Параметры исходящих соединений Common Secure Interoperability Version 2

Эта страница предназначена для задания возможностей, поддерживаемых сервером при работе в качестве клиента другого подчиненного сервера.

Для просмотра этой страницы административной консоли выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Идентификация выберите Защита RMI/IIOP > Исходящие соединения CSIv2.
Возможно одновременное использование трех уровней идентификации:
Распространение атрибутов защиты

Поддерживать распространение атрибутов защиты при запросах на вход в систему, таких как стойкость метода идентификации. Также сохраняется субъект и расположение источника запроса.

Если параметр выключен, сервер приложений не будет принимать дополнительную идентификационную информацию для передачи подчиненным серверам.

По умолчанию: Включен
Важное замечание: При использовании служб репликации убедитесь, что опция Распространить атрибуты защиты включена.
Использовать доверенный субъект сервера

Указывает субъект, используемый сервером приложений для уведомления целевого сервера о том, что данный является доверенным. Субъект сервера можно передавать одним из следующих способов:

  • Посредством ИД сервера и пароля, если он указан в конфигурации реестра.
  • Посредством ИД сервера в ключе LTPA, если используется внутренний ИД сервера.
Для взаимодействия с серверами приложений, отличными от WebSphere Application Server, доступны следующие варианты:
  • Настроить ИД сервера и пароль в реестре.
  • Выбрать переключатель Субъект, доверенный для сервера и указать доверенный субъект и пароль для отправки ключа GSSUP вместо LTPA.
По умолчанию: Выключено
Указать альтернативный доверенный субъект сервера

Альтернативный доверенный субъект сервера, который следует передавать целевым серверам вместо субъекта сервера.

Рекомендуется для подтверждения идентификации. Субъект всегда является доверенным если он передается в рамках одной ячейки, независимо от того, входят они в список доверенных субъектов или нет. Однако, они должны присутствовать в реестре целевых серверов, находящихся в других ячейках, и ИД пользователя должен входить в список доверенных субъектов.

По умолчанию: Выключено
Доверенный субъект

Доверенный субъект, передаваемый подчиненному серверу.

Указанный здесь субъект можно будет выбрать на панели реестра настроенной учетной записи. Если субъект не указан, между серверами будут передаваться ключи LTPA.

[AIX Solaris HP-UX Linux Windows] [iSeries] Список ИД администраторов доверенных серверов через символ "|", используемых для подтверждения идентификации. Например, ид-сервера-1|ид-сервера-2|ид-сервера-3. Сервер приложений допускает использования в качестве разделителя также запятую (,). Если при интерпретации списка как разделенного символами конвейера (|) ИД доверенного сервера не находится, в качестве разделителя принимается запятая и интерпретация повторяется.

[z/OS] Список ИД администраторов доверенных серверов через символ ";" или ",", используемых для подтверждения идентификации. Например, ид-сервера-1;ид-сервера-2;ид-сервера-3 или ид-сервера-1,ид-сервера-2,ид-сервера-3.

Этот список определяет, является ли сервер доверенным. Но даже если передающий сервер входит в список, он все равно должен идентифицировать себя для принятия принимающим сервером его ключа идентификации.

Пароль

Задает пароль для доверенного субъекта.

Тип данных: Текст
Подтверждение пароля

Повторение пароля для доверенного субъекта.

Тип данных: Текст
Идентификация уровня сообщений

Для идентификации уровня сообщений доступны следующие значения:
Никогда
Запрещает идентификацию на основе ИД пользователя и пароля.
Поддерживается
Разрешает идентификацию на основе ИД пользователя и пароля. При этом использование этого метода идентификации не обязательно. Например, возможен анонимный доступ или на идентификация основе сертификата клиента.
Обязательный
Делает идентификацию на основе ИД пользователя и пароля обязательной.
Разрешить клиенту идентифицироваться на сервере с помощью:

Разрешает клиенту идентифицироваться на сервере с помощью Kerberos, LTPA или простой идентификации.

