2-es változatú Közös biztonságos együttműködés bejövő kommunikációs beállítások

Az oldal segítségével meghatározhatók a kiszolgáló által támogatott, az erőforrásokat elérő ügyfélre vonatkozó jellemzők.

Az adminisztrációs konzol ezen oldalának megjelenítéséhez tegye a következőket:
  1. Kattintson a Biztonság > Globális biztonság elemre.
  2. A Hitelesítés szakaszban kattintson az RMI/IIOP biztonság > CSIv2 bejövő kommunikációk elemre.

A Közös biztonságos együttműködés (CSI) bejövő kommunikációs beállításokat használja a bejövő kérésben vagy szállított adatokban lévő hitelesítési információk típusának konfigurálásához.

A hitelesítési jellemzők három egyidejűleg használható hitelesítési réteget tartalmaznak:
Biztonsági attribútumok terjesztése

Meghatározza a bejelentkezési kérések során a biztonsági jellemzők terjesztésének támogatását. A lehetőség választásakor az alkalmazáskiszolgáló megőrzi a bejelentkezési kérés további információit, mint például a használt hitelesítés erősségét, és megőrzi a kérés-kezdeményező azonosságát és helyét.

Ha nem választja ki ezt a lehetőséget, akkor az alkalmazáskiszolgáló nem fogad el további bejelentkezési információkat a lefelé irányuló kiszolgálók felé terjesztéshez.

Alapértelmezett: Engedélyezett
Fontos: A többszörözési szolgáltatás igénybevételekor győződjön meg róla, hogy a Biztonsági jellemzők továbbítása beállítás engedélyezett.
Azonosság érvényesítés alkalmazása

Meghatározza, hogy azonosság-érvényesítés egy lefelé irányuló Enterprise JavaBeans (EJB) hívás során az egyik kiszolgáló azonosság-érvényesítési módszere lehet a másik felé.

Ez a kiszolgáló nem hitelesíti újra a kijelentett azonosságot, mivel megbízik a felsőbb szintű kiszolgálóban. Az azonosság kijelentés elsőbbséget kap az összes többi hitelesítési típussal szemben.

Az azonosság kijelentés az attribútum rétegben valósul meg és csak kiszolgálókon alkalmazható. A kiszolgálón meghatározott azonosító elsőbbségi szabályokon alapul. Azonosság-érvényesítés használata esetén az azonosság mindig az attribútum rétegből származtatott. Azonosság-érvényesítés nélküli alapvető hitelesítés esetén az azonosság mindig az üzenetrétegből származtatott. Alapvető hitelesítés vagy azonosság kijelentés nélküli SSL ügyféltanúsítvány hitelesítés esetén pedig az azonosság a szállítási rétegből származtatott.

A kijelentett azonosság a vállalati modul FuttatásMint módja által meghatározott hívásazonosító. Ha a FuttatásMint módja ügyfél, akkor az azonosság az ügyfélazonosság. Ha a FuttatásMint módja rendszer, akkor az azonosság a kiszolgáló azonosság. Ha a FuttatásMint módja megadott, akkor az azonosság a megadott azonosság. A fogadó kiszolgáló az azonosságot egy azonosság jelsorban kapja, valamint megkapja a küldő kiszolgáló azonosságot is egy ügyfélhitelesítési jelsorban. A fogadó kiszolgáló a küldő kiszolgáló azonosságot a Megbízható kiszolgáló azonosítók beviteli mezőn keresztül megbízható azonosságként érvényesíti. Adjon meg csőjel (|) elválasztású azonosítónevekből álló listát, például: kiszolgálóazonosító_1|kiszolgálóazonosító_2|kiszolgálóazonosító_3.

Minden azonosság jelsortípus az aktív felhasználói nyilvántartás felhasználói azonosító mezőjéhez van kiosztva. Az ITTPrincipal azonosság jelsor egyedileg a felhasználói azonosító mezőkhöz van kiosztva. Az ITTDistinguishedName azonosság jelsor esetén az első egyenlőségjel utáni érték van kiosztva a felhasználói azonosító mezőkhöz. Az ITTCertChain azonosság jelsor esetén a megkülönböztetett név első egyenlőségjel utáni értéke van kiosztva a felhasználói azonosító mezőkhöz.

