltanúsítvány hitelesítés

Meghatározza a kiszolgáló és a lefelé irányuló kiszolgáló között SSL kapcsolat megvalósulásakor a beállított kulcstároló ügyféltanúsítványának használatát hitelesítéshez, feltéve, hogy a lefelé irányuló kiszolgáló támogatja az ügyféltanúsítvány hitelesítést.

Az ügyféltanúsítvány hitelesítés jellemzően jobb, mint az üzenetréteg hitelesítés, viszont kiegészítő beállításokat igényel. Ezek a kiegészítő lépések tartalmazzák annak ellenőrzését, hogy a kiszolgáló rendelkezik-e személyes tanúsítvánnyal és hogy a lefelé irányuló kiszolgálónak megvan-e ennek a kiszolgálónak az aláírástanúsítványa.

Ügyféltanúsítvány hitelesítés választása esetén az alábbi lehetőségek érhetők el:
Soha
Meghatározza, hogy ez a kiszolgáló nem kísérel meg Védett socket réteg (SSL) ügyféltanúsítvány hitelesítést lefelé irányuló kiszolgálóval.
Támogatott
Meghatározza, hogy a kiszolgáló használhat SSL ügyféltanúsítványokat lefelé irányuló kiszolgálóval megvalósuló hitelesítéshez. Meghívható azonban ilyen hitelesítést nélkülöző módszer is. Például a kiszolgáló használhat anonim- vagy alapvető hitelesítést is.
Kötelező
Meghatározza, hogy a kiszolgálónak SSL ügyféltanúsítványokat kell használnia lefelé irányuló kiszolgálóval megvalósuló hitelesítéshez.
Alapértelmezett: Engedélyezett
Bejelentkezési konfiguráció

Meghatározza a rendszer bejövő hitelesítéshez használt bejelentkezési konfigurációjának típusát.

A Biztonság > Globális biztonság elem kiválasztásával egyéni bejelentkezési modulok vehetők fel. A Hitelesítés szakaszban válassza a Java hitelesítési és jogosultság szolgáltatás > Rendszer bejelentkezések elemet.

Állapotmegőrző szekciók

A lehetőség kiválasztásával a főleg teljesítményjavításhoz használt állapotmegőrző szekciók engedélyezettek lesznek.

Az ügyfél és kiszolgáló közötti első kapcsolatnak teljesen hitelesítettnek kell lennie. Az érvényes szekcióval rendelkező összes további kapcsolat viszont újrafelhasználja a biztonsági információkat. Az ügyfél kontextus azonosítót ad át a kiszolgálónak, és annak felhasználásával valósul meg a szekció kikeresése. A kontextus azonosító hatásköre a kapcsolat, ami garantálja az egyediséget. Ha hitelesítés újrapróbálkozás alapértelmezett engedélyezése esetén a biztonsági szekció nem érvényes, akkor az ügyféloldali biztonsági beavatkozó érvényteleníti az ügyféloldali szekciót és újra elküldi a kérést, anélkül, hogy a felhasználó tudna róla. Ez akkor fordulhat elő, ha a munkamenet nem létezik a kiszolgálón, például a kiszolgáló meghibásodott, majd újból működésbe lépett. A lehetőség tiltása esetén minden egyes módszer hívásnak újra hitelesítenie kell.

CSIv2 munkamenet gyorsítótár korlát engedélyezése

Megadja, hogy korlátozni kell-e a CSIv2 munkamenet gyorsítótár méretét.

Ha engedélyezi a beállítást, akkor értéket kell adnia a Maximális gyorsítótár méret és Tétlen munkamenet időkorlát beállításoknak. Ha nem engedélyezi ezt a beállítást, akkor a CSIv2 munkamenet gyorsítótára nem korlátozott.

Az alkalmazáskiszolgáló korábbi változataiban ezt az értéket beállíthatta a com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled egyéni tulajdonságként. Ebben a termékváltozatban ajánlott ezt az értéket az adminisztrációs konzol panelen beállítani, nem pedig egyéni tulajdonságként.

Alapértelmezett: false
Gyorsítótár maximális mérete

Adja meg a munkamenet gyorsítótár maximális méretét, amely után a lejárt munkamenetek törlődnek a gyorsítótárból.

A lejárt munkamenetek olyan munkamenetekként vannak meghatározva, amelyek a Tétlen munkamenet időkorlát mezőben megadott időnél hosszabb ideig tétlenek. Amikor értéket ad meg a Maximális gyorsítótár méret mezőnek, ajánlott az értéket 100 és 1000 bejegyzés közé állítani.