Для идентификации клиента на сервере доступны следующие опции:
Kerberos (KRB5)
Выбирает в качестве механизма идентификации Kerberos. Механизм вначале необходимо настроить. Дополнительная информация приведена в разделе Настройка простой идентификации Kerberos с помощью административной консоли.
LTPA
Разрешает настройку и включение Простой внешней идентификации (LTPA).
Простая идентификация
Простая идентификация строится на основе имени и пароля пользователя для базовых служб защиты (GSSUP). Этот тип идентификации состоит в отправке клиентом ИД пользователя и пароля.

Если для идентификации используется LTPA, то при выборе Простая идентификация и LTPA принимаются имя пользователя, пароль или ключ LTPA.

Если для идентификации используется KRB5, то при выборе Простая идентификация и KRB5 принимаются имя пользователя, пароль, ключ Kerberos или ключ LTPA.

Если Простая идентификация не выбрана, сервер не принимает имя пользователя и пароль.

Транспортный протокол

Транспортные протоколы, используемые процессами клиента для подключения к серверу.

Доступны варианты SSL, TCP/IP и оба. При указании TCP/IP сервер будет поддерживать только TCP/IP и не сможет устанавливать SSL-соединения. При указании SSL - поддерживается серверу будет принимать как соединения TCP/IP, так и SSL. При указании SSL - обязательно серверы смогут подключаться к данному только с помощью SSL.

Прим.: Эта опция доступна на платформе z/OS, только если в ячейке присутствуют версии 6.0.x и более ранние.
TCP/IP
Использовать для входящих соединений только протокол TCP/IP.
SSL - обязательно
Использовать для входящих соединений только протокол SSL.
SSL - поддерживается
Разрешить использовать для входящих соединений как протокол SSL, так и TCP/IP, однако предпочитать SSL.
Введите номера для следующих портов. Значение 0 означает генерацию номера динамически. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

По умолчанию: SSL - поддерживается
Диапазон значений: TCP/IP, SSL - обязательно, SSL - поддерживается
Параметры SSL

Список предопределенных параметров SSL, доступных для входящего соединения.

[z/OS] Прим.: Эта опция доступна на платформе z/OS, только если в ячейке присутствуют версии 6.0.x и более ранние.
Тип данных: Строка
[AIX Solaris HP-UX Linux Windows] [iSeries] По умолчанию: DefaultSSLSettings
[z/OS] По умолчанию: DefaultIIOPSSL
Диапазон значений: Параметры SSL настраиваются на панели Система команд SSL
Идентификация на основе сертификата клиента

Использовать сертификат клиента из настроенного хранилища ключей для идентификации на подчиненном сервере по протоколу SSL, при условии, что он поддерживает такой вид идентификации.

Обычно идентификация на основе сертификата клиента работает быстрее, но требует дополнительную настройку, в т.ч. проверка наличия собственного личного сертификата и наличия сертификата подписанта у подчиненного сервера.

Доступны следующие опции:
Никогда
Запретить идентификацию в подчиненных серверах на основе сертификата клиента SSL.
Поддерживается
Разрешить идентификацию на основе сертификата клиента SSL. При этом использование этого метода идентификации не обязательно. Например, сервер может использовать анонимный вход или простую идентификацию.
Обязательный
Сделать идентификацию на основе сертификата клиента SSL обязательной.
По умолчанию: Включен
Конфигурация сеанса

Тип конфигурации сеанса системы, используемый при входящей идентификации.

Пользовательские модули сеанса можно добавить в Защита > Глобальная защита. В разделе Идентификация нажмите Служба идентификации Java > Сеансы системы.

Сеансы с сохранением состояния

Включить сохранение состояния. Оно используется в основном для улучшения производительности.

При первом контакте клиента с сервером необходимо выполнение полной идентификации. Однако при последующих контактах, если сеанс остается в силе, используются уже полученные данные идентификации. Клиент передает серверу ИД контекста, на основе которого находится нужный сеанс. Область видимости ИД контекста - соединение, что гарантирует его уникальность. Если сеанс недействителен и повтор идентификации включен (по умолчанию), последняя выполняется полностью заново и создается новый сеанс. Это происходит незаметно для пользователя. Эта ситуация может возникнуть при отсутствии сеанса на сервере, например, произошел сбой сервера и его работа была восстановлена. Если этот параметр выключен, идентификация должна выполняться каждый раз заново.

