Utilize essa página para especificar os recursos que um servidor suporta ao atuar como um cliente para outro servidor de recebimento de dados.
Especifica para suportar a propagação do atributo de segurança durante os pedidos de login. Ao selecionar essa opção, o servidor de aplicativos mantém informações adicionais sobre o pedido de login, como a força de autenticação utilizada, e mantém a identidade e o local do originador do pedido.
Se essa opção não for selecionada, o servidor de aplicativos não aceitará informações de login adicionais para propagação para servidores de recebimento de dados.
Padrão: | Ativado |
Especifica a identidade do servidor que o servidor de aplicativos utiliza para estabelecer confiança com o servidor de destino. A identidade do servidor pode ser enviada utilizando um dos seguintes métodos:
Padrão: | Desativado |
Especifica um usuário alternativo como a identidade confiável que é enviada aos servidores de destino em vez de enviar a identidade do servidor.
Essa opção é recomendada para asserção de identidade. A identidade é automaticamente confiável quando é enviada na mesma célula e não precisa estar na lista de identidades confiáveis na mesma célula. Entretanto, essa identidade deve estar no registro dos servidores de destino em uma célula externa e o ID do usuário deve estar na lista de identidades confiáveis ou a identidade será rejeitada durante a avaliação de confiança.
Padrão: | Desativado |
Especifica a identidade confiável que é enviada do servidor de envio para o servidor receptor.
Se você especificar uma identidade nesse campo, ela pode ser selecionada no painel para seu repositório de conta de usuário configurado. Se você não especificar uma identidade, um token LTPA (Lightweight Third Party Authentication) é enviado entre os servidores.
Especifica uma lista separada por barras verticais (|) de IDs de usuários administradores de servidores confiáveis, que são confiáveis para executar asserção de identidade para o servidor. Por exemplo, serverid1|serverid2|serverid3.
O servidor de aplicativos suporta o caractere de vírgula (,) como o delimitador de lista
para retrocompatibilidade. O servidor de aplicativos verifica o caractere de vírgula quando o caractere de barra vertical (|) não localiza um ID de servidor confiável válido.
Especifica uma lista de IDs de servidores confiáveis
separada por pontos e vírgulas (;) ou separada por vírgulas (,) que são confiáveis para
executar a asserção de identidade neste servidor. Por exemplo, serverid1;serverid2;serverid3 ou serverid1,serverid2,serverid3.
Utilize esta lista para decidir se um servidor é confiável. Mesmo se o servidor estiver na lista, o servidor de envio ainda precisa ser autenticado com o servidor de recepção para aceitar o token de identidade do servidor de envio.
Especifica a senha associada à identidade confiável.
Tipo de dados: | Texto |
Confirma a senha associada à identidade confiável.
Tipo de dados: | Texto |
Especifica a autenticação entre cliente e servidor utilizando a autenticação Kerberos, LTPA ou Básica.
Se você selecionar Autenticação Básica e LTPA, e o mecanismo de autenticação ativo for LTPA, o servidor combinará um servidor de recebimento de dados com um nome de usuário, senha ou token LTPA.
Se você selecionar Autenticação Básica e KRB5, e o mecanismo de autenticação ativo for KRB5, o servidor combinará um servidor de recebimento de dados com um nome de usuário, senha, token Kerberos ou token LTPA.
Se você não selecionar Autenticação Básica, o servidor não combinará um servidor de recebimento de dados com um nome de usuário e senha.
Especifica se os processos do cliente conectam-se ao servidor utilizando um de seus transportes conectados.
Você pode optar por utilizar SSL (Secure Sockets Layer), TCP/IP ou ambos como o transporte de entrada que um servidor suporta. Se você especificar TCP/IP, o servidor suportará somente TCP/IP e não poderá aceitar conexões SSL. Se você especificar Suportado pelo SSL, o servidor poderá suportar conexões TCP/IP ou SSL. Se você especificar Requerido pelo SSL, todos os servidores que se comunicam com este deverão utilizar SSL.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
Padrão: | SSL-Suportado |
Variação: | TCP/IP, SSL-Requerido, SSL-Suportado |
Especifica uma lista de configurações SSL predefinidas dentre as quais escolher para conexão de entrada.
Tipo de dados: | Cadeia |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Variação: | Quaisquer definições SSL configuradas no Repertório de Configuração SSL |
Especifica se um certificado cliente do armazenamento de chaves configurado é utilizado para autenticar o servidor quando a conexão SSL é feita entre esse servidor e um servidor de recebimento de dados, desde que o servidor de recebimento de dados suporte autenticação de certificado cliente.
Geralmente, a autenticação do certificado cliente possui um desempenho mais alto do que a autenticação da camada de mensagem, mas requer alguma configuração adicional. Essas etapas adicionais incluem verificar se esse servidor possui um certificado pessoal e se o servidor de recebimento de dados possui o certificado de assinante desse servidor.
Padrão: | Ativado |
Especifica o tipo de configuração de login do sistema a ser utilizado para a autenticação de entrada.
