Impostazioni delle comunicazioni uscita CSIv2 (Common Secure Interoperability version 2)

Utilizzare questa pagina per specificare le funzioni che un server supporta quando funge da client di un altro server a valle.

Per visualizzare questa pagina della console di gestione, completare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Autenticazione, fare clic su Sicurezza RMI/IIOP> Comunicazioni in uscita CSIv2.
Le funzioni di autenticazione comprendono tre livelli di autenticazione, che possono essere utilizzati contemporaneamente:
Propagare gli attributi di sicurezza

Specificare per supportare la propagazione dell'attributo di sicurezza durante le richieste di login. Selezionando questa opzione, il server delle applicazioni conserva altre informazioni sulla richiesta di login, ad esempio il livello di autenticazione utilizzato e mantiene l'identità e la posizione dell'autore della richiesta.

Se non si seleziona questa opzione, il server delle applicazioni non accetta altre informazioni di login da estendere ai server a valle.

Valore predefinito: Abilitato
Utilizzare l'asserzione d'identità [z/OS]

Specifica che l'asserzione di identità è un modo per asserire le identità da un server all'altro durante un richiamo EJB (Enterprise JavaBean) di downstream.

Questo server non autentica nuovamente l'identità asserita perché considera affidabile il server a monte. L'asserzione di identità ha la precedenza su tutti gli altri tipi di autenticazione.

L'asserzione di identità viene eseguita al livello di attributo ed è applicabile solo ai server. Il principal determinato sul server si basa su regole di precedenza. Se viene eseguita l'asserzione di identità, l'identità deriva sempre dal livello di attributo. Se l'autenticazione base viene utilizzata senza l'asserzione di identità, l'identità deriva sempre dal livello del messaggio. Infine, se l'autenticazione del certificato client SSL viene eseguita senza l'autenticazione di base o l'asserzione di identitÓ, l'identitÓ deriva dal livello di trasporto.

L'identità asserita è la credenziale di richiamo, determinata dalla modalità RunAs per il bean enterprise. Se la modalità RunAs è Client, l'identità è quella del client. Se la modalità RunAs è Sistema, l'identità è quella del server. Se la modalità RunAs è Specificata, l'identità è quella indicata. Il server ricevente riceve l'identità in un token di identità e anche l'identità del server trasmittente in un token di autenticazione client. Il server ricevente convalida l'identità del server trasmittente come identità sicura, tramite la casella di immissione ID server sicuro. Immettere un elenco di nomi principali separati dalla barra verticale (|), ad esempio, serverid1|serverid2|serverid3.

Tutti i tipi di token di identità sono mappati al campo ID utente del registro utenti attivo. Per un token di identità ITTPrincipal, questo token consente una mappatura uno-a-uno con i campi ID utente. Per un token di identità ITTDistinguishedName, il valore dal primo segno di uguale viene mappato sul campo ID utente. Per un token di identità ITTCertChain, il valore dal primo segno di uguale del DN (Distinguished Name) viene mappato sul campo ID utente.

Durante l'autenticazione di un registro utenti LDAP, i filtri LDAP determinano il modo in cui un'identità di tipo ITTCertChain e ITTDistinguishedName viene mappata sul registro. Se il tipo di token è ITTPrincipal, il principal viene mappato sul campo UID nel registro LDAP.

Valore predefinito: Disabilitato
Utilizza identità attendibile del server

Specifica l'identità server utilizzata dal server delle applicazioni per stabilire una comunicazione sicura con il server di destinazione. L'identità server può essere inviata utilizzando uno dei seguenti metodi:

  • Un ID server e una password quando la password del server è specificata nella configurazione del registro.
  • Un ID server in un token LTPA (Lightweight Third Party Authentication) quando viene utilizzato l'ID server interno.
Perché i server delle applicazioni comunichino tra loro invece che con WebSphere Application Server, utilizzare uno dei seguenti metodi:
  • Configurare l'ID server e la password nel registro.
  • Selezionare l'opzione Identità sicura server e specificare l'identità sicura e la password in modo che sia inviato un token GSSUP (Generic Security Services Username Password) interoperabile invece di un token LTPA.
Valore predefinito: Disabilitato
Specifica un'identità sicura alternativa

Specifica un utente alternativo come identità sicura che viene inviato ai server di destinazione al posto dell'identità del server.

