Mechanizmy uwierzytelniania i utrata ważności

Ta strona umożliwia określenie współużytkowanych kluczy i skonfigurowania mechanizmu uwierzytelniania wykorzystywanego do wymiany informacji między serwerami. Strony tej możesz również użyć do określenia ilości czasu, przez który wciąż obowiązują informacje związane z uwierzytelnianiem oraz określenia konfiguracji pojedynczego logowania.

Aby wyświetlić tę stronę Konsoli administracyjnej, wykonaj następujące czynności:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Uwierzytelnianie kliknij opcję Mechanizmy uwierzytelniania i utrata ważności > LTPA.
Po skonfigurowaniu właściwości na tej stronie wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Dostępne definicje dziedzin sprawdź, czy skonfigurowano odpowiedni rejestr.
  3. Kliknij przycisk Zastosuj. Jeśli po włączeniu zabezpieczeń którakolwiek z tych właściwości zostanie zmieniona, przejdź do panelu Zabezpieczenia globalne i kliknij przycisk Zastosuj w celu sprawdzenia poprawności zmian.
Grupa zestawów kluczy

Określa grupy kluczy publicznych, prywatnych i współużytkowanych. Niniejsze grupy kluczy umożliwiają serwerowi aplikacji zarządzanie wieloma zestawami kluczy LTPA (Lightweight Third Party Authentication).

Generuj klucze

Określa, czy ma być generowany nowy zestaw kluczy LTPA w skonfigurowanym magazynie kluczy i ma nastąpić aktualizacja środowiska wykonawczego nowymi kluczami. Domyślnie, klucze LTPA są regenerowane zgodnie z harmonogramem co 90 dni, z możliwością skonfigurowania dnia tygodnia.

Każdy nowy zestaw kluczy LTPA jest przechowywany w magazynie kluczy powiązanym z grupą zbiorów kluczy. Istnieje możliwość skonfigurowania maksymalnej liczby kluczy (wynoszącej choćby jeden). Zaleca się jednak posiadanie co najmniej dwóch kluczy, Stare klucze można wykorzystać do sprawdzania poprawności podczas rozsyłania nowych kluczy.

Ten krok nie jest wymagany podczas włączania zabezpieczeń. Domyślny zestaw kluczy jest tworzony podczas pierwszego uruchomienia serwera. Jeśli podczas zdarzenia generowania jakiekolwiek węzły są wyłączone, to przed restartem należy zsynchronizować węzły z menedżerem wdrażania.

Czas ważności pamięci podręcznej uwierzytelniania

Określa czas ważności uwierzytelnionej referencji w pamięci podręcznej. Ten okres musi być krótszy niż określony w polu Wartość limitu czasu dla przekazanych referencji między serwerami.

Jeśli zabezpieczenia infrastruktury serwera aplikacji są włączone, czas ważności pamięci podręcznej uwierzytelniania może wpływać na wydajność. Ustawienie limitu czasu określa, jak często mają być odświeżane pamięci podręczne związane z zabezpieczeniami. Do pamięci podręcznej trafiają informacje o zabezpieczeniach związane z komponentami bean, uprawnieniami i referencjami. Po upłynięciu czasu ważności pamięci podręcznej, wszystkie znajdujące się w niej informacje, do których w tym czasie nie uzyskano dostępu, zostają usunięte. Dalsze żądania informacji skutkują przeszukiwaniem bazy danych. Uzyskanie informacji wymaga niekiedy wywołania uwierzytelniania z użyciem protokołu Lightweight Directory Access Protocol (LDAP) lub uwierzytelniania rodzimego. Oba wywołania są operacjami stosunkowo kosztownymi dla wydajności. Określ najlepszy efekt dla aplikacji przeglądając wzorce użycia oraz wymagania serwisu związane z bezpieczeństwem.

Nie istnieje jednak związek między wartością czasu ważności pamięci podręcznej uwierzytelniania a wartością limitu czasu żądań brokera ORB.

[AIX Solaris HP-UX Linux Windows] [iSeries] W 20-minutowym teście wydajności ustawienie czasu ważności pamięci podręcznej uwierzytelniania tak, aby limit czasu nie był przekraczany, daje 40-procentowy wzrost wydajności.

Typ danych Integer
Jednostki Minuty i sekundy
Wartość domyślna 10 minut
Zakres: Więcej niż 30 sekund
Wartość limitu czasu dla przekazanych referencji między serwerami

Określa czas ważności referencji przekazanych z innego serwera. Po przekroczeniu tego limitu referencje pochodzące z innego serwera muszą zostać ponownie sprawdzone.

W tym polu należy podać wartość większą od wartości określonej w polu Czas ważności pamięci podręcznej uwierzytelniania.

Typ danych Integer
Jednostki Minuty i sekundy
Wartość domyślna 120 minut
Zakres: Liczba całkowita z zakresu od 5 do 35971.
Hasło

Wpisz hasło używane do szyfrowania i deszyfrowania kluczy LTPA z pliku właściwości SSO. Podczas importowania hasło to powinno być zgodne z hasłem wykorzystywanym do eksportowania kluczy na innym serwerze LTPA (na przykład innej komórce serwera aplikacji, serwerze Lotus Domino i tak dalej). Podczas eksportowania zapamiętaj to hasło, tak by móc podać je podczas operacji importowania.