É possível incluir módulos de login customizado, clicando em Segurança > Segurança Global. Em Autenticação, clique em Java Authentication and Authorization Service > Logins do Sistema.
Selecione essa opção para ativar sessões com preservação de estado, que são utilizadas principalmente para aprimoramentos de desempenho.
O primeiro contato entre um cliente e um servidor deve fazer a autenticação completa. No entanto, todos os contatos subseqüentes com sessões válidas reutilizam as informações sobre segurança. O cliente transmite um ID de contexto para o servidor e o ID é utilizado para consultar a sessão. É feito o escopo do ID de contexto para a conexão, o que garante exclusividade. Sempre que a sessão de segurança não for válida e a nova tentativa de autenticação estiver ativada, que é o padrão, o interceptador de segurança do lado cliente invalida a sessão do lado cliente e envia o pedido novamente, sem que o usuário saiba. Essa situação poderá ocorrer se a sessão não existir no servidor, por exemplo, o servidor falhou e retomou a operação. Quando esse valor for desativado, cada chamada de método precisará ser autenticada novamente.
Especifica se o tamanho do cache de sessão CSIv2 deve ser limitado.
Quando você ativa essa opção, você deve configurar valores para as opções Tamanho Máximo de Cache e Tempo Limite de Sessão Inativa. Quando você não ativa essa opção, o cache de sessão CSIv2 não é limitado.
Em versões anteriores do servidor de aplicativos, você pode ter configurado esse valor como a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. Nessa versão do produto, é aconselhável configurar esse valor usando o painel do console administrativo e não como uma propriedade customizada.
Padrão: | falso |
Especifique o tamanho máximo do cache de sessão após o qual as sessões expiradas são excluídas do cache.
As sessões expiradas são definidas como sessões que ficam inativas por mais tempo que o especificado no campo Tempo Limite de Sessão Inativa. Quando você especifica um valor para o campo Tamanho Máximo de Cache, considere configurar esse valor entre 100 e 1000 entradas.
Considere especificar um valor para esse campo se seu ambiente usar a autenticação do Kerberos e possuir um clock skew pequeno para o key distribution center (KDC) configurado. Neste cenário, um clock skew pequeno é definido como menos de 20 minutos. Considere aumentar o valor desse campo se o tamanho de cache pequeno fizer com que a coleta de lixo seja executada com muita frequência, a ponto de impactar o desempenho do servidor de aplicativos.
Em versões anteriores do servidor de aplicativos, você pode ter configurado esse valor como a propriedade customizada om.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Nessa versão do produto, é aconselhável configurar esse valor usando o painel do console administrativo e não como uma propriedade customizada.
Esse campo aplica-se apenas se você ativar ambas as opções Sessões Stateful e Ativar Limite do Cache de Sessão CSIv2.
Padrão: | Por padrão, um valor não é configurado. |
Variação: | 100 a 1000 entradas |
Essa propriedade especifica o tempo em milissegundos que uma sessão CSIv2 pode permanecer inativa antes de ser excluída. A sessão será excluída se você selecionar a opção Ativar Limite de Cache de Sessão CSIv2 e o valor do campo Tamanho Máximo de Cache for excedido.
Esse valor de tempo limite aplica-se apenas se você ativar ambas as opções Sessões Stateful e Ativar Limite do Cache de Sessão CSIv2.Considere diminuir o valor desse campo se seu ambiente usar a autenticação do Kerberos e possuir um clock skew pequeno para o key distribution center (KDC) configurado. Neste cenário, um clock skew pequeno é definido como menos de 20 minutos. Uma distorção de clock pequena pode resultar em um número maior de sessões CSIv2 rejeitadas. Porém, com um valor menor para o campo Tempo Limite de Sessão Inativo, o servidor de aplicativos pode limpar essas sessões rejeitadas com mais frequência e potencialmente reduzir as faltas de recursos.
Em versões anteriores do WebSphere Application Server, você pode ter configurado esse valor como a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. Nessa versão do produto, é aconselhável configurar esse valor usando o painel do console administrativo e não como uma propriedade customizada. Se você configurou anteriormente como uma propriedade customizada, o valor foi configurado em milissegundos e convertido nesse painel do console administrativo em segundos. Nesse painel do console administrativo, você deve especificar o valor em segundos.
Padrão: | Por padrão, um valor não é configurado. |
Variação: | 60 a 86.400 segundos |
Ativa a utilização de módulos de login de saída customizados RMI (Remote Method Invocation).
O módulo de login customizado mapeia ou conclui outras funções antes da chamada de saída RMI predefinida.
Se a comunicação RMI/IIOP ocorrer em regiões diferentes, utilize esse link para incluir regiões confiáveis de saída.
Os tokens de credencial são enviados apenas para as regiões que são confiáveis. Além disso, o servidor de recebimento deve confiar nessa região utilizando a configuração das regiões confiáveis de entrada para validar o token LTPA.
Links marcados (on-line) requerem acesso à Internet.