Questa opzione è consigliata per l'asserzione identità. L'identità viene automaticamente considerata sicura quando viene inviata all'interno della stessa cella e non deve trovarsi nell'elenco di identità sicure nella stessa cella. Tuttavia, questa identità deve trovarsi nel registro dei server di destinazione in una cella esterna e l'ID utente deve essere presente nell'elenco di identità sicure altrimenti l'identità stessa verrà rifiutata durante la valutazione della sicurezza.

Valore predefinito: Disabilitato
Identità garantita

Specifica l'identità garantita inviata dal server mittente al server ricevente.

Se si specifica un'identità in questo campo, è possibile selezionarla nel pannello relativo al repository account utenti configurato. Se non si specifica un'identità, il token LTPA (Lightweight Third Party Authentication) viene inviato tra i server.

[AIX Solaris HP-UX Linux Windows] [iSeries] Specifica un elenco di ID utente amministratore server, che risultano sicuri per eseguire l'asserzione di identità su tale server. Ad esempio, serverid1|serverid2|serverid3. Il server delle applicazioni supporta il simbolo virgola (,) come delimitatore elenco per la compatibilità con le versioni precedenti. Il server delle applicazioni controlla il simbolo virgola se la barra verticale (|) non riesce a trovare un ID server sicuro valido.

[z/OS] Specifica un elenco di ID del server sicuri, separati da punto e virgola (;) o virgola (,), per eseguire l'asserzione di identità di tale server. Ad esempio, serverid1;serverid2;serverid3 o serverid1,serverid2,serverid3.

Utilizzare questo elenco per stabilire se un server è sicuro o meno. Anche se il server è sull'elenco, il server trasmittente deve essere autenticato con quello ricevente per poter accettare il token di identità del server trasmittente.

Password

Specifica la password associata all'identità garantita.

Tipo di dati: Testo
Conferma password

Conferma la password associata all'identità garantita.

Tipo di dati: Testo
Autenticazione del livello di messaggio

Per l'autenticazione a livello di messaggio sono disponibili le seguenti opzioni:
Mai
Specifica che il server non può accettare l'autenticazione di ID utente e password.
Servizi directory
Specifica che un client in comunicazione con questo server può specificare un ID utente ed una password. Tuttavia, è possibile richiamare un metodo senza questo tipo di autenticazione. Ad esempio, è possibile utilizzare un certificato client o un accesso anonimo.
Obbligatorio
Specifica che i client che comunicano con questo server devono specificare un ID utente e la password per qualsiasi richiesta di metodo.
Consenti autenticazione client-server con:

Specifica l'autenticazione da client-a-server tramite l'autenticazione di base, LTPA o Kerberos.

Per l'autenticazione client-server sono disponibili le seguenti opzioni:
Kerberos (KRB5)
Selezionare per specificare Kerberos come meccanismo di autenticazione. Occorre configurare il meccanismo di autenticazione Kerberos. Per ulteriori informazioni , consultare Configurazione di Kerberos come meccanismo di autenticazione utilizzando la console di gestione.
LTPA
Selezionare per configurare e abilitare l'autenticazione del token LTPA (Lightweight Third-Party Authentication).
Autenticazione di base
L'autenticazione di base è GSSUP (Generic Security Services Username Password). Questo tipo di autenticazione, generalmente, implica l'invio di un ID utente e di una password dal client al server per l'autenticazione.

Se si seleziona Autenticazione di base e LTPA e il meccanismo di autenticazione attivo è LTPA, il server viene eseguito insieme a un server di downstream con un nome utente, una password e i token LTPA.

Se si seleziona Autenticazione di base e KRB5 e il meccanismo di autenticazione attivo è KRB5, il server viene eseguito insieme a un server di downstream con un nome utente, una password e i token Kerberos o LTPA.

Se non si seleziona Autenticazione di base, il server non viene eseguito insieme a un server di downstream con un nome utente e una password.

Transport

Specifica se i processi del client si collegano al server utilizzando uno dei trasporti collegati.

È possibile scegliere di utilizzare SSL, TCP/IP o entrambi come trasporto in entrata supportato da un server. Se si specifica TCP/IP, il server supporta solo TCP/IP e non pu‗ accettare connessioni SSL. Se si specifica SSL supportato, questo server può supportare le connessioni TCP/IP o SSL. Se si specifica SSL obbligatorio, qualsiasi server che comunica con questo server deve utilizzare SSL.

