Ustawienia komunikacji wychodzącej dla protokołu Common Secure Interoperability 2

Ta strona służy do określenia funkcji obsługiwanych przez serwer działający jako klient w stosunku do kolejnego serwera.

Aby wyświetlić tę stronę Konsoli administracyjnej, wykonaj następujące czynności:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Uwierzytelnianie kliknij opcję Zabezpieczenia RMI/IIOP > Komunikacja wychodząca protokołu CSIv2.
Opcje uwierzytelniania zawierają trzy warstwy uwierzytelniania, których można użyć równocześnie:
Propagacja atrybutów zabezpieczeń

Określa, że podczas żądań logowania ma być obsługiwana propagacja atrybutów zabezpieczeń. Jeśli wybierzesz tę opcję, serwer aplikacji zachowuje dodatkowe informacje o żądaniu logowania, w rodzaju wykorzystywanej siły uwierzytelniania, oraz zachowuje tożsamość i położenie autora żądania.

Jeśli nie zaznaczysz tej opcji, serwer aplikacji nie przyjmie żadnych dodatkowych informacji dotyczących logowania w celu ich przesłania do dalszych serwerów.

Wartość domyślna: Włączony
Ważne: W przypadku korzystania z usług replikacji należy włączyć opcję Propaguj atrybuty zabezpieczeń.
Użyj zaufanej tożsamości serwera

Określa tożsamość serwera, której używa serwer aplikacji w celu ustanowienia zaufania do serwera docelowego. Tożsamość serwera można wysyłać, używając jednej z następujących metod:

  • Identyfikator serwera i hasło, gdy hasło serwera jest podane w konfiguracji rejestru.
  • Identyfikator serwera w znaczniku LTPA (Lightweight Third Party Authentication), gdy używany jest wewnętrzny identyfikator serwera.
W celu współdziałania z serwerami aplikacji innymi niż serwer WebSphere Application Server należy użyć jednej następujących metod:
  • Skonfiguruj identyfikator serwera i hasło w rejestrze.
  • Wybierz opcję Zaufana tożsamość serwera, a następnie podaj zaufaną tożsamość i hasło, aby zamiast znacznika LTPA został wysłany współdziałający znacznik GSSUP (Generic Security Services Username Password).
Wartość domyślna: Wyłączone
Określ alternatywną zaufaną tożsamość

Określa alternatywnego użytkownika jako zaufaną tożsamość, która jest wysyłana do serwerów docelowych, zamiast wysyłania tożsamości serwera.

Ta opcja jest zalecana do asercji tożsamości. Tożsamość jest automatycznie uznawana za zaufaną, gdy jest wysyłana w ramach tej samej komórki, i nie musi znajdować się na liście zaufanych tożsamości w ramach tej samej komórki. Tożsamość ta jednak musi być umieszczona w rejestrze serwerów docelowych w zewnętrznej komórce, a identyfikator użytkownika musi znajdować się na liście zaufanych tożsamości. W przeciwnym razie tożsamość ta zostanie odrzucona podczas wartościowania zaufania.

Wartość domyślna: Wyłączone
Tożsamość zaufana

Określa zaufaną tożsamość, która jest wysyłana z serwera wysyłającego do serwera odbierającego.

Jeśli w tym polu zostanie określona tożsamość, można ją wybrać na panelu do skonfigurowanego repozytorium kont użytkowników. Jeśli tożsamość nie zostanie określona, między serwerami przesyłany jest znacznik LTPA (Lightweight Third Party Authentication).

[AIX Solaris HP-UX Linux Windows] [iSeries] Określa listę, której elementy są oddzielone znakiem potoku (|), zawierającą identyfikatory administratorów zaufanych serwerów mogących przeprowadzić asercję tożsamości względem tego serwera. Na przykład: identyfikator_serwera_1|identyfikator_serwera_2|identyfikator_serwera_3. Serwer aplikacji obsługuje przecinek (,) jako separator listy w celu zapewnienia kompatybilności wstecznej. Serwer aplikacji sprawdza obecność przecinka, gdy znak potoku (|) nie umożliwi odnalezienie poprawnego identyfikatora serwera zaufanego.

[z/OS] Określa listę, której elementy są oddzielone znakiem średnika (;) lub przecinka (,), zawierającą identyfikatory zaufanych serwerów mogących przeprowadzić asercję tożsamości względem tego serwera. Na przykład: identyfikator_serwera_1;identyfikator_serwera_2;identyfikator_serwera_3 lub identyfikator_serwera_1,identyfikator_serwera_2,identyfikator_serwera_3 .

Ta lista umożliwia rozstrzygnięcie, czy serwer jest zaufany. Nawet jeśli serwer jest obecny na liście, to serwer wysyłający musi wciąż uwierzytelniać się w stosunku do serwera odbierającego w celu przyjęcia znacznika tożsamości serwera wysyłającego.