Ha LDAP felhasználói nyilvántartáshoz valósul meg hitelesítés, akkor az LDAP szűrők meghatározzák, hogyan legyen az ITTCertChain és a ITTDistinguishedName típusú azonosság kiosztva a nyilvántartáshoz. ITTPrincipal jelsor típus esetén az azonosító az LDAP nyilvántartás UID mezőjéhez lesz kiosztva.

Alapértelmezett: Tiltott
Megbízható azonosságok

Meghatározza a küldő kiszolgálótól a fogadó kiszolgáló számára elküldött megbízható azonosságot.

Csőjel (|) elválasztású listát határoz meg megbízható kiszolgáló adminisztrátor azonosítónevekkel, melyek a kiszolgálón megbízhatók azonosság kijelentés végrehajtására. Például: kiszolgálóazonosító_1|kiszolgálóazonosító_2|kiszolgálóazonosító_3. Az alkalmazáskiszolgáló listahatárolóként a vessző (,) karaktert támogatja a lefelé kompatibilitás érdekében. Ha az alkalmazáskiszolgáló nem talál érvényes kiszolgáló azonosítót a csőjel (|) elválasztással, akkor vessző (,) karakterrel is megvizsgálja.

A lista használatával döntse el, hogy megbízható-e egy kiszolgáló. Ha a kiszolgáló szerepel a listán, a küldő kiszolgálónak akkor is hitelesítenie kell a fogadó kiszolgálóval, a küldő kiszolgáló azonosság jelsorának elfogadásához.

Adattípus: Karaktersorozat
Ügyféltanúsítvány hitelesítés

Meghatározza, hogy az ügyfél és kiszolgáló közötti módszerkérés során a kezdeti kapcsolat megteremtésekor hitelesítés valósuljon meg.

A szállítási rétegben Védett socket réteg (SSL) ügyféltanúsítvány hitelesítés valósul meg. Az üzenetrétegben alapvető hitelesítés (felhasználói azonosító és jelszó) használatos. Az ügyféltanúsítvány hitelesítés jellemzően jobb, mint az üzenetréteg hitelesítés, viszont kiegészítő beállítást igényel. A kiegészítő beállítások közé tartozik annak ellenőrzése, hogy a kiszolgáló megbízik-e az összes csatlakoztatott ügyfél aláírási tanúsítványában. Ha az ügyfél a személyes tanúsítványának létrehozásához tanúsítványhatóságot (CA) használ, akkor csak a CA gyökér tanúsítványra van szükség az SSL bizalmi fájl kiszolgáló aláíró részében.

[AIX Solaris HP-UX Linux Windows] [iSeries] Ha a tanúsítvány Egyszerűsített címtárhozzáférési protokoll (LDAP) felhasználói nyilvántartáshoz hitelesített, akkor a megkülönböztetett név (DN) kiosztása az LDAP konfiguráció során megadott szűrő alapján valósul meg. Ha a tanúsítvány helyi operációs rendszer felhasználói nyilvántartáshoz hitelesített, akkor a tanúsítványban lévő megkülönböztetett név (DN) első attribútuma, mely jellemzően a közös név, a nyilvántartásban a felhasználói azonosítóhoz van kiosztva.

[z/OS] Ha a tanúsítvány helyi operációs rendszer felhasználói nyilvántartáshoz hitelesített, akkor a tanúsítvány a nyilvántartásban a felhasználói azonosítóhoz van kiosztva.

Az ügyféltanúsítványokból származó azonosság csak akkor használt, ha a kiszolgálón nincs jelen más hitelesítési réteg.

