請利用這個頁面來指定在伺服器是另一個下游伺服器的用戶端時,它應該支援的特性。
指定以支援在登入要求期間傳送安全屬性。 當您選取這個選項時,應用程式伺服器會保留登入要求的其他相關資訊(如使用的鑑別強度),且會保留要求發送端的身分和位置。
如果您並未選取這個選項,應用程式伺服器不會接受要傳送至下游伺服器的任何其他登入資訊。
預設值: | 已啟用 |
指定應用程式伺服器在和目標伺服器間建立信任時,所用的伺服器身分。伺服器身分可使用下列一種方法來傳送:
預設值: | 停用 |
指定替代的使用者作為授信身分來傳給目標伺服器,而不傳送伺服器身分。
如果要進行身分主張,建議使用這個選項。如果是在相同 Cell 中傳送,則身分會自動變成授信的,且不需要位於相同 Cell 中的授信身分清單內。不過,這個身分必須在位於外部 Cell 之目標伺服器的登錄中,且使用者 ID 必須在授信身分清單中,否則,在信任評估期間,將會拒絕這個身分。
預設值: | 停用 |
指定從傳送端伺服器傳給接收端伺服器的授信身分。
如果您在這個欄位中指定了某個身分,則可在您配置的使用者帳戶儲存庫的畫面上選取它。如果您並未指定身分,就會在伺服器之間傳送「小型認證機構 (LTPA)」記號。
指定以垂直線 (|) 區隔的授信伺服器管理者使用者 ID 清單,這些 ID 已獲授信,可以進行這部伺服器的身分主張。例如,serverid1|serverid2|serverid3。應用程式伺服器支援逗點 (,) 字元作為清單定界字元,以便相容於舊版。當垂直線 (|) 找不到有效的授信伺服器 ID 時,應用程式伺服器會檢查逗點字元。
指定以分號 (;) 或逗點 (,) 區隔的授信伺服器 ID 清單,這些伺服器已獲授信可執行這部伺服器的身分主張。
例如,serverid1;serverid2;serverid3 或 serverid1,serverid2,serverid3。
請利用這份清單來判斷伺服器是否授信。即使伺服器在清單中,傳送端伺服器仍必須接受接收端伺服器的鑑別,傳送端伺服器的身分記號才會被接受。
指定授信身分的相關密碼。
資料類型: | 文字 |
確認授信身分的相關密碼。
資料類型: | 文字 |
指定利用 Kerberos、LTPA 或基本鑑別 (BA) 進行用戶端至伺服器鑑別。
如果您選取基本鑑別 (BA) 和 LTPA,且作用中的鑑別機制是 LTPA,伺服器便會以使用者名稱、密碼和 LTPA 記號與下游伺服器合作。
如果您選取基本鑑別 (BA) 和 KRB5,且作用中的鑑別機制是 KRB5,伺服器便會以使用者名稱、密碼、Kerberos 記號或 LTPA 記號與下游伺服器合作。
如果您沒有選取基本鑑別 (BA),伺服器便不會以使用者名稱和密碼與下游伺服器合作。
指定用戶端程序是否要利用伺服器所連接的傳輸來連接至伺服器。
您可以選擇利用 Secure Socket Layer (SSL)、TCP/IP 或這兩者來作為伺服器支援的入埠傳輸。 如果您指定 TCP/IP,伺服器只會支援 TCP/IP,無法接受 SSL 連線。 如果您指定支援 SSL,這部伺服器可以支援 TCP/IP 或 SSL 連線。 如果您指定需要 SSL,與這部伺服器通訊的任何伺服器都必須使用 SSL。
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
預設值: | 支援 SSL |
範圍: | TCP/IP、需要 SSL、支援 SSL |
指定要從中選取的入埠連線預定 SSL 設定清單。
資料類型: | 字串 |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
範圍: | SSL 配置儲存庫中所配置的 SSL 設定 |
指定在建立伺服器和下游伺服器之間的 SSL 連線時,如果下游伺服器支援用戶端憑證鑑別,是否要利用配置的金鑰儲存庫其中的用戶端憑證,來接受伺服器的鑑別。
用戶端憑證鑑別的效能通常比訊息層鑑別好,但需要其他設定。 這些其他步驟包括確認這部伺服器有個人憑證,以及下游伺服器有這部伺服器的簽章者憑證。
預設值: | 已啟用 |
指定入埠鑑別所用的系統登入配置類型。
