Setările comunicaţiilor de intrare CSIv2 (Common Secure Interoperability Version 2)

Utilizaţi această pagină pentru a specifica ce caracteristici suportă un server pentru un client care-i accesează resursele.

Pentru a vizualiza această pagină de consolă administrativă, finalizaţi următorii paşi:
  1. Apăsaţi pe Securitate > Securitate globală.
  2. Din Autentificare, apăsaţi pe Securitate RMI/IIOP > Comunicaţii de intrare CSIv2.

Utilizaţi setări de comunicaţii de intrare CSI (interoperabilitate sigură comună) pentru configurarea tipului de informaţii de autentificare care sunt conţinute într-o cerere de intrare sau transport.

Caracteristicile de autentificare includ trei niveluri de autentificare pe care le puteţi utiliza simultan:
Propagarea atributelor de securitate

Specifică suportul pentru propagarea atributelor de securitate în timpul cererilor de logare. Când selectaţi această opţiune, serverul de aplicaţii reţine informaţii suplimentare despre cererea de logare, cum ar fi tăria autentificării utilizate şi reţine identitatea şi locaţia originatorului cererii.

Dacă nu selectaţi această opţiune, serverul de aplicaţii nu acceptă ca vreo informaţie de logare suplimentară să se propage la serverele din aval.

Implicit: Activat
Important: Când utilizaţi serviciile de replicare, asiguraţi-vă că opţiunea Propagarea atirbutelor de securitate este activată.
Utilizarea aserţiunii de identitate

Specifică faptul că o aserţiune de identitate este un mod de a presupune identităţi de la un server la altul în timpul unei invocări în aval EJB (Enterprise JavaBeans.

Acest server nu autentifică din nou identitatea presupusă pentru că are încredere în serverul din amonte. Aserţiunea identităţii are prioritate faţă de toate celelalte tipuri de autentificare.

Aserţiunea identităţii este realizată în nivelul de atribute şi se aplică numai pe servere. Principalul determinat la server se bazează pe regulile de precedenţă. Dacă se utilizează aserţiunea identităţii, identitatea este întotdeauna derivată din nivelul de atribute. Dacă se utilizează autentificarea de bază fără aserţiunea identităţii, identitatea este întotdeauna derivată din nivelul de mesaje. În cele din urmă, dacă autentificarea certificatului de client SSL este realizată fie fără autentificare de bază, fie fără aserţiunea identităţii, atunci identitatea este derivată din nivelul de transport.

Identitatea presupusă este acreditarea de invocare care este determinată de modul RunAs pentru bean-ul de întreprindere. Dacă modul RunAs este Client, identitatea este identitatea clientului. Dacă modul RunAs este System, identitatea este identitatea serverului. Dacă modul RunAs este Specified (Specificat), identitatea este cea specificată. Serverul de recepţie primeşte identitatea într-un token de identitate şi, de asemenea, primeşte identitatea serverului emiţător într-un token de autentificare client. Serverul de recepţie validează identitatea serverului emiţător ca identitate de încredere prin caseta de intrare a ID-urilor de servere de încredere (Trusted Server IDs). Introduceţi o listă de nume de principal separate prin bare verticale (|), de exemplu, serverid1|serverid2|serverid3.

Toate tipurile de token-uri de identitate mapează la câmpul ID de utilizator al registrului de utilizatori activi. Pentru un token de identitate ITTPrincipal, acest token se mapează unu-la-unu cu câmpurile de ID utilizator. Pentru un token de identitate ITTDistinguishedName, valoarea de la primul semn egal este mapată la câmpul ID utilizator. Pentru un token de identitate ITTCertChain, valoarea de a primul semn egal al numelui distinctiv este mapată la câmpul ID utilizator.

La autentificarea la un registru de utilizatori LDAP, filtrele LDAP determină cum sunt mapate identităţile de tipul ITTCertChain şi ITTDistinguishedName la registru. Dacă tipul token-ului este ITTPrincipal, atunci principalul este mapat la câmpul UID în registrul LDAP.

Implicit: Dezactivat
Identităţi de încredere

Specifică identitatea de încredere care este trimisă de la serverul emiţător la serverul receptor.

Specifică o listă separată prin bare verticale (|) de ID-uri de utilizator administrator server de încredere, care sunt de încredere pentru a realiza aserţiunea identităţii pe acest server. De exemplu, serverid1|serverid2|serverid3. Serverul de aplicaţii suportă caracterul virgulă (,) ca delimitator de listă pentru compatibilitate înapoi (invers). Serverul de aplicaţii verifică acest caracter virgulă când caracterul bară verticală (|) nu reuşeşte să găsească un ID server de încredere valid.