Hasło

Hasło powiązane z tożsamością zaufaną.

Typ danych: Tekst
Potwierdzenie hasła

Potwierdzenie hasła powiązanego z tożsamością zaufaną.

Typ danych: Tekst
Uwierzytelnianie warstwy komunikatów

Dostępne są następujące opcje uwierzytelniania warstwy komunikatów:
Nigdy
Określa, że serwer nie może zaakceptować uwierzytelniania za pomocą identyfikatora użytkownika i hasła.
Obsługiwane
Określa, że klient komunikujący się z serwerem może podać identyfikator użytkownika i hasło. Można jednak wywołać metodę niemającą tego typu uwierzytelnienia. Przykładowo, można zamiast tego użyć opcji anonimowej lub certyfikatu klienta.
Wymagana
Określa, że klienty komunikujące się z danym serwerem muszą podać ID użytkownika oraz hasło dla każdego żądania metody.
Zezwalaj klientowi na uwierzytelnianie na serwerze przy użyciu

Określa uwierzytelnianie klient-serwer przez uwierzytelnianie protokołu Kerberos, LTPA lub uwierzytelnianie podstawowe.

Dostępne są następujące opcje uwierzytelniania klienta na serwerze:
Kerberos (KRB5)
Wybierz tę opcję, aby jako mechanizm uwierzytelniania określić protokół Kerberos. Mechanizm uwierzytelniania protokołu Kerberos należy najpierw skonfigurować. Więcej informacji zawiera sekcja Konfigurowanie protokołu Kerberos jako mechanizmu uwierzytelniania za pomocą Konsoli administracyjnej.
LTPA
Wybranie tej opcji umożliwia skonfigurowanie i włączenie uwierzytelniania znacznika LTPA (Lightweight Third-Party Authentication).
Podstawowe uwierzytelnianie
Podstawowym uwierzytelnianiem jest uwierzytelnianie GSSUP (Generic Security Services Username Password). Ten typ uwierzytelniania zazwyczaj wymaga wysłania identyfikatora użytkownika i hasła od klienta do serwera, w celu uwierzytelnienia.

Jeśli zostaną wybrane opcje Podstawowe uwierzytelnianie i LTPA, gdy aktywnym mechanizmem uwierzytelniania jest LTPA, serwer będzie nawiązywał połączenie z serwerem znajdującym się za nim za pomocą nazwy użytkownika, hasła lub znacznika LTPA.

Jeśli zostaną wybrane opcje Podstawowe uwierzytelnianie i KRB5, gdy aktywnym mechanizmem uwierzytelniania jest KRB5, serwer będzie nawiązywał połączenie z serwerem znajdującym się za nim za pomocą nazwy użytkownika, hasła, znacznika Kerberos lub znacznika LTPA.

Jeśli opcja Podstawowe uwierzytelnianie nie zostanie wybrana, serwer nie będzie nawiązywał połączenia z serwerem znajdującym się za nim za pomocą nazwy użytkownika i hasła.

Transport

Określa, czy procesy klienta łączą się z serwerem przy użyciu jednego z dołączonych do niego typów transportu.

Jako typ obsługiwanego przez serwer transportu przychodzących danych można wybrać protokół SSL (Secure Sockets Layer), TCP/IP lub oba. W przypadku wybrania protokołu TCP/IP serwer obsługuje tylko połączenia TCP/IP i nie jest w stanie akceptować połączeń SSL. W przypadku wybrania opcji Obsługiwany protokół SSL serwer ten może obsługiwać zarówno połączenie TCP/IP, jak i SSL. W przypadku wybrania opcji Wymagany protokół SSL protokołu tego musi używać każdy łączący się z nim serwer.

Uwaga: Opcja ta nie jest dostępna w systemie operacyjnym z/OS, chyba że w komórce istnieją zarówno węzły w wersji 6.0.x, jak i w wersjach wcześniejszych.
TCP/IP
W przypadku wyboru TCP/IP serwer otworzy wyłącznie port nasłuchiwania TCP/IP i żadne żądania przychodzące nie będą miały ochrony SSL.
Wymagany protokół SSL
W przypadku wyboru opcji Wymagany protokół SSL serwer otworzy wyłącznie port nasłuchiwania SSL i wszystkie żądania przychodzące będą odbierane z użyciem protokołu SSL.
Obsługiwany protokół SSL
W przypadku wyboru opcji Obsługiwany protokół SSLserwer otworzy zarówno port nasłuchiwania TCP/IP, jak i port nasłuchiwania SSL i większość żądań przychodzących odbieranych będzie z użyciem protokołu SSL.
Podaj numer stałego portu dla następnych portów. Numer portu równy zero oznacza, że w czasie wykonywania następuje przypisywanie dynamiczne. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Wartość domyślna: Obsługiwany protokół SSL
Zakres: TCP/IP, Wymagany protokół SSL, Obsługiwany protokół SSL
Ustawienia protokołu SSL

Wyświetla listę predefiniowanych ustawień protokołu SSL, z której można wybrać opcję dla połączenia przychodzącego.