Включить ограничение кэша сеансов CSIv2

Позволяет ограничить размер кэша сеансов CSIv2.

При выборе этого параметра необходимо указать значения параметров Максимальный размер кэша и Тайм-аут неработающего сеанса. Если это свойство выключено, то кэш сеансов CSIv2 не ограничен.

В предыдущих версиях сервера приложений для этой цели применялось свойство com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. В этой версии продукта рекомендуется использовать административную консоль, а не пользовательское свойство.

По умолчанию: false
Максимальный размер кэша

Укажите максимальный размер кэша сеансов, при достижении которого просроченные сеансы удаляются из кэша.

Просроченные сеансы - это сеансы, время простоя которых превышает значение, указанное в поле Тайм-аут простоя сеансов. В поле Максимальный размер кэша рекомендуется указать значение в диапазоне от 100 до 1000 записей.

Значение в этом поле можно указать, если выполнены следующие условия: в среде применяется идентификация Kerberos, небольшой разброс часов для настроенного ключа центра выдачи ключей (KDC). В этом сценарии предполагается, что разброс часов не превышает 20 минут. Увеличьте значение этого поля, если недостаточный размер кэша приводит к частому запуску операций сбора мусора и снижению производительности сервера приложений.

В предыдущих версиях сервера приложений для этой цели применялось свойство com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. В этой версии продукта рекомендуется использовать административную консоль, а не пользовательское свойство.

Это поле применимо только в том случае, если выбраны параметры Сеансы с сохранением состояния и Включить ограничение кэша сеансов CSIv2.

По умолчанию: По умолчанию значение не указано.
Диапазон значений: 100 - 1000 записей
Тайм-аут сеансов с простоем

Задает тайм-аут простоя сеанса CSIv2, по истечении которого сеанс удаляется. Сеанс удаляется, если выбран параметр Включить ограничение сеанса кэша CSIv2 и превышено значение поля Максимальный размер кэша.

Это значение тайм-аута применяется только в том случае, если выбраны параметры Сеансы с сохранением состояния и Включить ограничение кэша сеансов CSIv2. Значение этого поля рекомендуется уменьшить, если выполнены следующие условия: в среде применяется идентификация Kerberos, небольшой разброс часов для настроенного ключа центра выдачи ключей (KDC). В этом сценарии предполагается, что разброс часов не превышает 20 минут. Малое смещение часов может вызвать увеличение числа отклоненных сеансов CSIv2. Однако если в поле Тайм-аут сеансов с простоем указано небольшое значение, то сервер приложений может с большей частотой удалять отклоненные сеансы, снизив тем самым нехватку ресурсов.

В предыдущих версиях WebSphere Application Server для этой цели применялось свойство com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. В этой версии продукта рекомендуется использовать административную консоль, а не пользовательское свойство. Значение в миллисекундах, указанное ранее, на этой панели административной консоли преобразуется в секунды. На этой панели административной консоли значение указывается в секундах.

По умолчанию: По умолчанию значение не указано.
Диапазон значений: 60 - 86400 секунд
Пользовательское сопоставление для исходящих соединений

Использовать пользовательские модули сеанса для исходящих удаленных вызовов методов (RMI).

Пользовательский модуль сеанса выполняет сопоставление или другие действия до предопределенного исходящего вызова RMI.

Для указания пользовательского сопоставления для исходящих соединений выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Идентификация выберите Служба идентификации Java > Сеансы системы > Создать.
Доверенные области идентификации - исходящие

Если соединение If the RMI/IIOP устанавливается с разными областями, добавьте исходящие доверенные области по этой ссылке.

Ключи разрешений пересылаются только в доверенные области. Кроме того, для проверки ключа LTPA сервер-получатель должен доверять этой области, пользуясь конфигурацией входящих доверенных областей.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной


Имя файла: usec_outbound.html