Ta strona służy do określenia funkcji obsługiwanych przez serwer działający jako klient w stosunku do kolejnego serwera.
Określa, że podczas żądań logowania ma być obsługiwana propagacja atrybutów zabezpieczeń. Jeśli wybierzesz tę opcję, serwer aplikacji zachowuje dodatkowe informacje o żądaniu logowania, w rodzaju wykorzystywanej siły uwierzytelniania, oraz zachowuje tożsamość i położenie autora żądania.
Jeśli nie zaznaczysz tej opcji, serwer aplikacji nie przyjmie żadnych dodatkowych informacji dotyczących logowania w celu ich przesłania do dalszych serwerów.
Wartość domyślna: | Włączony |
Określa tożsamość serwera, której używa serwer aplikacji w celu ustanowienia zaufania do serwera docelowego. Tożsamość serwera można wysyłać, używając jednej z następujących metod:
Wartość domyślna: | Wyłączone |
Określa alternatywnego użytkownika jako zaufaną tożsamość, która jest wysyłana do serwerów docelowych, zamiast wysyłania tożsamości serwera.
Ta opcja jest zalecana do asercji tożsamości. Tożsamość jest automatycznie uznawana za zaufaną, gdy jest wysyłana w ramach tej samej komórki, i nie musi znajdować się na liście zaufanych tożsamości w ramach tej samej komórki. Tożsamość ta jednak musi być umieszczona w rejestrze serwerów docelowych w zewnętrznej komórce, a identyfikator użytkownika musi znajdować się na liście zaufanych tożsamości. W przeciwnym razie tożsamość ta zostanie odrzucona podczas wartościowania zaufania.
Wartość domyślna: | Wyłączone |
Określa zaufaną tożsamość, która jest wysyłana z serwera wysyłającego do serwera odbierającego.
Jeśli w tym polu zostanie określona tożsamość, można ją wybrać na panelu do skonfigurowanego repozytorium kont użytkowników. Jeśli tożsamość nie zostanie określona, między serwerami przesyłany jest znacznik LTPA (Lightweight Third Party Authentication).
Określa listę, której elementy są oddzielone znakiem potoku (|), zawierającą identyfikatory administratorów zaufanych serwerów mogących przeprowadzić asercję tożsamości względem tego serwera. Na przykład: identyfikator_serwera_1|identyfikator_serwera_2|identyfikator_serwera_3.
Serwer aplikacji obsługuje przecinek (,) jako separator listy w celu
zapewnienia kompatybilności wstecznej. Serwer aplikacji sprawdza obecność przecinka,
gdy znak potoku (|) nie umożliwi odnalezienie poprawnego identyfikatora serwera zaufanego.
Określa listę, której elementy są oddzielone znakiem średnika (;) lub przecinka (,), zawierającą identyfikatory zaufanych serwerów mogących przeprowadzić asercję tożsamości względem tego serwera. Na przykład: identyfikator_serwera_1;identyfikator_serwera_2;identyfikator_serwera_3 lub identyfikator_serwera_1,identyfikator_serwera_2,identyfikator_serwera_3 .
Ta lista umożliwia rozstrzygnięcie, czy serwer jest zaufany. Nawet jeśli serwer jest obecny na liście, to serwer wysyłający musi wciąż uwierzytelniać się w stosunku do serwera odbierającego w celu przyjęcia znacznika tożsamości serwera wysyłającego.
Hasło powiązane z tożsamością zaufaną.
Typ danych: | Tekst |
Potwierdzenie hasła powiązanego z tożsamością zaufaną.
Typ danych: | Tekst |
Określa uwierzytelnianie klient-serwer przez uwierzytelnianie protokołu Kerberos, LTPA lub uwierzytelnianie podstawowe.
Jeśli zostaną wybrane opcje Podstawowe uwierzytelnianie i LTPA, gdy aktywnym mechanizmem uwierzytelniania jest LTPA, serwer będzie nawiązywał połączenie z serwerem znajdującym się za nim za pomocą nazwy użytkownika, hasła lub znacznika LTPA.
Jeśli zostaną wybrane opcje Podstawowe uwierzytelnianie i KRB5, gdy aktywnym mechanizmem uwierzytelniania jest KRB5, serwer będzie nawiązywał połączenie z serwerem znajdującym się za nim za pomocą nazwy użytkownika, hasła, znacznika Kerberos lub znacznika LTPA.
