Nastavení příchozí komunikace protokolu Common Secure Interoperability verze 2

Tato stránka slouží k zadání funkcí, které server podporuje pro klienta přistupujícího k jeho prostředkům.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Zabezpečení RMI/IIOP > Příchozí komunikace CSIv2.

Nastavení příchozí komunikace obecné zabezpečené interoperability (CSI) slouží ke konfigurování typu ověřovacích informací, které jsou obsaženy v příchozím požadavku nebo transportu.

Funkce ověřování zahrnují tři vrstvy ověřování, které lze používat souběžně:
Šíření atributů zabezpečení

Určuje podporu šíření atributu zabezpečení při zpracování žádostí o přihlášení. Vyberete-li tuto volbu, aplikační server zachová doplňující informace o požadavku na přihlášení, například použitou sílu ověřování, spolu s identitou a umístěním původce požadavku.

Pokud tuto volbu nevyberete, nebude aplikační server přijímat žádné další informace o přihlášení určené k předání do serverů po směru zpracování.

Výchozí hodnota: Povoleno
Důležité: Při použití služeb replikace se ujistěte, že je povolena volba Šířit atributy zabezpečení.
Použít deklaraci identity

Určuje deklaraci identit jako metodu předávání ověřených identit mezi servery při volání objektů Enterprise JavaBeans (EJB) ve směru zpracování.

Tento server již deklarovanou identitu neověřuje, protože důvěřuje předchozímu serveru na trase zpracování. Deklarace identit má přednost před všemi ostatními typy ověřování.

Deklarace identity probíhá ve vrstvě atributů a lze ji použít pouze pro servery. Činitel určený na straně serveru vychází z pravidel priority. Pokud je použita deklarace identit, je identita vždy odvozována z vrstvy atributů. Pokud je použito základní ověřování bez deklarace identity, je identita vždy odvozována z vrstvy zpráv. Pokud je použito ověřování pomocí certifikátu klienta bez základního ověřování a bez deklarace identity, je identita odvozována z transportní vrstvy.

Deklarovaná identita tvoří vyvolávací pověření určené režimem RunAs objektu enterprise bean. Pokud je režim RunAs nastaven na hodnotu Klient, je použita identita klienta. Pokud je režim RunAs nastaven na hodnotu Systém, je použita identita serveru. Pokud je režim RunAs nastaven na hodnotu Určeno, je použita určená identita. Přijímající server obdrží identitu v rámci tokenu identity a současně obdrží také identitu odesílajícího serveru v tokenu ověřování klienta. Přijímající server ověří identitu odesílajícího serveru jako důvěryhodnou identitu prostřednictvím vstupního pole ID důvěryhodného serveru. Zadejte seznam názvů činitelů oddělených svislými čarami (|), například IDserveru1|IDserveru2|IDserveru3.

Všechny typy tokenů identity jsou mapovány na pole jména uživatele v aktivním registru uživatelů. Token identity ITTPrincipal je mapován na pole jmen uživatelů v relaci 1:1. U tokenu identity ITTDistinguishedName je na pole jména uživatele mapována hodnota za prvním znakem = (rovnítko). U tokenu identity ITTCertChain je na pole jména uživatele mapována hodnota za prvním znakem = (rovnítko) v rozlišujícím názvu.

Při ověřování pomocí registru uživatelů LDAP je mapování identit typu ITTCertChain a ITTDistinguishedName do registru určováno pomocí filtrů protokolu LDAP. Pokud je použit token typu ITTPrincipal, je činitel mapován na pole UID v registru LDAP.

Výchozí hodnota: Zakázáno
Důvěryhodné identity

Tato možnost určuje důvěryhodnou identitu, která je odeslána z odesílajícího serveru na přijímající server.

Určuje seznam uživatelských jmen administrátorů důvěryhodného serveru oddělených svislými čarami (|), která jsou považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad: IDserveru1|IDserveru2|IDserveru3. V zájmu zpětné kompatibility podporuje aplikační server oddělování položek seznamu znakem , (čárka). Aplikační server se pokusí použít znak čárky, pokud se mu nepodaří najít platné ID důvěryhodného serveru pomocí znaku svislé čáry (|).

Tento seznam slouží k rozhodování o tom, zda je server důvěryhodný. I v případě, že je server uveden v seznamu, musí odesílající server projít ověřením u přijímajícího serveru, aby mohl být přijat token identity odesílajícího serveru.