[z/OS] Uwaga: Opcja ta nie jest dostępna w systemie operacyjnym z/OS, chyba że w komórce istnieją zarówno węzły w wersji 6.0.x, jak i w wersjach wcześniejszych.
Typ danych: String
[AIX Solaris HP-UX Linux Windows] [iSeries] Wartość domyślna: DefaultSSLSettings
[z/OS] Wartość domyślna: DefaultIIOPSSL
Zakres: Dowolne ustawienia protokołu SSL utworzone w konfiguracjach SSL
Uwierzytelnianie certyfikatów klienta

Określa, czy certyfikat klienta ze skonfigurowanego pliku kluczy jest używany do uwierzytelniania na serwerze podczas tworzenia połączenia SSL między tym serwerem a serwerem znajdującym się za nim, jeśli ten kolejny serwer obsługuje uwierzytelnianie certyfikatów klienta.

Zazwyczaj uwierzytelnianie certyfikatów klienta ma większą wydajność niż uwierzytelnianie warstwy komunikatów, wymaga jednak dodatkowych czynności konfiguracyjnych. Te dodatkowe czynności obejmują sprawdzenie, czy ten serwer ma certyfikat osobisty i czy serwer znajdujący się za tym serwerem ma certyfikat osoby podpisującej tego serwera.

Po wybraniu uwierzytelniania certyfikatów klienta dostępne są następujące opcje:
Nigdy
Określa, że serwer ten nie podejmuje próby użycia uwierzytelniania certyfikatów klienta SSL (Secure Sockets Layer) na serwerach znajdujących się za tym serwerem.
Obsługiwane
Określa, że serwer ten może użyć certyfikatów klienta SSL w celu przeprowadzenia uwierzytelniania na serwerach znajdujących się za tym serwerem. Można jednak wywołać metodę niemającą tego typu uwierzytelnienia. Zamiast tego serwer może użyć na przykład uwierzytelniania anonimowego lub podstawowego.
Wymagana
Określa, że serwer ten musi użyć certyfikatów klienta SSL w celu przeprowadzenia uwierzytelniania na serwerach znajdujących się za tym serwerem.
Wartość domyślna: Włączony
Konfiguracja logowania

Określa typ konfiguracji logowania do systemu wykorzystywaną w przypadku uwierzytelniania przychodzącego.

Niestandardowe moduły logowania można dodać, klikając opcję Zabezpieczenia > Zabezpieczenia globalne. W obszarze Uwierzytelnianie należy kliknąć opcję Usługa uwierzytelniania i autoryzacji Java (JAAS) > Logowanie do systemu.

Sesje stanowe

Ta opcja umożliwia włączenie sesji stanowych, które są wykorzystywane głównie do zwiększenia wydajności.

Pierwszy kontakt między serwerem a klientem musi być w pełni uwierzytelniony. Jednak wszystkie późniejsze kontakty z poprawnymi sesjami ponownie wykorzystują informację o bezpieczeństwie. Klient przesyła do serwera identyfikator kontekstu, a identyfikator ten jest wykorzystywany do odnalezienia sesji. Identyfikator kontekstowy jest używany w zasięgu połączenia, co gwarantuje jego unikalność. Za każdym razem, gdy sesja zabezpieczeń nie jest poprawna, a ponawianie uwierzytelniania jest włączone, co stanowi opcję domyślną, przechwytywacz zabezpieczeń po stronie klienta unieważnia sesję po stronie klienta i ponownie wysyła żądanie bez wiedzy użytkownika. Sytuacja taka może mieć miejsce, gdy sesja nie istnieje na serwerze (serwer uległ awarii i wznowił działanie). Po wyłączeniu tej wartości musi zostać uwierzytelnione każde wywołanie metody.

Włącz limit pamięci podręcznej sesji CSIv2

Określa, czy wielkość pamięci podręcznej sesji CSIv2 ma być ograniczana.

Po włączeniu tej opcji należy ustawić wartości dla opcji Maksymalna wielkość pamięci podręcznej i Limit czasu bezczynności sesji. Jeśli ta opcja nie zostanie aktywowana, pamięć podręczna sesji CSIv2 nie będzie ograniczona.

W poprzednich wersjach serwera aplikacji wartość tę można było ustawić jako właściwość niestandardową com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. W tej wersji produktu zaleca się ustawianie wartości przy użyciu tego panelu Konsoli administracyjnej, a nie jako właściwość niestandardową.