Utilizaţi această listă pentru a decide dacă un server este sau nu de încredere. Chiar dacă serverul este pe listă, serverul emiţător tot trebuie să se autentifice cu serverul receptor pentru a accepta token-ul de identitate al serverului emiţător.

Tip date: Şir
Autentificare certificat client

Specifică faptul că autentificarea apare când conexiunea iniţială este făcută între client şi server în timpul unei cereri de metodă.

În nivelul de transport, se realizează autentificarea certificatului de client SSL (Secure Sockets Layer). În nivelul de mesaj, se utilizează autentificarea de bază (ID utilizator şi parolă). Autentificarea certificatului de client de obicei are o performanţă mai bună decât autentificarea nivelului de mesaje, dar necesită o setare suplimentară. Aceşti paşi suplimentari implică verificarea faptului că serverul are încredere în certificatul de semnatar al fiecărui client la care este conectat. Dacă clientul utilizează un CA (Autoritate de certificare) pentru a-şi crea certificatul personal, aveţi nevoie numai de certificatul rădăcină CA în secţiunea de semnatar server a fişierului de încredere SSL.

[AIX Solaris HP-UX Linux Windows] [iSeries] Când certificatul este autentificat la un registru de utilizatori LDAP (Lightweight Directory Access Protocol), numele distinctiv (DN) este mapat pe baza filtrului care este specificat la configurarea LDAP. Când certificatul este autentificat la un registru de utilizatori OS local, primul atribut al numelui distinctiv (DN) din certificat, care este de obicei numele comun, este mapat la ID-ul de utilizator din registru.

[z/OS] Când certificatul este autentificat la un registru de utilizatori OS local, certificatul este mapat la ID-ul de utilizator din registru.

Identitatea de la certificatele de client este utilizată numai dacă nu este nici un alt nivel de autentificare prezentat serverului.

Niciodată
Specifică faptul că clienţii nu pot încerca autentificarea certificatului de client SSL (Secure Sockets Layer) cu acest server.
Suportat
Specifică faptul că clienţii care se conectează la acest server se pot autentifica utilizând certificate de client SSL. Totuşi, serverul poate invoca o metodă fără acest tip de autentificare. De exemplu, se poate utiliza în loc autentificarea de bază sau anonimă.
[z/OS] Note: Când se setează "Supported" (Suportat) pentru autentificarea de intrare CSIv2 pe server, certificatul de client este utilizat pentru autentificare.
Necesar
Specifică faptul că clienţii care se conectează la acest server trebuie să se autentifice utilizând certificate de client SSL înainte de a invoca metoda.
Transport

Specifică dacă procesele de client se conectează la server utilizând unul dintre transporturile sale conectate.

Puteţi alege fie SSL (Secure Sockets Layer), TCP/IP sau ambele ca transport de intrare pe care îl suportă un server. Dacă specificaţi TCP/IP, serverul suportă numai TCP/IP şi nu poate accepta conexiuni SSL. Dacă specificaţi suportat-SSL, acest server poate suporta şi conexiuni TCP/IP şi SSL. Dacă specificaţi necesar-SSL, atunci toate serverele care comunică cu acesta trebuie să utilizeze SSL.

Note: Această opţiune nu este disponibilă pe platforma z/OS decât dacă există şi nodurile Versiunii 6.0.x şi cele anterioare în celulă.
TCP/IP
Dacă selectaţi TCP/IP, atunci serverul deschide un port ascultător TCP/IP şi nici o cerere de intrare nu are protecţie SSL.
necesar-SSL
Dacă selectaţi necesar-SSL, atunci serverul deschide un port ascultător SSL şi toate cererile de intrare sunt primite utilizând SSL.
suportat-SSL
Dacă selectaţi suportat-SSL, atunci serverul deschide şi un port ascultător SSL şi unul TCP-IP şi majoritatea cererilor de intrare sunt primite utilizând SSL.
Furnizaţi un număr de port fix pentru următoarele porturi. Un număr de port zero indică faptul că se face o alocare dinamică la rulare.[AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Implicit: Suportat-SSL
Interval: TCP/IP, Necesar SSL, Suportat-SSL
Setări SSL

Specifică o listă de setări SSL predefinite din care să alegeţi pentru conexiunea de intrare.