Datový typ: Řetězec
Ověřování pomocí certifikátu klienta

Určuje, že ověření proběhne při prvotním navázání spojení mezi klientem a serverem v průběhu zpracování požadavku na metodu.

V transportní vrstvě probíhá ověřování pomocí certifikátů SSL (Secure Sockets Layer) klienta. Ve vrstvě zpráv je použito základní ověřování (pomocí jména uživatele a hesla). Ověřování pomocí certifikátů klienta obvykle poskytuje vyšší výkon než ověřování ve vrstvě zpráv, vyžaduje však nastavení některých dalších parametrů. K těmto doplňujícím krokům patří kontrola, zda server důvěřuje certifikátům podepisujícího subjektu všech klientů, k nimž je připojen. Pokud klient použije k vytvoření svého osobního certifikátu certifikační autoritu (CA), budete potřebovat pouze kořenový certifikát CA v sekci podepisujícího subjektu serveru v souboru důvěryhodnosti SSL.

[AIX Solaris HP-UX Linux Windows] [iSeries] Pokud je certifikát ověřen pomocí registru uživatelů LDAP (Lightweight Directory Access Protocol), je rozlišující název (DN) mapován pomocí filtru zadaného při konfigurování protokolu LDAP. Pokud je certifikát ověřen pomocí lokálního registru uživatelů operačního systému, je první atribut rozlišujícího názvu (DN) v certifikátu, jímž je obvykle společný název, namapován na jméno uživatele v registru.

[z/OS] Pokud je certifikát ověřen pomocí lokálního registru uživatelů operačního systému, je certifikát namapován na jméno uživatele v registru.

Identita tvořená certifikáty klientů je použita jen tehdy, není-li serveru předložena žádná jiná vrstva ověřování.

Nikdy
Určuje, že klienti se u tohoto serveru nebudou pokoušet o ověření pomocí certifikátů SSL (Secure Sockets Layer) klienta.
Podporováno
Určuje, že klienti připojující se k tomuto serveru mohou pro ověření totožnosti předložit certifikáty klientů SSL. Server však může vyvolat metodu i bez použití tohoto typu ověření. Lze použít například i anonymní přístup nebo základní ověřování.
[z/OS] Poznámka: Při nastavení volby "Podporováno" pro příchozí ověřování CSIv2 na daném serveru je pro ověřování používán certifikát klienta.
Vyžadováno
Určuje, že klienti, kteří se připojují k tomuto serveru, budou muset před vyvoláním metody použít ověřování pomocí certifikátů SSL klienta.
Transport

Určuje, zda se procesy klienta připojují k serveru s použitím jednoho z připojených transportů.

Jako příchozí transport podporovaný serverem můžete zvolit službu SSL (Secure Sockets Layer), protokol TCP/IP nebo obojí. Vyberete-li volbu TCP/IP, server bude podporovat pouze protokol TCP/IP a nebude moci přijímat připojení SSL. Vyberete-li volbu Podporováno SSL, bude tento server moci podporovat připojení protokolu TCP/IP i připojení SSL. Vyberete-li volbu Vyžadováno SSL, bude muset každý server komunikující s tímto serverem používat zabezpečení SSL.

Poznámka: Tato volba není k dispozici v platformách z/OS, s výjimkou případů, kdy se v buňce nacházejí uzly verze 6.0.x i uzly dřívějších verzí.
TCP/IP
Vyberete-li volbu TCP/IP, server otevře pouze port modulu listener TCP/IP a pro žádné z příchozích požadavků nebude použito zabezpečení SSL.
Vyžadováno SSL
Vyberete-li volbu Vyžadováno SSL, server otevře pouze port modulu listener SSL a při příjmu všech příchozích požadavků bude použito zabezpečení SSL.
Podporováno SSL
Vyberete-li volbu Podporováno SSL, server otevře port modulu listener pro protokol TCP/IP i SSL a při příjmu většiny příchozích požadavků bude použito zabezpečení SSL.
Zadejte pevné číslo portu pro následující porty. Nulové číslo portu znamená, že bude provedeno dynamické přiřazení při běhu. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Výchozí hodnota: Podporováno SSL
Rozsah: TCP/IP, Vyžadováno SSL, Podporováno SSL
Nastavení SSL

Určuje seznam předdefinovaných nastavení SSL pro příchozí připojení.

