Tato stránka slouží k zadání funkcí, které server podporuje, když se chová jako klient jiného serveru dále na trase.
Určuje podporu šíření atributu zabezpečení při zpracování žádostí o přihlášení. Vyberete-li tuto volbu, aplikační server zachová doplňující informace o požadavku na přihlášení, například použitou sílu ověřování, spolu s identitou a umístěním původce požadavku.
Pokud tuto volbu nevyberete, nebude aplikační server přijímat žádné další informace o přihlášení určené k předání do serverů po směru zpracování.
Výchozí hodnota: | Povoleno |
Určuje identitu serveru, kterou aplikační server používá k ustavení důvěryhodnosti cílového serveru. Identita serveru může být odeslána jednou z následujících metod:
Výchozí hodnota: | Zakázáno |
Tato možnost určuje alternativního uživatele jako důvěryhodnou identitu, která je odeslána na cílové servery místo odesílání identity serveru.
Tato volba je doporučená pro deklaraci identity. Tato identita se automaticky stane důvěryhodnou, pokud je odeslána do stejné buňky, a v rámci stejné buňky nemusí být uvedena v seznamu důvěryhodných identit. Tato identita však musí být v registru cílových serverů v externí buňce a jméno uživatele musí být uvedeno v seznamu důvěryhodných identit, nebo je identita odmítnuta v průběhu vyhodnocování důvěryhodnosti.
Výchozí hodnota: | Zakázáno |
Tato možnost určuje důvěryhodnou identitu, která je odeslána z odesílajícího serveru na přijímající server.
Pokud zadáte identitu do tohoto pole, může být vybrána na panelu pro konfigurované úložiště uživatelských účtů. Pokud identitu nezadáte, je mezi servery odeslán token LTPA (Lightweight Third Party Authentication).
Určuje seznam uživatelských jmen
administrátorů důvěryhodného serveru oddělených svislými čarami (|), která jsou
považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad:
IDserveru1|IDserveru2|IDserveru3.
V zájmu zpětné kompatibility podporuje aplikační server oddělování položek seznamu znakem
, (čárka). Aplikační server se pokusí použít znak čárky, pokud se mu nepodaří najít
platné ID důvěryhodného serveru pomocí znaku svislé čáry (|).
Určuje seznam ID důvěryhodných serverů oddělených
středníky (;) nebo čárkami (,), která jsou považována za důvěryhodná pro účely deklarace
identit na tomto serveru. Příklad: IDserveru1;IDserveru2;IDserveru3 nebo
IDserveru1,IDserveru2,IDserveru3.
Tento seznam slouží k rozhodování o tom, zda je server důvěryhodný. I v případě, že je server uveden v seznamu, musí odesílající server projít ověřením u přijímajícího serveru, aby mohl být přijat token identity odesílajícího serveru.
Určuje heslo, které je asociováno s důvěryhodnou identitou.
Datový typ: | Text |
Potvrzuje heslo, které je asociováno s důvěryhodnou identitou.
Datový typ: | Text |
Určuje ověřování klienta na serveru pomocí ověřování Kerberos, LTPA nebo základního ověřování.
Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol LTPA, server se obrátí na další server na trase a předá jméno uživatele, heslo nebo token LTPA.
Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol KRB5, server se obrátí na další server na trase a předá jméno uživatele, heslo, token Kerberos nebo token LTPA.
Pokud nevyberete volbu Základní ověřování, server nepředá jméno uživatele a heslo dalšímu serveru na trase zpracování.
Určuje, zda se procesy klienta připojují k serveru s použitím jednoho z připojených transportů.
Jako příchozí transport podporovaný serverem můžete zvolit službu SSL (Secure Sockets Layer), protokol TCP/IP nebo obojí. Vyberete-li volbu TCP/IP, server bude podporovat pouze protokol TCP/IP a nebude moci přijímat připojení SSL. Vyberete-li volbu Podporováno SSL, bude tento server moci podporovat připojení protokolu TCP/IP i připojení SSL. Vyberete-li volbu Vyžadováno SSL, bude muset každý server komunikující s tímto serverem používat zabezpečení SSL.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
Výchozí hodnota: | Podporováno SSL |
Rozsah: | TCP/IP, Vyžadováno SSL, Podporováno SSL |
Určuje seznam předdefinovaných nastavení SSL pro příchozí připojení.
Datový typ: | Řetězec |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Rozsah: | Všechna nastavení SSL konfigurovaná v repertoáru konfigurace SSL |
Tato možnost určuje, zda je certifikát klienta z konfigurovaného úložiště klíčů použit k ověřování na serveru při vytvoření připojení SSL mezi daným server a serverem dále na trase v případě, že server dále na trase podporuje ověřování pomocí certifikátu klienta.
Ověřování pomocí certifikátu klienta má většinou vyšší výkon než ověřování vrstvy zpráv, ale vyžaduje další nastavení. Tyto další kroky zahrnují ověření, že daný server má osobní certifikát a že server dále na trase má certifikát podepisujícího subjektu tohoto serveru.
Výchozí hodnota: | Povoleno |
Určuje typ konfigurace přihlašování k systému, který má být použit pro ověřování příchozích požadavků.
Chcete-li přidat vlastní moduly přihlašování, můžete klepnout na volby Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému.
Tuto volbu vyberte, chcete-li povolit stavové relace, využívané především ke zvýšení výkonu.