您可以按一下安全 > 廣域安全來新增自訂登入模組。從「鑑別」中,按一下 Java™ 鑑別和授權服務 > 系統登入。
請選取這個選項來啟用 Stateful 階段作業,通常是為了提升效能而使用這類階段作業。
用戶端與伺服器之間的第一次聯絡必須進行完整鑑別。 不過,具備有效階段作業的所有後續聯絡都會重複使用這項安全資訊。用戶端會傳遞環境定義 ID 給伺服器,來查閱階段作業。環境定義 ID 以連線為範圍,可以保證唯一性。 每當安全階段作業無效時,如果啟用鑑別重試(這是預設值),用戶端安全攔截程式就會驗證用戶端階段作業,且會在使用者不知不覺的情況下重新提出要求。如果階段作業不在伺服器中,就可能發生這種狀況,例如,伺服器失敗且回復作業。 當停用這個值時,每個方法呼叫都必須重新鑑別。
指定是否要限制 CSIv2 階段作業快取記憶體大小。
啟用這個選項時,您必須設定快取記憶體大小上限與階段作業閒置逾時選項。如果沒有啟用這個選項,CSIv2 階段作業快取即不受限。
在舊版應用程式伺服器中,您可能是以 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 自訂內容形式來設定此值。在這個產品版本中,建議您使用這個管理主控台畫面而不要當成自訂內容來設定此值。
預設值: | false |
指定階段作業快取記憶體大小上限,一旦超過,即將過期的階段作業從快取刪除。
過期階段作業的定義是,閒置時間超過 階段作業閒置逾時欄位中之指定時間的階段作業。指定快取記憶體大小上限欄位的值時,請考量將其值設定在 100 與 1000 筆項目之間。
如果您的環境使用 Kerberos 鑑別,並且配置的金鑰配送中心 (KDC) 有短暫的時間偏差,請考量指定這個欄位的值。在本實務中,短暫時間偏差的定義是少於 20 分鐘。如果因快取記憶體大小較小,而需經常執行記憶體回收,導致影響應用程式伺服器效能,請考量增加這個欄位的值。
在舊版應用程式伺服器中,您可能是以 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 自訂內容形式來設定此值。在這個產品版本中,建議您使用這個管理主控台畫面而不要當成自訂內容來設定此值。
只有在您同時啟用有狀態階段作業與啟用 CSIv2 階段作業快取限制選項時,才會套用這個欄位。
預設值: | 依預設,不設定一值。 |
範圍: | 100 到 1000 筆項目 |
這個內容指定 CSIv2 階段作業在刪除之前,可以維持的閒置時間數(毫秒)。如果您選取啟用 CSIv2 階段作業快取限制選項,一旦超過快取記憶體大小上限欄位的值,就會刪除階段作業。
只有在您同時啟用有狀態階段作業與啟用 CSIv2 階段作業快取限制選項時,才會套用這個逾時值。如果您的環境使用 Kerberos 鑑別,並且配置的金鑰配送中心 (KDC) 有短暫的時間偏差,請考量降低這個欄位的值。在本實務中,短暫時間偏差的定義是少於 20 分鐘。時間偏差較小可能會導致遭拒絕的 CSIv2 階段作業數目較多。但是,如果階段作業閒置逾時欄位的值較低,應用程式伺服器可能會更頻繁地清除這些被拒絕的階段作業,無形中減少了資源短缺的情況。
在舊版 WebSphere Application Server 中,您可能是以 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 自訂內容形式來設定此值。在這個產品版本中,建議您使用這個管理主控台畫面而不要當成自訂內容來設定此值。如果您先前是以自訂內容形式來設定它,所設定的值是以毫秒為單位,而會在這個管理主控台畫面中轉換成秒。在這個管理主控台畫面中,您必須以秒為單位來指定值。
預設值: | 依預設,不設定一值。 |
範圍: | 60 到 86,400 秒 |
讓您能使用自訂遠端方法呼叫 (RMI) 出埠登入模組。
自訂登入模組會在預定的 RMI 出埠呼叫之前,對映或完成其他功能。
如果 RMI/IIOP 通訊跨越不同的網域範圍,請利用這個鏈結來新增出埠授信網域範圍。
認證記號只會傳給授信網域範圍。 另外,接收端伺服器應該利用入埠授信網域範圍配置來驗證 LTPA 記號,以信任這個網域範圍。
標示(線上)的鏈結表示需要存取網際網路。