[z/OS] Poznámka: Tato volba není k dispozici v platformách z/OS, s výjimkou případů, kdy se v buňce nacházejí uzly verze 6.0.x i uzly dřívějších verzí.
Datový typ: Řetězec
[AIX Solaris HP-UX Linux Windows] [iSeries] Výchozí hodnota: DefaultSSLSettings
[z/OS] Výchozí hodnota: DefaultIIOPSSL
Rozsah: Všechna nastavení SSL konfigurovaná v repertoáru konfigurace SSL
Ověřování vrstvy zpráv

Pro ověřování vrstvy zpráv jsou k dispozici následující volby:
Nikdy
Udává, že daný server nepřijímá ověřování pomocí jména uživatele a hesla.
Podporováno
Udává, že klient komunikující s tímto serverem může zadat jméno uživatele a heslo. Metodu však lze vyvolat i bez tohoto typu ověření. Místo něj může být použit například anonymní certifikát nebo certifikát klienta.
Vyžadováno
Určuje, že klienti komunikující s tímto serverem musí zadat jméno uživatele a heslo s každým požadavkem na metodu.
Povolení ověřování klienta na servery pomocí:

Určuje ověřování klienta na serveru pomocí ověřování Kerberos, LTPA nebo základního ověřování.

Pro ověřování klienta na serveru jsou k dispozici následující volby:
Kerberos (KRB5)
Tuto volbu vyberte, chcete-li použít mechanismus ověřování Kerberos. Nejprve musíte konfigurovat mechanismus ověřování Kerberos. Podrobnější informace naleznete v části Konfigurování ověřování Kerberos jako mechanizmu ověřování s použitím administrativní konzoly.
LTPA
Tuto volbu vyberte, chcete-li určit Token ověřování LTPA.
Základní ověřování
Základní ověřování je GSSUP (Generic Security Services Username Password). Tento typ ověřování obvykle zahrnuje odeslání jména uživatele a hesla z klienta na server k ověření.

Klepnete-li na volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol LTPA, budou jako pověřovací údaje přijata jména uživatelů, hesla a tokeny LTPA.

Klepnete-li na volbu Základní ověřování a KRB5 a je-li v konfiguraci nastaven ověřovací protokol KRB5, budou jako pověřovací údaje přijata jména uživatelů, hesla a tokeny LTPA.

Pokud nevyberete volbu Základní ověřování, jméno uživatele a heslo nebudou serverem přijaty.

Konfigurace přihlašování

Určuje typ konfigurace přihlašování k systému, který má být použit pro ověřování příchozích požadavků.

Chcete-li přidat vlastní moduly přihlašování, můžete klepnout na volby Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému.

Stavové relace

Tuto volbu vyberte, chcete-li povolit stavové relace, využívané především ke zvýšení výkonu.

Při prvním kontaktu mezi klientem a serverem musí proběhnout úplné ověření. Všechny další kontakty v rámci platných relací však používají znovu tytéž informace zabezpečení. Klient předá serveru ID kontextu a na základě tohoto ID je vyhledána relace. Oborem ID kontextu je dané připojení, čímž je zaručena jedinečnost. Vždy, když není nalezena platná relace zabezpečení a je povoleno opakované ověřování (výchozí stav), zachytávač zabezpečení na straně klienta zneplatní relaci na straně klienta a odešle požadavek znovu bez rozlišení klienta. Tato situace může nastat v případě, že daná relace na straně serveru neexistuje; například po selhání serveru a obnovení jeho činnosti. Pokud je tato volba zakázána, musí při každém volání metody proběhnout nové ověření.

Výchozí hodnota: Povoleno
Důvěryhodné sféry ověření - příchozí

Tento odkaz vyberte, chcete-li vytvořit příchozí vztah důvěryhodnosti pro sféry. Nastavení sféry příchozího ověřování není specifické pro rozhraní CSIv2. Můžete také určit, které sféry mají být považovány za důvěryhodné v příchozím směru pro více domén zabezpečení.

Pojem příchozí ověřování znamená konfiguraci, která určuje přijímaný typ ověřování pro příchozí požadavky. Tento typ ověřování je zveřejněn v odkazu IOR (interoperable object reference), který klient načte ze serveru názvů.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy
Související odkazy
Nastavení položek konfigurace přihlašování k systému pro službu JAAS (Java Authentication and Authorization Service)
Mechanismy ověřování a vypršení platnosti


Název souboru: usec_inbound.html