このページを使用して、サーバーが、別のダウンストリーム・サーバーに対してクライアントとして動作するときに サポートする機能を指定します。
ログイン要求時のセキュリティー属性の伝搬をサポートするように指定します。 このオプションを選択すると、アプリケーション・サーバーは、使用する認証強度などのログイン要求についての追加情報を保存し、要求発信元の識別およびロケーションを保存します。
このオプションを選択しない場合、アプリケーション・サーバーは、 ダウンストリーム・サーバーに伝搬する追加ログイン情報を受け入れません。
デフォルト: | 使用可能 |
アプリケーション・サーバーがターゲット・サーバーとのトラストの確立に使用するサーバー ID を指定します。サーバー ID は、次のメソッドのいずれかを使用して送信できます。
デフォルト: | 使用不可 |
サーバー ID を送信する代わりにターゲット・サーバーに送信されるトラステッド ID として、代替ユーザーを指定します。
ID アサーションには、このオプションが推奨されます。 ID は、同じセル内で送信されて同じセル内のトラステッド ID リストに入れる必要がない場合には、自動的に信頼されます。ただし、この ID は 外部セルのターゲット・サーバーのレジストリーに入っている必要があり、 ユーザー ID はトラステッド ID リストに入っている必要があります。 そのようになっていない場合、ID はトラスト評価中に拒否されます。
デフォルト: | 使用不可 |
送信サーバーから受信サーバーへ送信されるトラステッド ID を指定します。
このフィールドで ID を指定すると、 構成済みユーザー・アカウント・リポジトリーのパネルで選択できます。ID を指定しない場合、 サーバー間で Lightweight Third Party Authentication (LTPA) トークンが送信されます。
パイプ (|) で区切られたトラステッド・サーバーの管理者ユーザー ID のリストを指定します。
この ID は、このサーバーに対する ID アサーションの実行に関して信頼されています。
例えば、serverid1|serverid2|serverid3 です。アプリケーション・サーバーでは、後方互換性のために、リスト区切り文字としてコンマ (,) 文字をサポートしています。アプリケーション・サーバーは、
パイプ文字 (|) で有効なトラステッド・サーバー ID が見つからない場合に、コンマ文字をチェックします。
セミコロン (;) またはコンマ (,) で区切られたトラステッド・サーバー ID のリストを指定します。
この ID は、このサーバーに対する ID アサーションの実行に関して信頼されています。
例えば、serverid1;serverid2;serverid3 や serverid1,serverid2,serverid3 です。
このリストを使用して、サーバーが信頼できるか否かを判断します。受信サーバーが送信サーバーの識別トークンを受け入れるには、送信サーバーがリストに載っている場合でも、受信サーバーで送信サーバーを認証する必要があります。
トラステッド ID に関連付けられているパスワードを指定します。
データ型: | テキスト |
トラステッド ID に関連付けられているパスワードを確認します。
データ型: | テキスト |
Kerberos、LTPA、または基本認証を使用した、 クライアントからサーバーへの認証を指定します。
「基本認証」および「LTPA」を選択し、 アクティブな認証メカニズムが LTPA である場合、サーバーは、ユーザー名、パスワード、または LTPA トークンを使用してダウンストリーム・サーバーに接続します。
「基本認証」および「KRB5」を選択し、 アクティブな認証メカニズムが KRB5 である場合、サーバーは、ユーザー名、パスワード、Kerberos トークン、 または LTPA トークンを使用してダウンストリーム・サーバーに接続します。
「基本認証」を選択していない場合、サーバーは、ユーザー名とパスワードを使用してダウンストリーム・サーバーに接続しません。
クライアントが、接続されているトランスポートの 1 つを使用して、 サーバーへの接続を処理するかどうかを指定します。
サーバーがサポートするインバウンド・トランスポートとして、Secure Sockets Layer (SSL)、TCP/IP、またはその両方を 使用するように選択できます。「TCP/IP」を指定すると、サーバーは TCP/IP のみをサポートし、SSL 接続を受け入れること はできません。「SSL サポート」を指定すると、このサーバーは TCP/IP 接続または SSL 接続をサポートできます。 「SSL 必須」を指定すると、このサーバーと通信しているサーバーはすべて SSL を使用する必要があります。
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
デフォルト: | SSL サポート |
範囲: | TCP/IP、SSL 必須、SSL サポート |
インバウンド接続用に選択する事前定義された SSL 設定のリストを 指定します。
データ型: | ストリング |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
範囲: | 「SSL 構成レパートリー」で構成された任意の SSL 設定 |
サーバーとダウンストリーム・サーバー間で SSL 接続を行う場合に、ダウンストリーム・サーバーがクライアント証明書認証をサポートするとき、このサーバーに対する認証を、構成されている鍵ストアにあるクライアント証明書を使用して行うかどうかを指定します。
通常、クライアント証明書認証はメッセージ層認証よりもパフォーマンスの面で優れていますが、 追加のセットアップをいくつか行う必要があります。この追加ステップには、このサーバーが個人証明書を保有すること、およびダウンストリーム・サーバーがこのサーバーの署名者証明書を保有することについての検証も含まれます。
デフォルト: | 使用可能 |
インバウンド認証に使用するシステム・ログイン構成のタイプを指定します。
「セキュリティー」>「グローバル・ セキュリティー」をクリックして、 カスタム・ログイン・モジュールを追加できます。 「認証」において、「Java™ Authentication and Authorization Service」>「システム・ログイン」をクリックします。