Wartość domyślna: false
Maksymalna wielkość pamięci podręcznej

Określa maksymalną wielkość pamięci podręcznej sesji, po przekroczeniu której wygasłe sesje są usuwane z pamięci podręcznej.

Wygasłe sesje to sesje bezczynne przez okres dłuższy, niż czas określony w polu Limit czasu bezczynności sesji. Określając wartość w polu Maksymalna wielkość pamięci podręcznej najlepiej wybrać ją z przedziału od 100 do 1000 pozycji.

Należy rozważyć określenie wartości tego pola, jeśli w środowisku używane jest uwierzytelnianie Kerberos i istnieje małe przesunięcie zegara dla skonfigurowanego centrum dystrybucji kluczy. W tym scenariuszu małe przesunięcie zegara zdefiniowano jako niższe niż 20 minut. Należy rozważyć zwiększenie wartości tego pola, jeśli mała wielkość pamięci podręcznej powoduje tak częste czyszczenie pamięci, że wpływa ono na wydajność serwera aplikacji.

W poprzednich wersjach serwera aplikacji wartość tę można było ustawić jako właściwość niestandardową com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. W tej wersji produktu zaleca się ustawianie wartości przy użyciu tego panelu Konsoli administracyjnej, a nie jako właściwość niestandardową.

To pole ma zastosowanie jedynie wtedy, gdy włączono zarówno opcję Sesje stanowe, jak i Włącz limit pamięci podręcznej sesji CSIv2.

Wartość domyślna: Domyślnie wartość nie jest ustawiona.
Zakres: Od 100 do 1000 pozycji
Limit czasu sesji bezczynnej

Właściwość ta określa czas (w milisekundach), przez który sesja CSIv2 może pozostawać bezczynna, zanim zostanie usunięta. Sesja jest usuwana, jeśli wybrano opcję Włącz limit pamięci podręcznej sesji CSIv2, a wartość wskazana w polu Maksymalna wielkość pamięci podręcznej zostanie przekroczona.

Ta wartość limitu czasu ma zastosowanie jedynie wtedy, gdy włączono zarówno opcję Sesje stanowe, jak i Włącz limit pamięci podręcznej sesji CSIv2. Należy rozważyć zmniejszenie wartości tego pola, jeśli w środowisku używane jest uwierzytelnianie Kerberos i istnieje małe przesunięcie zegara dla skonfigurowanego centrum dystrybucji kluczy. W tym scenariuszu małe przesunięcie zegara zdefiniowano jako niższe niż 20 minut. Małe przesunięcie zegara może powodować dużą liczbę odrzuconych sesji protokołu CSIv2. Jednak niższa wartość w polu Limit czasu bezczynności sesji powoduje, że serwer aplikacji może częściej usuwać odrzucone sesje i potencjalnie ograniczyć niedobory zasobów.

W poprzednich wersjach produktu WebSphere Application Server wartość tę można było ustawić jako właściwość niestandardową com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. W tej wersji produktu zaleca się ustawianie wartości przy użyciu tego panelu Konsoli administracyjnej, a nie jako właściwość niestandardową. Jeśli wcześniej ustawiono ją jako właściwość niestandardową, wartość ta została ustawiona w milisekundach, a na panelu Konsoli administracyjnej wykonano zmianę jednostki na sekundy. Na tym panelu Konsoli administracyjnej należy określić tę wartość w sekundach.

Wartość domyślna: Domyślnie wartość nie jest ustawiona.
Zakres: Od 60 do 86 400 sekund
Niestandardowe odwzorowanie danych wychodzących

Włącza używanie niestandardowych modułów logowania danych wychodzących w dzienniku RMI (Remote Method Invocation).

Niestandardowy moduł logowania dokonuje odwzorowania lub wykonuje inne funkcje przed wywołaniem wychodzącym RMI.

Aby zadeklarować niestandardowe odwzorowanie danych wychodzących, wykonaj następujące czynności:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Uwierzytelnianie kliknij opcję Usługa uwierzytelniania i autoryzacji Java (JAAS) > Logowanie do systemu > Nowy.
Zaufane dziedziny uwierzytelniania - dane wychodzące

Jeśli różne dziedziny komunikują się ze sobą przy użyciu zabezpieczeń RMI/IIOP, należy użyć tego łącza w celu dodania zaufanych dziedzin danych wychodzących.

Znaczniki referencji są wysyłane tylko do zaufanych dziedzin. Ponadto serwer odbierający dane powinien zaufać tej dziedzinie, korzystając z konfiguracji zaufanych dziedzin danych wychodzących w celu sprawdzenia poprawności znacznika LTPA.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne


Nazwa pliku: usec_outbound.html