Jeśli opcja Podstawowe uwierzytelnianie nie zostanie wybrana, serwer nie będzie nawiązywał połączenia z serwerem znajdującym się za nim za pomocą nazwy użytkownika i hasła.
Określa, czy procesy klienta łączą się z serwerem przy użyciu jednego z dołączonych do niego typów transportu.
Jako typ obsługiwanego przez serwer transportu przychodzących danych można wybrać protokół SSL (Secure Sockets Layer), TCP/IP lub oba. W przypadku wybrania protokołu TCP/IP serwer obsługuje tylko połączenia TCP/IP i nie jest w stanie akceptować połączeń SSL. W przypadku wybrania opcji Obsługiwany protokół SSL serwer ten może obsługiwać zarówno połączenie TCP/IP, jak i SSL. W przypadku wybrania opcji Wymagany protokół SSL protokołu tego musi używać każdy łączący się z nim serwer.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
Wartość domyślna: | Obsługiwany protokół SSL |
Zakres: | TCP/IP, Wymagany protokół SSL, Obsługiwany protokół SSL |
Wyświetla listę predefiniowanych ustawień protokołu SSL, z której można wybrać opcję dla połączenia przychodzącego.
Typ danych: | String |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Zakres: | Dowolne ustawienia protokołu SSL utworzone w konfiguracjach SSL |
Określa, czy certyfikat klienta ze skonfigurowanego pliku kluczy jest używany do uwierzytelniania na serwerze podczas tworzenia połączenia SSL między tym serwerem a serwerem znajdującym się za nim, jeśli ten kolejny serwer obsługuje uwierzytelnianie certyfikatów klienta.
Zazwyczaj uwierzytelnianie certyfikatów klienta ma większą wydajność niż uwierzytelnianie warstwy komunikatów, wymaga jednak dodatkowych czynności konfiguracyjnych. Te dodatkowe czynności obejmują sprawdzenie, czy ten serwer ma certyfikat osobisty i czy serwer znajdujący się za tym serwerem ma certyfikat osoby podpisującej tego serwera.
Wartość domyślna: | Włączony |
Określa typ konfiguracji logowania do systemu wykorzystywaną w przypadku uwierzytelniania przychodzącego.
Niestandardowe moduły logowania można dodać, klikając opcję Zabezpieczenia > Zabezpieczenia globalne. W obszarze Uwierzytelnianie należy kliknąć opcję Usługa uwierzytelniania i autoryzacji Java (JAAS) > Logowanie do systemu.
Ta opcja umożliwia włączenie sesji stanowych, które są wykorzystywane głównie do zwiększenia wydajności.
Pierwszy kontakt między serwerem a klientem musi być w pełni uwierzytelniony. Jednak wszystkie późniejsze kontakty z poprawnymi sesjami ponownie wykorzystują informację o bezpieczeństwie. Klient przesyła do serwera identyfikator kontekstu, a identyfikator ten jest wykorzystywany do odnalezienia sesji. Identyfikator kontekstowy jest używany w zasięgu połączenia, co gwarantuje jego unikalność. Za każdym razem, gdy sesja zabezpieczeń nie jest poprawna, a ponawianie uwierzytelniania jest włączone, co stanowi opcję domyślną, przechwytywacz zabezpieczeń po stronie klienta unieważnia sesję po stronie klienta i ponownie wysyła żądanie bez wiedzy użytkownika. Sytuacja taka może mieć miejsce, gdy sesja nie istnieje na serwerze (serwer uległ awarii i wznowił działanie). Po wyłączeniu tej wartości musi zostać uwierzytelnione każde wywołanie metody.
Określa, czy wielkość pamięci podręcznej sesji CSIv2 ma być ograniczana.
Po włączeniu tej opcji należy ustawić wartości dla opcji Maksymalna wielkość pamięci podręcznej i Limit czasu bezczynności sesji. Jeśli ta opcja nie zostanie aktywowana, pamięć podręczna sesji CSIv2 nie będzie ograniczona.
W poprzednich wersjach serwera aplikacji wartość tę można było ustawić jako właściwość niestandardową com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. W tej wersji produktu zaleca się ustawianie wartości przy użyciu tego panelu Konsoli administracyjnej, a nie jako właściwość niestandardową.