Při prvním kontaktu mezi klientem a serverem musí proběhnout úplné ověření. Všechny další kontakty v rámci platných relací však používají znovu tytéž informace zabezpečení. Klient předá serveru ID kontextu a na základě tohoto ID je vyhledána relace. Oborem ID kontextu je dané připojení, čímž je zaručena jedinečnost. Vždy, když není nalezena platná relace zabezpečení a je povoleno opakované ověřování (výchozí stav), zachytávač zabezpečení na straně klienta zneplatní relaci na straně klienta a odešle požadavek znovu bez rozlišení klienta. Tato situace může nastat v případě, že daná relace na straně serveru neexistuje, například po selhání serveru a obnovení jeho činnosti. Pokud je tato volba zakázána, musí při každém volání metody proběhnout nové ověření.
Určuje, zda má být omezena velikost mezipaměti relace CSIv2.
Při povolení této volby je nutné nastavit hodnoty voleb Maximální velikost mezipaměti a Časový limit nečinné relace. Pokud tuto volbu nepovolíte, mezipaměť relace CSIv2 nebude omezena.
Je možné, že jste v předchozích verzích aplikačního serveru nastavili tuto hodnotu jako přizpůsobenou vlastnost com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. V této verzi produktu se doporučuje nastavit tuto hodnotu prostřednictvím tohoto panelu administrativní konzoly, nikoli jako přizpůsobenou vlastnost.
Výchozí hodnota: | false |
Určuje maximální velikost mezipaměti relace, nad níž jsou relace, kterým vypršela platnost, odstraňovány z mezipaměti.
Relace s vypršenou platností jsou definovány jako relace, které jsou nečinné po delší dobu, než jaká je zadána v poli Časový limit nečinné relace. Při zadání hodnoty do pole Maximální velikost mezipaměti zvažte její nastavení v rozmezí 100 až 1000 položek.
Pokud je v prostředí používáno ověřování Kerberos a v konfigurovaném centru distribuce klíčů (KDC) došlo k malému posunu hodin, zvažte zadání hodnoty do tohoto pole. V tomto scénáři je malý posun hodin definován jako posun o méně než 20 minut. Pokud příliš nízká hodnota mezipaměti způsobí spuštění uvolnění mezipaměti tak často, že ovlivňuje výkon aplikačního serveru, zvažte zvýšení hodnoty v tomto poli.
Je možné, že jste v předchozích verzích aplikačního serveru nastavili tuto hodnotu jako přizpůsobenou vlastnost com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. V této verzi produktu se doporučuje nastavit tuto hodnotu prostřednictvím tohoto panelu administrativní konzoly, nikoli jako přizpůsobenou vlastnost.
Toto pole je použito pouze v případě, že jsou povoleny volby Stavové relace a Povolit limit mezipaměti relace CSIv2.
Výchozí hodnota: | Při výchozím nastavení tato hodnota není nastavena. |
Rozsah: | 100 až 1000 položek |
Tato vlastnost určuje čas v milisekundách, po který může relace CSIv2 zůstat nečinná, aniž by byla odstraněna. Tato relace bude odstraněna v případě, že vyberete volbu Povolit limit mezipaměti relace CSIv2 a že dojde k překročení hodnoty v poli Maximální velikost mezipaměti.
Tato hodnota časového limitu je použita pouze v případě, že jsou povoleny volby Stavové relace a Povolit limit mezipaměti relace CSIv2. Pokud je v prostředí používáno ověřování Kerberos a v konfigurovaném centru distribuce klíčů (KDC) došlo k malému posunu hodin, zvažte možnost snížení hodnoty v tomto poli. V tomto scénáři je malý posun hodin definován jako posun o méně než 20 minut. Výsledkem malého posunu hodin může být velký počet odmítnutých relací CSIv2. V případě menší hodnoty v poli Časový limit nečinné relace však aplikační server může odstraňovat zamítnuté relace častěji a potenciálně tak omezit případy nedostatku prostředků.
Je možné, že jste v předchozích verzích produktu WebSphere Application Server nastavili tuto hodnotu jako přizpůsobenou vlastnost com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. V této verzi produktu se doporučuje nastavit tuto hodnotu prostřednictvím tohoto panelu administrativní konzoly, nikoli jako přizpůsobenou vlastnost. Pokud jste tuto hodnotu dříve nastavili jako přizpůsobenou vlastnost, hodnota byla nastavena v milisekundách a na tomto panelu administrativní konzoly byla převedena na sekundy. Na tomto panelu administrativní konzoly je nutné zadat hodnotu v sekundách.
Výchozí hodnota: | Při výchozím nastavení tato hodnota není nastavena. |
Rozsah: | 60 až 86 400 sekund |
Tato možnost povoluje použití vlastních odchozích modulů přihlášení RMI (Remote Method Invocation).
Vlastní modul přihlášení mapuje nebo provede další funkce před provedením předdefinovaného odchozího volání RMI.
Pokud komunikace pomocí protokolu RMI/IIOP probíhá mezi různými sférami, můžete pomocí tohoto odkazu přidat odchozí důvěryhodné sféry.
Tokeny pověření jsou odesílány pouze důvěryhodným sférám. Přijímající server by také měl této sféře důvěřovat pomocí konfigurace příchozích důvěryhodných sfér sloužící k ověření tokenu ověřování LTPA.
Odkazy s označením (online) vyžadují přístup k Internetu.