Po wygenerowaniu lub zaimportowaniu klucze są używane do szyfrowania i deszyfrowania znacznika LTPA. Przy każdej zmianie hasła następuje automatyczne generowanie nowego zestawu kluczy LTPA, kiedy klikniesz OK lub Zastosuj. Nowy zestaw kluczy jest wykorzystywany po zapisaniu zmian w konfiguracji.

Typ danych String
Potwierdzenie hasła

Określa potwierdzone hasło używane do szyfrowania i deszyfrowania kluczy LTPA.

Hasła tego należy używać podczas importowania tych kluczy do innych konfiguracji domen administracyjnych serwerów aplikacji oraz podczas konfigurowania pojedynczego logowania (SSO) dla serwera Lotus Domino.

Typ danych String
W pełni kwalifikowana nazwa pliku kluczy

Określa nazwę pliku używanego podczas importowania lub eksportowania kluczy.

Wpisz w pełni kwalifikowaną nazwę pliku kluczy i kliknij Importuj klucze lub Eksportuj klucze.

Typ danych String
Wewnętrzny identyfikator serwera

Określa identyfikator serwera wykorzystywany w komunikacji między procesami serwerów. Identyfikator serwera jest podczas zdalnego przesyłania chroniony znacznikiem LTPA. istnieje możliwość edytowania wewnętrznego identyfikatora serwera w celu uczynienia go identycznym, jak identyfikatory serwerów w wielu domenach administracyjnych (komórkach) serwerów aplikacji. Domyślnie, identyfikator ten stanowi nazwę komórki.

Niniejszy wewnętrzny identyfikator serwera powinien być wykorzystywany jedynie w środowisku w wersji 6.1 lub wyższej. W przypadku komórek z mieszanymi wersjami produktów, należy przejść na korzystanie z identyfikatora użytkownika serwera oraz hasła serwera w celu zapewnienia współdziałania.

Aby przejść z powrotem na korzystanie z identyfikatora użytkownika serwera oraz hasła serwera w celu zapewnienia współdziałania, wykonaj następujące kroki:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Repozytorium kont użytkowników kliknij listę rozwijaną Definicje dostępnych dziedzin, wybierz rejestr użytkowników i kliknij opcję Konfiguruj.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Wybierz opcję Tożsamość serwera przechowywana w repozytorium i wpisz poprawny identyfikator rejestru i hasło.

[z/OS] Wybrać można opcję Automatycznie generowana tożsamość serwera lub Tożsamość użytkownika dla zadania uruchomionego na platformie z/OS.

Typ danych String
Importuj klucze

Określa, czy serwer importuje nowe klucze LTPA.

Do obsługi pojedynczego logowania (SSO) na serwerze aplikacji w obrębie wielu domen (komórek) serwerów aplikacji należy udostępnić pozostałym domenom klucze LTPA i hasło. Opcji Importuj klucze możesz użyć do importowania kluczy LTPA z innych domen. Klucze LTPA są eksportowane z jednej z komórek do pliku. Aby importować nowy zestaw kluczy LTPA, wykonaj następujące kroki:
  1. Wpisz właściwe hasło w polach Hasło i Potwierdź hasło.
  2. Kliknij przyciski OK i Zapisz.
  3. Przed kliknięciem przycisku Importuj klucze, w polu W pełni kwalifikowana nazwa pliku kluczy wpisz położenie katalogu, w którym znajdują się klucze LTPA.
  4. Nie klikaj OK ani Zastosuj, ale zapisz ustawienia.
Eksportuj klucze

Określa, czy serwer eksportuje klucze LTPA.

Aby w produkcie WebSphere obsługiwane było pojedyncze logowanie (SSO) w obrębie wielu domen (komórek) serwerów aplikacji, domeny te muszą współużytkować klucze LTPA i hasło. Użyj opcji Eksportuj klucze do eksportu kluczy LTPA do innych domen.

Aby dokonać eksportu kluczy LTPA upewnij się, że system działa z włączonymi zabezpieczeniami i korzysta z LTPA. Wpisz nazwę pliku w polu W pełni kwalifikowana nazwa pliku kluczy i kliknij Eksportuj klucze. Zaszyfrowane klucze zostają zapisane w podanym pliku.

Użyj SWAM - brak uwierzytelnionej komunikacji między serwerami [AIX Solaris HP-UX Linux Windows]

Określa mechanizm uwierzytelniania SWAM (Simple WebSphere Authentication Mechanism). Między serwerami przekazywane są nieuwierzytelnione referencje. Jeśli proces programu wywołuje metodę zdalną, jego tożsamość nie jest sprawdzana. W zależności od uprawnień bezpieczeństwa metod EJB, uwierzytelnianie może kończyć się niepowodzeniem.

SWAM jest opcją nieaktualną, która zostanie usunięta w przyszłej wersji. Do uwierzytelnionej komunikacji między serwerami zaleca się korzystanie z uwierzytelniania LTPA.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne


Nazwa pliku: usec_authmechandexpire.html