Nota: Questa opzione non è disponibile sul sistema operativo z/OS a meno che nella cella non siano presenti sia la versione 6.0.x e i nodi precedenti.
TCP/IP
Se si seleziona TCP/IP, il server apre solo una porta listener TCP/IP e tutte le richieste in entrata non dispongono della protezione SSL.
Obbligatorio con SSL
Se si seleziona SSL obbligatorio, il server apre solo una porta listener SSL e tutte le richieste in entrata vengono ricevute tramite SSL.
SSL supportato
Se si seleziona SSL supportato, il server apre una porta listener TCP/IP e SSL e la maggior parte delle richieste in entrata vengono ricevute mediante SSL.
Fornire un numero di porta corretto per le seguenti porte. Un numero di porta zero indica che, durante il runtime, verrà effettuata un'assegnazione dinamica. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Valore predefinito: SSL supportato
Intervallo: TCP/IP, SSL obbligatorio, SSL supportato
Impostazioni SSL

Specifica un elenco di impostazioni SSL predefinite da cui scegliere per la connessione in uscita.

[z/OS] Nota: Questa opzione non è disponibile sul sistema operativo z/OS a meno che nella cella non siano presenti sia la versione 6.0.x e i nodi precedenti.
Tipo di dati: Stringa
[AIX Solaris HP-UX Linux Windows] [iSeries] Valore predefinito: DefaultSSLSettings
[z/OS] Valore predefinito: DefaultIIOPSSL
Intervallo: Qualsiasi impostazione SSL configurata nel Repertorio di configurazione SSL
Autenticazione certificati client

Specifica se un certificato client dal keystore configurato viene utilizzato per l'autenticazione sul server quando viene stabilita una connessione SSL tra questo server e un server a valle, se il server a valle supporta l'autenticazione del certificato client.

In genere, l'autenticazione del certificato client fornisce prestazioni più elevate dell'autenticazione del livello di messaggio, ma richiede un'impostazione ulteriore. Queste fasi aggiuntive prevedono che si controlli che il server abbia un certificato personale e che il server a valle disponga del certificato del firmatario di tale server.

Se si seleziona Autenticazione certificato client, sono disponibili le seguenti opzioni:
Mai
Indica che questo server non tenta l'autenticazione certificato client SSL (Secure Sockets Layer) con i server a valle.
Servizi directory
Indica che il server può utilizzare i certificati client SSL per autenticare i server a valle. Tuttavia, è possibile richiamare un metodo senza questo tipo di autenticazione. Ad esempio, il server può utilizzare un accesso anonimo o un'autenticazione base.
Obbligatorio
Indica che il server deve utilizzare i certificati client SSL per autenticare i server a valle.
Valore predefinito: Abilitato
Configurazione login

Specifica il tipo di configurazione login di sistema da utilizzare per l'autenticazione in entrata.

È possibile aggiungere dei moduli di login personalizzati facendo clic su Sicurezza > Sicurezza globale. In Autenticazione, fare clic su Java Authentication and Authorization Service > Log di sistema.

Sessioni stateful

Selezionare questa opzione per abilitare sessioni stateful, utilizzate principalmente per miglioramenti delle prestazioni.

Il primo contatto tra un client e il server deve essere autenticato completamente. Tuttavia, tutti i contatti successivi con sessioni valide riutilizzano le informazioni sulla sicurezza. Il client invia un ID di contesto al server e l'ID viene utilizzato per ricercare la sessione. L'ID di contesto si trova nell'ambito della connessione e ciò garantisce l'univocità. Ogni volta che la sessione di sicurezza non è valida ed è abilitato il nuovo tentativo di autenticazione (impostazione predefinita), l'intercettatore di sicurezza del client non convalida la sessione dal lato client ed inoltra nuovamente la richiesta senza informare l'utente. Ciò potrebbe verificarsi se la sessione non è presente sul server, il server non ha completato con successo l'operazione e riprende quest'ultima. Quando questo valore è disabilitato, tutte le chiamate ai metodi devono essere autenticate nuovamente.

Mappatura personalizzata in uscita

Abilita l'utilizzo dei moduli di login in uscita RMI (Remote Method Invocation).

Il modulo di login personalizzato mappa o completa altre funzioni prima della chiamata in uscita RMI predefinita.

Per dichiarare una mappatura in uscita personalizzata, completare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Autenticazione, fare clic su Java Authentication and Authorization Service > Log di sistema > Nuovo.
Realm di autenticazione sicuri - in uscita

Se la comunicazione RMI/IIOP riguarda differenti realm, usare questo collegamento per aggiungere i realm sicuri in uscita.

I token di creddenziali vengono inviati solo ai realm divenuti attendibili. Inoltre, il server ricevente deve rendere attendibile questo realm usando la configurazione di realm attendibili in entrata per convalidare il token LTPA.




I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate


Nome file: usec_outbound.html