Mecanisme de autentificare şi expirare

Utilizaţi această pagină pentru a specifica cheile partajate şi pentru a configura mecanismul de autentificare care este utilizat pentru a schimba informaţii între servere. De asemenea, puteţi utiliza această pagină pentru a specifica durata cât informaţiile de autentificare rămân valide şi pentru a specifica configuraţia de semnare unică (SSO).

Pentru a vizualiza această pagină de consolă administrativă, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Din Autentificare, apăsaţi pe Mecanisme de autentificare şi expirare > LTPA.
După ce configuraţi proprietăţile de pe această pagină, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Sub Definiţii regiuni disponibile, verificaţi că este configurat registrul corespunzător.
  3. Apăsaţi pe Aplicare. Când este activată securitatea şi vreuna din aceste proprietăţi se modifică, reveniţoi la panoul de securitate globală şi apăsaţi pe Aplicare pentru a valida modificările.
Grup set de chei

Specifică grupuri de chei publice, private şi partajate. Aceste grupuri de chei permit serverului de aplicaţii să gestioneze mai multe seturi de chei LDAP (Lightweight Third Party Authentication).

Generare chei

Specifică dacă să se genereze un nou set de chei LTPA în depozitul de chei configurat şi să se actualizeze runtime-ul cu noile chei. Implicit, cheile LTPA sunt regenerate conform unei planificări la fiecare 90 de zile, configurabilă la ziua săptămânii.

Fiecare nou set de chei LTPA este depozitat în depozitul de chei asociat cu grupul de set de chei. Se poate configura un număr maxim de chei (sau chiar una). Totuşi, se recomandă să aveţi cel puţin două chei; cheile vechi pot fi utilizate pentru validare în timp ce cheile noi sunt distribuite.

Acest pas nu este necesar în timpul activării securităţii. Se creează un set implicit de chei în timpul primei porniri a serverului. Dacă vreun nod este jos în timpul unui eveniment de generare a cheilor, nodurile ar trebui să fie sincronizate cu Managerul de implementare înainte de repornire.

Timeout cache autentificare

Specifică perioada în care acreditarea autentificată în cache este validă. Această perioadă trebuie să fie mai scurtă decât perioada specificată pentru câmpul Valoarea Timeout pentru acreditările înaintate între servere.

Dacă este activată securitatea infrastructurii serverului de aplicaţii, timeout-ul cache-ului de autentificare poate influenţa performanţa. Setarea timeout-ului specifică cât de des să se reîmprospăteze cache-urile legate de securitate. Informaţiile de securitate care aparţin bean-urilor, premisiunile şi acreditările sunt puse în cache. Când expiră timeout-ul de cache, toate informaţiile puse în cache care nu sunt accesate în perioada de timeout sunt epurate din cache. Cererile ulterioare pentru informaţii au ca rezultat o căutare în baza de date. Uneori, obţinerea informaţiilor necesită invocarea unei autentificări native sau de legare LDAP (Lightweight Directory Access Protocol). Ambele invocări sunt operaţii relativ costisitoare pentru performanţă. Determinaţi cea mai avantajoasă opţiune pentru aplicaţie, uitându-vă la modelele de utilizare şi nevoile de securitate pentru site.

Nu există nici o relaţie între valoarea de timeout a cache-ului de autentificare şi valoarea de timeout a cererii "orb".

[AIX Solaris HP-UX Linux Windows] [iSeries] Într-un test de performanţă de 20 de minute, setarea timeout-ului cache-ului de autentificare pentru ca timeout-ul să nu se realizeze în acea perioadă de 20 de minute, duce la o îmbunătăţirea cu 40% a performanţei.

Tip de date Întreg
Unităţi Minute şi secunde
Default 10 minute
Interval: Mai mare de 30 de secunde
Valoarea de timeout pentru acreditările înaintate între servere

Specifică perioada în care acreditările serverului de la alt server sunt valide. După ce expiră această perioadă, acreditarea serverului de la celălalt server trebuie revalidată.

Specificaţi o valoare pentru acest câmp care este mai mare decât valoarea specificată pentru câmpul Timeout cache de autentificare .

Tip de date Întreg
Unităţi Minute şi secunde
Implicit 120 de minute
Interval: Un întreg între 5 şi 35971
Parolă

Introduceţi o parolă care va fi utilizată pentru a cripta şi a decripta cheile LTPa din fişierul de proprietăţi SSO. În timpul importului, această parolă ar trebui să se potrivească parolei utilizate pentru a exporta cheile la alt server LTPA (de exemplu, o altă celulă de server de aplicaţii, Lotus Domino Server, şamd). În timpul exportului, reţineţi această parolă pentru a o furniza în timpul operaţiei de import.