Soha
Meghatározza, hogy az ügyfelek nem végezhetnek Védett socket réteg (SSL) ügyféltanúsítvány hitelesítést ezzel a kiszolgálóval.
Támogatott
Meghatározza, hogy a kiszolgálóhoz csatlakozó ügyfelek SSL ügyféltanúsítványok alkalmazásával hitelesíthetnek. A kiszolgáló azonban meghívhat ilyen hitelesítést nélkülöző módszert is. Például anonim- vagy alapvető hitelesítés is használható.
[z/OS] Megjegyzés: Amikor a kiszolgálón a CSIv2 bejövő hitelesítés számára "Támogatott" érték van beállítva, a hitelesítéshez az ügyfél tanúsítvány kerül használatra.
Kötelező
Meghatározza, hogy a kiszolgálóhoz csatlakozó ügyfeleknek a módszer meghívása előtt SSL ügyféltanúsítványok alkalmazásával hitelesíteniük kell.
Szállítás

Meghatározza, hogy az ügyfélfolyamatok a kiszolgálóhoz annak egyik szállítási kapcsolatával csatlakozzanak.

A kiszolgáló által támogatott bejövő szállításként választható Védett socket réteg (SSL), TCP/IP vagy mindkettő. TCP/IP megadása esetén a kiszolgáló csak TCP/IP protokollt támogat, és nem fogad el SSL kapcsolatokat. SSL-támogatott lehetőség megadása esetén a kiszolgáló TCP/IP és SSL kapcsolatokat is támogat. SSL-kötelező lehetőség megadása esetén a kiszolgálóval kommunikáló összes kiszolgálónak SSL kapcsolatot kell használnia.

Megjegyzés: A lehetőség nem érhető el z/OS platformon, kivéve, ha a cellában 6.0.x változatú és korábbi csomópontok is vannak.
TCP/IP
TCP/IP lehetőség választása esetén a kiszolgáló csak egy TCP/IP figyelő portot nyit meg, és a bejövő kérések nem rendelkeznek SSL védelemmel.
SSL-kötelező
SSL-kötelező lehetőség választása esetén a kiszolgáló csak egy SSL figyelő portot nyit meg, és a bejövő kérések fogadása SSL alkalmazásával valósul meg.
SSL-támogatott
SSL-támogatott lehetőség választása esetén a kiszolgáló egy TCP/IP és egy SSL figyelő portot nyit meg, és a bejövő kérések többségének fogadása SSL alkalmazásával valósul meg.
Az alábbi portokra biztosítson rögzített portszámokat. A nulla portszám jelzi, hogy a futás során dinamikus hozzárendelés valósul meg. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Alapértelmezett: SSL-támogatott
Tartomány: TCP/IP, SSL-kötelező, SSL-támogatott
SSL beállítások

A bejövő kapcsolatokhoz megadható előre meghatározott SSL beállítások listája.

[z/OS] Megjegyzés: A lehetőség nem érhető el z/OS platformon, kivéve, ha a cellában 6.0.x változatú és korábbi csomópontok is vannak.
Adattípus: Karaktersorozat
[AIX Solaris HP-UX Linux Windows] [iSeries] Alapértelmezett: DefaultSSLSettings
[z/OS] Alapértelmezett: DefaultIIOPSSL
Tartomány: Az SSL konfigurációs rejtjelkészletben meghatározott bármely SSL beállítás
Üzenetréteg hitelesítés

Az üzenetréteg hitelesítéshez a következő beállítások állnak rendelkezésre:
Soha
Meghatározza, hogy a kiszolgáló nem fogadhatja el a felhasználói név és jelszó hitelesítést.
Támogatott
Meghatározza, hogy a kiszolgálóval kommunikáló ügyfél megadhat felhasználói nevet és jelszót. Meghívható azonban ilyen hitelesítést nélkülöző módszer is. Például anonim- vagy ügyféligazolás is használható.
Kötelező
Meghatározza, hogy a kiszolgálóval kommunikáló ügyfeleknek bármilyen módszerkérésre felhasználói nevet és jelszót kell megadniuk.
Kiszolgálóhitelesítés engedélyezése az ügyfél számára a következővel:

Az ügyfél számára meghatározza a kiszolgálóhitelesítést Kerberos, LTPA vagy Alapszintű kiszolgáló segítségével.

