公共安全互操作性 V2 出站通信设置

使用此页面来指定服务器作为另一台下游服务器的客户机时所支持的功能。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击安全性 > 全局安全性
  2. 在“认证”下面,单击 RMI/IIOP 安全性 > CSIv2 出站通信
认证功能部件包括您可以同时使用的三层认证:
传播安全属性

指定此选项以便在登录请求期间支持安全性属性传播。选择此选项后,应用程序服务器将保留有关登录请求的其他信息(例如使用的认证强度),并保留请求发起方的标识和位置。

如果未选择此选项,应用程序服务器就不接受传播到下游服务器的任何其他登录信息。

缺省值: 已启用
重要: 使用复制服务时,请确保已启用广播安全性属性选项。
使用服务器信任的标识

指定服务器标识,应用程序服务器将使用此标识来与目标服务器建立信任关系。可以通过下列其中一种方法来发送服务器标识:

  • 服务器标识和密码(当注册表配置中指定了服务器密码时)。
  • 轻量级第三方认证(LTPA)令牌中的服务器标识(当使用了内部服务器标识时)。
为了与除 WebSphere® Application Server 以外的应用程序服务器进行互操作,请使用下列其中一个方法:
  • 在注册表中配置服务器标识和密码。
  • 选择服务器信任的标识选项,并指定可信标识和密码,以便发送可互操作的类属安全性服务用户名密码 (GSSUP) 令牌,而不是发送 LTPA 令牌。
缺省值: 已禁用
指定备用可信标识

指定一个备用用户作为要发送到目标服务器的可信标识(以代替发送服务器标识)。

对于标识声明来说,建议您选择此选项。当在同一个单元中发送该标识时,将自动信任该标识,它无需包含在同一单元中的可信标识列表中。但是,外部单元中目标服务器的注册表必须包含此标识,并且可信标识列表必须包含用户标识,否则在可信评估期间将拒绝此标识。

缺省值: 已禁用
可信标识

指定从发送服务器发送到接收服务器的可信标识。

如果在此字段中指定了标识,那么可以在已配置的用户帐户存储库的面板上选择此标识。如果未指定标识,那么将在服务器之间发送轻量级第三方认证(LTPA)令牌。

[AIX Solaris HP-UX Linux Windows] [iSeries] 指定以竖线(|)分隔的信任服务器管理员用户标识列表,这些标识对于向此服务器执行标识声明是可信的。例如,serverid1|serverid2|serverid3。应用程序服务器支持逗号 (,) 字符作为向后兼容性的列表定界符。当竖线(|)无法找到有效的信任服务器标识时,应用程序服务器检查逗号字符。

[z/OS] 指定以分号 (;) 或逗号 (,) 分隔的信任服务器标识列表,这些标识对于向此服务器执行标识声明是可信的。例如,serverid1;serverid2;serverid3serverid1,serverid2,serverid3

使用此列表确定服务器是否是可信的。即使服务器在列表上,为了接受发送服务器的标识令牌,发送服务器仍必须向接收服务器认证。

密码

指定与可信标识相关联的密码。

数据类型: 文本
确认密码

确认与可信标识相关联的密码。

数据类型: 文本
消息层认证

下列选项可用于消息层认证:
从不
指定此服务器不能接受用户标识和密码认证。
受支持
指定与此服务器通信的客户机可以指定用户标识和密码。然而,可以不使用此认证类型来调用方法。例如,可能会改为使用匿名或客户机证书。
必需
指定与此服务器通信的客户机必须对任何方法请求指定用户标识和密码。
允许通过以下方法进行客户机至服务器的认证:

指定使用 Kerberos、LTPA 或基本认证进行客户机至服务器的认证。

下列选项可用于客户机至服务器的认证:
Kerberos (KRB5)
选择此项以指定 Kerberos 作为认证机制。您必须首先配置 Kerberos 认证机制。请阅读使用管理控制台将 Kerberos 配置为认证机制以了解更多信息。
LTPA
选择此选项以配置并启用轻量级第三方认证(LTPA)令牌认证。
基本认证
基本认证是类属安全性服务用户名密码(GSSUP)。此类型的认证通常包括将用户标识和密码从客户机发送到服务器来进行认证。

如果您选择基本认证LTPA,并且现行认证机制是 LTPA,那么服务器将使用用户名、密码或 LTPA 令牌进入下游服务器。

如果您选择基本认证KRB5,并且现行认证机制是 KRB5,那么服务器将使用用户名、密码、Kerberos 令牌或 LTPA 令牌进入下游服务器。

如果您未选择基本认证,那么服务器不会使用用户名和密码进入下游服务器。

传输

指定客户机进程是否使用它的一个已连接传输连接到服务器。

您可以选择使用安全套接字层 (SSL)、TCP/IP 或者两样都用,以作为服务器支持的入站传输。如果您指定 TCP/IP,服务器仅支持 TCP/IP 而不能接受 SSL 连接。如果您指定支持 SSL,此服务器可以支持 TCP/IP 连接或 SSL 连接。如果您指定需要 SSL,那么与它通信的任何服务器都必须使用 SSL。

注: 在 z/OS® 操作系统上,除非单元中同时存在 V6.0.x 和更早版本的节点,否则此选项不可用。
TCP/IP
如果您选择 TCP/IP,那么服务器只打开 TCP/IP 侦听器端口并且所有入站请求都没有 SSL 保护。
需要 SSL
如果您选择需要 SSL,那么服务器只打开 SSL 侦听器端口并且使用 SSL 接收所有入站请求。
支持 SSL
如果您选择支持 SSL,那么服务器打开 TCP/IP 和 SSL 侦听器端口,并且使用 SSL 接收多数入站请求。
为下列端口提供固定的端口号。如果端口号为 0,那么表示将在运行时动态指定端口号。[AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

缺省值: 支持 SSL
范围: TCP/IP、需要 SSL、支持 SSL
SSL 设置

指定要从入站连接选择的预定义的 SSL 设置的列表。

[z/OS] 注: 在 z/OS 操作系统上,除非单元中同时存在 V6.0.x 和更早版本的节点,否则此选项不可用。
数据类型: 字符串
[AIX Solaris HP-UX Linux Windows] [iSeries] 缺省值: DefaultSSLSettings
[z/OS] 缺省值: DefaultIIOPSSL
范围: 在“SSL 配置指令表”中配置的任何 SSL 设置
客户机证书认证

指定当在此服务器与下游服务器之间建立 SSL 连接时,倘若下游服务器支持客户机证书认证的话,是否使用已配置的密钥库中的客户机证书来向此服务器认证。

通常,客户机证书认证的性能比消息层认证高,但需要一些其他的设置步骤。 这些额外的步骤包括验证该服务器是否有个人证书,以及下游服务器是否有该服务器的签署者证书。

如果您选择客户机证书认证,可以使用下列选项:
从不
指定此服务器不会尝试向下游服务器进行安全套接字层 (SSL) 客户机证书认证。
受支持
指定此服务器可以使用 SSL 客户机证书向下游服务器进行认证。然而,可以不使用此认证类型来调用方法。例如,服务器可以改为使用匿名或基本认证。
必需
指定此服务器必须使用 SSL 客户机证书向下游服务器进行认证。
缺省值: 已启用
登录配置

指定用于入站认证的系统登录配置的类型。

可以通过单击安全性 > 全局安全性添加定制登录模块。在“认证”下面,单击 Java™ 认证和授权服务 > 系统登录

有状态的会话

选择此选项以启用有状态的会话,这些会话主要用于提高性能。

客户机和服务器之间第一次联系必须充分认证。但是,所有具有有效会话的后继联系将复用安全信息。客户机将上下文标识传递给服务器,服务器将使用该标识查找会话。上下文标识的作用域仅限于连接,这保证了唯一性。只要安全会话无效并且已启用认证重试(缺省值),客户端安全拦截器就会使客户端会话失效,并且在用户不知道的情况下重新提交请求。如果服务器上不存在该会话,那么可能发生这种情况,例如,服务器失败并且继续操作。禁用此值时,每个方法调用都必须重新认证。