Wartość domyślna: | false |
Określa maksymalną wielkość pamięci podręcznej sesji, po przekroczeniu której wygasłe sesje są usuwane z pamięci podręcznej.
Wygasłe sesje to sesje bezczynne przez okres dłuższy, niż czas określony w polu Limit czasu bezczynności sesji. Określając wartość w polu Maksymalna wielkość pamięci podręcznej najlepiej wybrać ją z przedziału od 100 do 1000 pozycji.
Należy rozważyć określenie wartości tego pola, jeśli w środowisku używane jest uwierzytelnianie Kerberos i istnieje małe przesunięcie zegara dla skonfigurowanego centrum dystrybucji kluczy. W tym scenariuszu małe przesunięcie zegara zdefiniowano jako niższe niż 20 minut. Należy rozważyć zwiększenie wartości tego pola, jeśli mała wielkość pamięci podręcznej powoduje tak częste czyszczenie pamięci, że wpływa ono na wydajność serwera aplikacji.
W poprzednich wersjach serwera aplikacji wartość tę można było ustawić jako właściwość niestandardową com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. W tej wersji produktu zaleca się ustawianie wartości przy użyciu tego panelu Konsoli administracyjnej, a nie jako właściwość niestandardową.
To pole ma zastosowanie jedynie wtedy, gdy włączono zarówno opcję Sesje stanowe, jak i Włącz limit pamięci podręcznej sesji CSIv2.
Wartość domyślna: | Domyślnie wartość nie jest ustawiona. |
Zakres: | Od 100 do 1000 pozycji |
Właściwość ta określa czas (w milisekundach), przez który sesja CSIv2 może pozostawać bezczynna, zanim zostanie usunięta. Sesja jest usuwana, jeśli wybrano opcję Włącz limit pamięci podręcznej sesji CSIv2, a wartość wskazana w polu Maksymalna wielkość pamięci podręcznej zostanie przekroczona.
Ta wartość limitu czasu ma zastosowanie jedynie wtedy, gdy włączono zarówno opcję Sesje stanowe, jak i Włącz limit pamięci podręcznej sesji CSIv2. Należy rozważyć zmniejszenie wartości tego pola, jeśli w środowisku używane jest uwierzytelnianie Kerberos i istnieje małe przesunięcie zegara dla skonfigurowanego centrum dystrybucji kluczy. W tym scenariuszu małe przesunięcie zegara zdefiniowano jako niższe niż 20 minut. Małe przesunięcie zegara może powodować dużą liczbę odrzuconych sesji protokołu CSIv2. Jednak niższa wartość w polu Limit czasu bezczynności sesji powoduje, że serwer aplikacji może częściej usuwać odrzucone sesje i potencjalnie ograniczyć niedobory zasobów.
W poprzednich wersjach produktu WebSphere Application Server wartość tę można było ustawić jako właściwość niestandardową com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. W tej wersji produktu zaleca się ustawianie wartości przy użyciu tego panelu Konsoli administracyjnej, a nie jako właściwość niestandardową. Jeśli wcześniej ustawiono ją jako właściwość niestandardową, wartość ta została ustawiona w milisekundach, a na panelu Konsoli administracyjnej wykonano zmianę jednostki na sekundy. Na tym panelu Konsoli administracyjnej należy określić tę wartość w sekundach.
Wartość domyślna: | Domyślnie wartość nie jest ustawiona. |
Zakres: | Od 60 do 86 400 sekund |
Włącza używanie niestandardowych modułów logowania danych wychodzących w dzienniku RMI (Remote Method Invocation).
Niestandardowy moduł logowania dokonuje odwzorowania lub wykonuje inne funkcje przed wywołaniem wychodzącym RMI.
Jeśli różne dziedziny komunikują się ze sobą przy użyciu zabezpieczeń RMI/IIOP, należy użyć tego łącza w celu dodania zaufanych dziedzin danych wychodzących.
Znaczniki referencji są wysyłane tylko do zaufanych dziedzin. Ponadto serwer odbierający dane powinien zaufać tej dziedzinie, korzystając z konfiguracji zaufanych dziedzin danych wychodzących w celu sprawdzenia poprawności znacznika LTPA.
Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.