Fontolja meg, hogy értéket ad ennek az egyéni tulajdonságnak, ha a környezet Kerberos hitelesítést használ, és egy kis óra eltéréssel rendelkezik a beállított kulcselosztó központhoz (KDC) képest. Ebben a példahelyzetben a kis óra eltérés kevesebb, mint 20 percet jelent. Fontolja meg a mező értékének növelését, ha a kis gyorsítótár méret miatt a szemétgyűjtés olyan gyakran fut, hogy az befolyásolja az alkalmazáskiszolgáló teljesítményét.

Az alkalmazáskiszolgáló korábbi változataiban ezt az értéket beállíthatta a com.ibm.websphere.security.util.csiv2SessionCacheMaxSize egyéni tulajdonságként. Ebben a termékváltozatban ajánlott ezt az értéket az adminisztrációs konzol panelen beállítani, nem pedig egyéni tulajdonságként.

Ez a mező csak akkor érvényes, ha az Állapotmegőrző szekciók és a CSIv2 munkamenet gyorsítótár korlát engedélyezése beállításokat egyaránt engedélyezi.

Alapértelmezett: Alapértelmezésben az érték nincs beállítva.
Tartomány: Legalább 100, legfeljebb 1000 bejegyzés
Tétlen szekció időkorlát

Ez a tulajdonság megadja, hogy hány ezredmásodpercig maradhat a CSIv2 munkamenet tétlen, mielőtt törlésre kerül. A munkamenet törlésre kerül, ha kijelöli a CSIv2 munkamenet gyorsítótárkorlát engedélyezése beállítást, és a Maximális gyorsítótár méret mező értékét túllépi a rendszer.

Ez az időtúllépési érték csak akkor érvényes, ha az Állapotmegőrző szekciók és a CSIv2 munkamenet gyorsítótár korlát engedélyezése beállításokat egyaránt engedélyezi. Fontolja meg a mező értékének csökkentését, ha a környezet Kerberos hitelesítést használ, és egy kis óra eltéréssel rendelkezik a beállított kulcselosztó központhoz (KDC) képest. Ebben a példahelyzetben a kis óra eltérés kevesebb, mint 20 percet jelent. A kicsi óraeltérés nagyobb számú visszautasított CSIv2 szekciót eredményezhet. Ha azonban a Tétlen munkamenet időkorlátja mező értéke kisebb, akkor az alkalmazáskiszolgáló gyakrabban tudja törölni a visszautasított szekciókat, így csökkentve az erőforráshiányt.

A WebSphere alkalmazáskiszolgáló korábbi változataiban ezt az értéket beállíthatta a com.ibm.websphere.security.util.csiv2SessionCacheIdleTime egyéni tulajdonságként. Ebben a termékváltozatban ajánlott ezt az értéket az adminisztrációs konzol panelen beállítani, nem pedig egyéni tulajdonságként. Ha korábban egyéni tulajdonságként állította be, akkor az érték ezredmásodpercekben lett megadva, és az adminisztrációs konzol panelen kerül átváltásra másodpercekre. Ezen az adminisztrációs konzol panelen az értéket másodpercekben kell megadni.

Alapértelmezett: Alapértelmezésben az érték nincs beállítva.
Tartomány: Minimum 60, maximum 86,400 másodperc
Egyéni kimenő kiosztás

Engedélyezi az egyéni Távoli módszer hívás (RMI) kimenő modulok használatát.

Az egyéni bejelentkezési modul más funkciókat az előre meghatározott RMI kimenő hívás előtt oszt ki vagy hajt végre.

Egyéni kimenő kiosztás meghatározásához tegye a következőket:
  1. Kattintson a Biztonság > Globális biztonság elemre.
  2. A hitelesítés szakaszban kattintson a Java hitelesítési és felhatalmazási szolgáltatás > Rendszer bejelentkezések > Új elemre.
Megbízható hitelesítési tartományok - kimenő

Ha az RMI/IIOP kommunikáció különböző tartományok között zajlik, akkor ezzel a hivatkozással vehet fel kimenő megbízható tartományokat.

A hitelesítési jelsorok csak a megbízható tartományokba kerülnek elküldésre. Emellett, az LTPA jelsor érvényesítéséhez a fogadó kiszolgálónak meg kell bíznia ebben, a bejövő bejövő tartományok konfigurációját használó tartományban.




A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó feladatok


Fájlnév: usec_outbound.html