După ce cheile sunt generate sau importate, sunt utilizate pentru a cripta şi a decripta token-ul LTPA. Ori de câte ori este modificată parola, se generează automat un nou set de chei LTPA când apăsaţi pe OK sau Aplicare. Noul set de chei este utilizat după ce se salvează modificările configuraţiei.

Tip de date Şir
Confirmare parolă

Specifică parola confirmată care este utilizată pentru a cripta şi decripta cheile LTPA.

Utilizaţi această parolă când importaţi aceste chei în alte configuraţii ale domeniului administrativ al serverului de aplicaţii şi când configuraţi SSO pentru un server Lotus Domino.

Tip de date Şir
Nume fişier de chei complet calificat

Specifică numele fişierului care este utilizat când importaţi sau exportaţi chei.

Introduceţi un nume de fişier de chei complet calificat şi apăsaţi pe Import chei sau Export chei.

Tip de date Şir
ID server intern

Specifică ID-ul de server care este utilizat pentru comunicaţii interprocese dintre servere. ID-ul de server este protejat cu un token LTPA când este trimis la distanţă. Puteţi edita ID-ul de server intern pentru a-l face identic cu ID-urile de server de pe mai multe domenii administrative de server de aplicaţii (celule). Implicit, acest ID este numele celulei.

Acest ID de server intern ar trebui utilizat numai într-un mediu de Versiunea 6.1 sau ulterioară. Pentru celule cu versiuni mixte, ar trebui să convertiţi la utilizarea unui ID de utilizator server şi parolă server pentru interoperabilitate.

Pentru a comuta înapoi la ID-ul de utilizator server şi parolă pentru interoperabilitate, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Din Magazie cont utilizator, apăsaţi pe lista derulantă Definiţii regiuni disponibile, selectaţi un registru de utilizatori şi apăsaţi pe Configurare.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Selectaţi opţiunea Identitatea serverului care este stocată în magazie şi tastaţi un ID de registru valid şi parolă.

[z/OS] Puteţi specifica opţiunea Identitate server generată automat sau opţiunea Identitate utilizator pentru task-ul pornit z/OS.

Tip de date Şir
Import chei

Specifică dacă serverul importă sau nu noi chei LTPA.

Pentru a suporta SSO (Semnare unică) în produsul serverului de aplicaţii pe mai multe domenii de server de aplicaţii (celule), partajaţi cheile LTPA şi parola între domenii. Puteţi utiliza opţiunea Import chei pentru a importa cheile LTPA de la alte domenii. Cheile LTPA sunt exportate de la una dintre celule la un fişier. Pentru a importa un nou set de chei LTPA, finalizaţi următorii paşi:
  1. Introduceţi parola corespunzătoare în câmpurile Parolă şi Confirmare parolă.
  2. Apăsaţi OK şi apoi apăsaţi Salvare.
  3. Introduceţi locaţia directorului unde se află cheile LTPA în câmpul Nume fişier de chei complet calificat înainte de a apăsa pe Import chei.
  4. Nu apăsaţi OK sau Aplicare, dar salvaţi setările.
Export chei

Specifică dacă serverul exportă chei LTPA.

Pentru a suporta SSO (Semnare unică) în produsul WebSphere pe mai multe domenii de server de aplicaţii (celule), partajaţi cheile LTPA şi parola între domenii. Utilizaţi opţiunea Export chei pentru a exporta cheile LTPA la alte domenii.

Pentru a exporta cheile LTPA, asiguraţi-vă că sistemul rulează cu securitatea activată şi utilizează LTPA. Introduceţi numele de fişier în câmpul Nume fişier cheie complet calificat şi apăsaţi pe Export chei. Cheile cifrate sunt stocate în fişierul specificat.

Utilizare comunicaţii autentificate fără SWAM între servere [AIX Solaris HP-UX Linux Windows]

Specifică Simple WebSphere Authentication Mechanism (SWAM). Acreditările neautentificate sunt înaintate între servere. Când un apelant invocă o metodă la distanţă, identitatea sa nu este verificată. În funcţie de permisiunile de securitate pentru metodele EJB, ar putea apărea eşuări de autentificare.

SWAM este o caracteristică depreciată şi va fi înlăturat într-o ediţie viitoare. Se recomandă să utilizaţi LTPA pentru comunicaţia autentificată dintre servere.




Legăturile marcate (online) necesită acces la internet.

Related tasks


Nume fişier: usec_authmechandexpire.html