启用 CSIv2 会话高速缓存限制

指定是否限制 CSIv2 会话高速缓存的大小

启用此选项时,必须对最大高速缓存大小空闲会话超时选项设置值。 不启用此选项时,CSIv2 会话高速缓存不受限制。

在应用程序服务器的先前版本中,可能已将此值设置为 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 定制属性。在此产品版本中,建议使用此管理控制台面板来设置此值,而不是将其作为定制属性。

缺省值: false
最大高速缓存大小

指定会话高速缓存的最大大小,在到达此大小后会从高速缓存中删除到期的会话。

到期会话被定义为空闲时间超过在空闲会话超时 字段中指定的时间的会话。 指定最大高速缓存大小字段的值时,请考虑将其值设置为在 100 到 1000 个条目之间。

如果您的环境使用 Kerberos 认证并且与配置的密钥分发中心 (KDC) 之间存在较小时钟偏差,那么请考虑为此字段设置值。在此方案中,小时钟偏差被定义为小于 20 分钟。如果小高速缓存大小导致垃圾回收运行过于频繁,以至于影响到应用程序服务器的性能,那么请考虑增加此字段的值的大小。

在应用程序服务器的先前版本中,可能已设置此值作为 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 定制属性。在此产品版本中,建议使用此管理控制台面板来设置此值,而不是将其作为定制属性。

仅当启用有状态的会话启用 CSIv2 会话高速缓存限制选项时,此字段才适用。

缺省值: 缺省情况下,不设置此值。
范围: 100 到 1000 个条目
空闲会话超时

此属性指定 CSIv2 会话在被删除前可以保持空闲的时间(以毫秒计)。如果选择启用 CSIv2 会话高速缓存限制选项且超过最大高速缓存大小字段的值,那么将删除会话。

仅当启用有状态的会话启用 CSIv2 会话高速缓存限制选项时,此超时值才适用。如果您的环境使用 Kerberos 认证并且与配置的密钥分发中心 (KDC) 之间存在较小时钟偏差,那么请考虑减小此字段的值。在此方案中,小时钟偏差被定义为小于20 分钟。小的时钟偏差会导致拒绝大量的 CSIv2 会话。然而,将空闲会话超时字段值设置较小的值时,应用程序服务器可以更经常地清理这些拒绝的会话,从而可能减少资源短缺情况。

在 WebSphere Application Server 的先前版本中,可能已设置此值作为 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 定制属性。在此产品版本中,建议使用此管理控制台面板来设置此值,而不是将其作为定制属性。如果先前将其设置作为定制属性,设置的值以毫秒为单位,那么在此管理控制台面板中会将其转换为秒。在此管理控制台面板上,必须指定此值(以毫秒计)。

缺省值: 缺省情况下,不设置此值。
范围: 60 到 86,400 秒
定制出站映射

启用定制远程方法调用 (RMI) 出站登录模块的使用。

定制登录模块在执行预定义的 RMI 出站调用之前将映射或完成其他功能。

要声明定制出站映射,完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“认证”下面,单击 Java 认证和授权服务 > 系统登录 > 新建
可信认证域 - 出站

如果在不同域之间进行 RMI/IIOP 通信,那么使用此链接来添加出站可信域。

仅将凭证令牌发送至可信域。此外,用于接收令牌的服务器应通过使用入站可信域配置来验证 LTPA 令牌从而信任此域。




标有(在线)的链接要求访问因特网。

相关任务


文件名: usec_outbound.html