A következő beállítások állnak rendelkezésre az ügyfél számára a kiszolgáló hitelesítéséhez:
Kerberos (KRB5)
Ha Kerberos hitelesítés mechanizmust szeretne megadni, akkor válassza ezt a lehetőséget. Először konfigurálnia kell a Kerberos hitelesítési mechanizmust. További információkért lásd: A Kerberos hitelesítési mechanizmus beállítása az adminisztrációs konzol segítségével.
LTPA
Ha LTPA jelsor hitelesítés mechanizmust szeretne megadni, akkor válassza ezt a lehetőséget.
Alapvető hitelesítés
Az alap hitelesítési beállítás az Általános biztonsági szolgáltatás felhasználói név jelszó (GSSUP). Az ilyen jellegű hitelesítés esetén jellemzően az ügyfél felhasználói azonosítót és jelszót küld a kiszolgálónak hitelesítésre.

Alapvető hitelesítés és LTPA kiválasztása esetén, ha az aktív hitelesítési mechanizmus LTPA, akkor felhasználói név és jelszó, valamint LTPA jelsorok elfogadottak.

Alapvető hitelesítés és KRB5 kiválasztása esetén, ha az aktív hitelesítési mechanizmus KRB5, akkor felhasználói név és jelszó, valamint Kerberos és LTPA jelsorok elfogadottak.

Ha nem választja ki az Alapvető hitelesítés lehetőséget, akkor a kiszolgáló nem fog elfogadni felhasználói nevet és jelszót.

Bejelentkezési konfiguráció

Meghatározza a rendszer bejövő hitelesítéshez használt bejelentkezési konfigurációjának típusát.

A Biztonság > Globális biztonság elem kiválasztásával egyéni bejelentkezési modulok vehetők fel. A Hitelesítés szakaszban válassza a Java hitelesítési és jogosultság szolgáltatás > Rendszer bejelentkezések elemet.

Állapotmegőrző szekciók

A lehetőség kiválasztásával a főleg teljesítményjavításhoz használt állapotmegőrző szekciók engedélyezettek lesznek.

Az ügyfél és kiszolgáló közötti első kapcsolatnak teljesen hitelesítettnek kell lennie. Az érvényes szekcióval rendelkező összes további kapcsolat viszont újrafelhasználja a biztonsági információkat. Az ügyfél kontextus azonosítót ad át a kiszolgálónak, és annak felhasználásával valósul meg a szekció kikeresése. A kontextus azonosító hatásköre a kapcsolat, ami garantálja az egyediséget. Ha hitelesítés újrapróbálkozás alapértelmezett engedélyezése esetén a biztonsági szekció nem érvényes, akkor az ügyféloldali biztonsági beavatkozó érvényteleníti az ügyféloldali szekciót és újra elküldi a kérést, anélkül, hogy a felhasználó tudna róla. Ez akkor fordulhat elő, ha a munkamenet nem létezik a kiszolgálón; például a kiszolgáló meghibásodott, majd újból működésbe lépett. A lehetőség tiltása esetén minden egyes módszer hívásnak újra hitelesítenie kell.

Alapértelmezett: Engedélyezett
Megbízható hitelesítési tartományok - bejövő

A hivatkozásra kattintva alakíthat ki bejövő megbízhatóságot a tartományokhoz. A bejövő hitelesítési tartomány beállítások nem a CSIv2-re jellemzőek; azt is beállíthatja, hogy mely tartományoknak kíván bejövő megbízhatóságot adni a több biztonsági tartomány közül.

A bejövő hitelesítés arra a konfigurációra vonatkozik, amely meghatározza a bejövő kérések elfogadott hitelesítésének típusát. Ez a hitelesítés az ügyfél által a névkiszolgálóról lekért egymással működtethető objektum hivatkozással (IOR) hirdetett.




A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó feladatok
Kapcsolódó hivatkozás
Rendszer bejelentkezési Java hitelesítési és felhatalmazási szolgáltatás konfiguráció bejegyzés beállítások
Hitelesítési mechanizmus és lejárat


Fájlnév: usec_inbound.html