[z/OS] Note: Această opţiune nu este disponibilă pe platforma z/OS decât dacă există şi nodurile Versiunii 6.0.x şi cele anterioare în celulă.
Tip date: Şir
[AIX Solaris HP-UX Linux Windows] [iSeries] Implicit: DefaultSSLSettings
[z/OS] Implicit: DefaultIIOPSSL
Interval: Toate setările SSL configurate în SSL Configuration Repertoire
Autentificarea nivelului de mesaje

Sunt disponibile următoarele opţiuni pentru autentificarea nivelului de mesaje:
Niciodată
Specifică faptul că acest server nu poate accepta autentificarea cu ID de utilizator şi parolă.
Suportat
Specifică faptul că un client care comunică cu acest server poate specifica un ID de utilizator şi parolă. Totuşi, o metodă ar putea fi invocată fără acest tip de autentificare. De exemplu, s-ar putea utiliza în schimb un certificat de client sau anonim.
Necesar
Specifică faptul că un client care comunică cu acest server trebuie să specifice un ID de utilizator şi parolă pentru orice cerere de metodă.
Permite autentificarea client la server cu:

Specifică autentificarea client-la-server utilizând autentificare Kerberos, LTPA sau Basic (de bază).

Următoarele opţiuni sunt disponibile pentru autentificarea client la server:
Kerberos (KRB5)
Selectaţi pentru a specifica Kerberos ca mecanism de autentificare. Mai întâi trebuie să configuraţi mecanismul de autentificare Kerberos. Citiţi despre Configurarea Kerberos ca mecanism de autentificare utilizând consola administrativă pentru informaţii suplimentare.
LTPA
Selectaţi pentru a specifica autentificarea token LTPA
Autentificare de bază
Autentificarea de bază este GSSUP (Generic Security Services Username Password). Acest tip de autentificare de obicei implică trimiterea unui ID de utilizator şi a unei parole de la client la server pentru autentificare.

Dacă selectaţi Autentificare de bază şi LTPA şi mecanismul de autentificare activ este LTPA, se acceptă un nume de utilizator, parolă şi token-uri LTPA.

Dacă selectaţi Autentificare de bază şi KRB5 şi mecanismul de autentificare activ este KRB5, se acceptă un nume de utilizator, parolă şi token-uri LTPA.

Dacă nu selectaţi Autentificare de bază, nu sunt acceptate de server un nume de utilizator şi parolă.

Configurarea logării

Specifică tipul de configuraţie de logare pe sistem de utilizat pentru autentificarea de intrare.

Puteţi adăuga module de logare personalizate, apăsând pe Securitate > Securitate globală. Din Autentificare, apăsaţi pe Java Authentication and Authorization Service > Logări pe sistem.

Sesiuni stateful

Selectaţi această opţiune pentru a activa sesiunile stateful, care sunt utilizat în principal pentru îmbunătăţiri ale performanţei.

Primul contact dintre un client şi un server trebuie să se autentifice complet. Totuşi, toate contactele ulterioare cu sesiuni valide reutilizează informaţiile de securitate. Clientul transmite un ID contextual la server şi ID-ul este utilizat pentru a căuta sesiunea. ID-ul contextual are ca domeniu conexiunea, ceea ce garantează unicitatea. Ori de câte ori sesiunea de securitate nu este validă şi este activată reîncercarea autentificării, care este valoarea implicită, interceptorul de securitate pe partea de client invalidează sesiunea pe parte de client şi lansează din nou cererea fără ştiinţa utilizatorului. Această situaţie ar putea apărea dacă sesiunea nu există pe server; de exemplu, serverul a eşuat şi a reluat operaţia. Când această valoare este dezactivată, fiecare invocare de metodă trebuie să se autentifice din nou.

Implicit: Activat
iRegiuni de autentificare de încredere - intrare

Selectaţi această legătură pentru a stabili încredere de intrare pentru regiuni. Setările regiunii de autentificare de intrare nu sunt specifice pentru CSIv2; de asemenea, puteţi configura căror regiuni să li se acorde încredere de intrare pentru mai multe domenii de securitate.

Autentificarea de intrare se referă la configuraţia care determină tipul de autentificare acceptat pentru cererile de intrare. Această autentificare este anunţată în IOR-ul (referinţă de obiect interoperabil) pe care clientul îl extrage de la serverul nume.




Legăturile marcate (online) necesită acces la internet.

Related tasks
Related reference
Setările intrării de configurare a logării de sistem pentru Java Authentication and Authorization Service
Mecanisme de autentificare şi expirare


Nume fişier: usec_inbound.html