このオプションを選択して、主にパフォーマンス向上のために使用されるステートフル・セッションを使用可能にします。
クライアントとサーバーが最初に接続するときには、認証を完全に実行する必要があります。 しかし、それ以後のすべての接続では、セッションが引き続き有効である間は、セキュリティー情報を再利用します。 クライアントはコンテキスト ID をサーバーに渡し、その ID を使用してセッションが検索されます。 コンテキスト ID の有効範囲は各接続であり、これにより一意性が保証されます。 認証の再試行が使用可能になっている場合 (デフォルトで) は、セキュリティー・セッションが無効になるごとに クライアント側のセキュリティー・インターセプターは、ユーザーにそれを認識させずにクライアント側のセッションを無効にし、 要求を再度実行依頼します。こうした状況は、セッションがサーバー上に存在しない場合に 発生する可能性があります (例: サーバーに障害が発生した後、オペレーションを再開した場合など)。 この値が使用不可の場合、すべてのメソッド起動を再認証する必要があります。
CSIv2 セッション・キャッシュのサイズを制限するかどうかを指定します。
このオプションを使用可能にした場合には、 「最大キャッシュ・サイズ」と「アイドル・セッション・タイムアウト」のオプションに値を設定する必要があります。 このオプションを使用可能にしないと、CSIv2 セッション・キャッシュは制限されません。
以前のバージョンのアプリケーション・サーバーでは、 この値を com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティーで設定していた場合があります。 この製品バージョンでは、カスタム・プロパティーではなく、この管理コンソール・パネルを使用してこの値を設定することが推奨されます。
デフォルト: | false |
セッション・キャッシュの最大サイズを指定します。これを超えると、期限切れセッションをキャッシュから削除します。
期限切れセッションとは、アイドルの状態で 「アイドル・セッション・タイムアウト」フィールドで指定された時間を超えたセッションとして定義されます。 「最大キャッシュ・サイズ」フィールドに値を指定する場合には、100 エントリーから 1000 エントリーでその値を設定するように検討します。
ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合に、このフィールド値の指定を検討してください。 このシナリオで、小さいクロック・スキューとは、20 分未満として定義されています。 キャッシュ・サイズが小さいためにガーベッジ・コレクションが頻繁に実行されて、アプリケーション・サーバーのパフォーマンスに影響する場合には、 このフィールドの値を増やすことを検討してください。
以前のバージョンのアプリケーション・サーバーでは、 この値を com.ibm.websphere.security.util.csiv2SessionCacheMaxSize カスタム・プロパティーで設定していた場合があります。 この製品バージョンでは、カスタム・プロパティーではなく、この管理コンソール・パネルを使用してこの値を設定することが推奨されます。
「ステートフル・セッション」と「CSIv2 セッション・キャッシュ制限を使用可能にする (Enable CSIv2 session cache limit)」の両方のオプションを 使用可能にした場合にのみ、このフィールドが適用されます。
デフォルト: | デフォルトでは、値は設定されていません。 |
範囲: | 100 エントリーから 1000 エントリー |
このプロパティーでは、CSIv2 セッションが削除されずにアイドルであることが可能な時間をミリ秒単位で指定します。 「CSIv2 セッション・キャッシュ制限を使用可能にする (Enable CSIv2 session cache limit)」のオプションを選択し、 「最大キャッシュ・サイズ」フィールドの値を超えると、セッションが削除されます。
「ステートフル・セッション」と「CSIv2 セッション・キャッシュ制限を使用可能にする (Enable CSIv2 session cache limit)」の両方のオプションを 使用可能にした場合にのみ、このタイムアウト値が適用されます。 ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが小さい場合、このフィールド値を小さくすることを検討してください。 このシナリオで、小さいクロック・スキューとは、20 分未満として定義されています。 クロック・スキューが小さいと、拒否される CSIv2 セッションの数が増える可能性があります。 一方、「アイドル・セッション・タイムアウト」フィールドの値が小さいと、 アプリケーション・サーバーは、拒否されたこれらのセッションをより頻繁にクリーンアップして、リソース不足を削減できる可能性があります。
以前のバージョンの WebSphere Application Server では、 この値を com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーで設定していた場合があります。 この製品バージョンでは、カスタム・プロパティーではなく、この管理コンソール・パネルを使用してこの値を設定することが推奨されます。 前にそれをカスタム・プロパティーで設定していた場合、値はミリ秒単位で設定されていて、 この管理コンソール・パネルでは秒単位に変換されます。 この管理コンソール・パネルでは、秒単位で値を指定してください。
デフォルト: | デフォルトでは、値は設定されていません。 |
範囲: | 60 から 86,400 (秒) |
カスタム Remote Method Invocation (RMI) アウトバウンド・ログイン・モジュールを使用可能にします。
カスタム・ログイン・モジュールは、事前定義された RMI アウトバウンド呼び出しの前に、 他の関数をマップするか、完了します。
RMI/IIOP 通信が複数の異なるレルム間で行われる場合、アウトバウンドのトラステッド・レルムを追加するには、このリンクを使用します。
証明書トークンは、トラステッド・レルムにのみ送信されます。 また、受信側のサーバーは、インバウンドのトラステッド・レルム構成を使用して LTPA トークンの検証を行い、このレルムを信頼する必要があります。
マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。