Utilizzare questa pagina per specificare le funzioni che un server supporta quando funge da client di un altro server a valle.
Specificare per supportare la propagazione dell'attributo di sicurezza durante le richieste di login. Selezionando questa opzione, il server delle applicazioni conserva altre informazioni sulla richiesta di login, ad esempio il livello di autenticazione utilizzato e mantiene l'identità e la posizione dell'autore della richiesta.
Se non si seleziona questa opzione, il server delle applicazioni non accetta altre informazioni di login da estendere ai server a valle.
Valore predefinito: | Abilitato |
Specifica che l'asserzione di identità è un modo per asserire le identità da un server all'altro durante un richiamo EJB (Enterprise JavaBean) di downstream.
Questo server non autentica nuovamente l'identità asserita perché considera affidabile il server a monte. L'asserzione di identità ha la precedenza su tutti gli altri tipi di autenticazione.
L'asserzione di identità viene eseguita al livello di attributo ed è applicabile solo ai server. Il principal determinato sul server si basa su regole di precedenza. Se viene eseguita l'asserzione di identità, l'identità deriva sempre dal livello di attributo. Se l'autenticazione base viene utilizzata senza l'asserzione di identità, l'identità deriva sempre dal livello del messaggio. Infine, se l'autenticazione del certificato client SSL viene eseguita senza l'autenticazione di base o l'asserzione di identitÓ, l'identitÓ deriva dal livello di trasporto.
L'identità asserita è la credenziale di richiamo, determinata dalla modalità RunAs per il bean enterprise. Se la modalità RunAs è Client, l'identità è quella del client. Se la modalità RunAs è Sistema, l'identità è quella del server. Se la modalità RunAs è Specificata, l'identità è quella indicata. Il server ricevente riceve l'identità in un token di identità e anche l'identità del server trasmittente in un token di autenticazione client. Il server ricevente convalida l'identità del server trasmittente come identità sicura, tramite la casella di immissione ID server sicuro. Immettere un elenco di nomi principali separati dalla barra verticale (|), ad esempio, serverid1|serverid2|serverid3.
Tutti i tipi di token di identità sono mappati al campo ID utente del registro utenti attivo. Per un token di identità ITTPrincipal, questo token consente una mappatura uno-a-uno con i campi ID utente. Per un token di identità ITTDistinguishedName, il valore dal primo segno di uguale viene mappato sul campo ID utente. Per un token di identità ITTCertChain, il valore dal primo segno di uguale del DN (Distinguished Name) viene mappato sul campo ID utente.
Durante l'autenticazione di un registro utenti LDAP, i filtri LDAP determinano il modo in cui un'identità di tipo ITTCertChain e ITTDistinguishedName viene mappata sul registro. Se il tipo di token è ITTPrincipal, il principal viene mappato sul campo UID nel registro LDAP.
Valore predefinito: | Disabilitato |
Specifica l'identità server utilizzata dal server delle applicazioni per stabilire una comunicazione sicura con il server di destinazione. L'identità server può essere inviata utilizzando uno dei seguenti metodi:
Valore predefinito: | Disabilitato |
Specifica un utente alternativo come identità sicura che viene inviato ai server di destinazione al posto dell'identità del server.
Questa opzione è consigliata per l'asserzione identità. L'identità viene automaticamente considerata sicura quando viene inviata all'interno della stessa cella e non deve trovarsi nell'elenco di identità sicure nella stessa cella. Tuttavia, questa identità deve trovarsi nel registro dei server di destinazione in una cella esterna e l'ID utente deve essere presente nell'elenco di identità sicure altrimenti l'identità stessa verrà rifiutata durante la valutazione della sicurezza.
Valore predefinito: | Disabilitato |
Specifica l'identità garantita inviata dal server mittente al server ricevente.
Se si specifica un'identità in questo campo, è possibile selezionarla nel pannello relativo al repository account utenti configurato. Se non si specifica un'identità, il token LTPA (Lightweight Third Party Authentication) viene inviato tra i server.
Specifica un elenco di ID utente amministratore server,
che risultano sicuri per eseguire l'asserzione di identità su tale server. Ad esempio,
serverid1|serverid2|serverid3.
Il server delle applicazioni supporta il simbolo virgola (,)
come delimitatore elenco per la compatibilità con le versioni precedenti. Il
server delle applicazioni controlla il simbolo virgola se la barra verticale (|) non riesce a
trovare un ID server sicuro valido.
Specifica un elenco di ID del server sicuri, separati da punto e virgola
(;) o virgola (,), per eseguire l'asserzione di identità di tale server. Ad esempio, serverid1;serverid2;serverid3 o serverid1,serverid2,serverid3.
Utilizzare questo elenco per stabilire se un server è sicuro o meno. Anche se il server è sull'elenco, il server trasmittente deve essere autenticato con quello ricevente per poter accettare il token di identità del server trasmittente.
Specifica la password associata all'identità garantita.
Tipo di dati: | Testo |
Conferma la password associata all'identità garantita.
Tipo di dati: | Testo |
Specifica l'autenticazione da client-a-server tramite l'autenticazione di base, LTPA o Kerberos.
Se si seleziona Autenticazione di base e LTPA e il meccanismo di autenticazione attivo è LTPA, il server viene eseguito insieme a un server di downstream con un nome utente, una password e i token LTPA.
Se si seleziona Autenticazione di base e KRB5 e il meccanismo di autenticazione attivo è KRB5, il server viene eseguito insieme a un server di downstream con un nome utente, una password e i token Kerberos o LTPA.
Se non si seleziona Autenticazione di base, il server non viene eseguito insieme a un server di downstream con un nome utente e una password.
Specifica se i processi del client si collegano al server utilizzando uno dei trasporti collegati.
È possibile scegliere di utilizzare SSL, TCP/IP o entrambi come trasporto in entrata supportato da un server. Se si specifica TCP/IP, il server supporta solo TCP/IP e non pu‗ accettare connessioni SSL. Se si specifica SSL supportato, questo server può supportare le connessioni TCP/IP o SSL. Se si specifica SSL obbligatorio, qualsiasi server che comunica con questo server deve utilizzare SSL.
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS
Valore predefinito: | SSL supportato |
Intervallo: | TCP/IP, SSL obbligatorio, SSL supportato |
Specifica un elenco di impostazioni SSL predefinite da cui scegliere per la connessione in uscita.
Tipo di dati: | Stringa |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Intervallo: | Qualsiasi impostazione SSL configurata nel Repertorio di configurazione SSL |
Specifica se un certificato client dal keystore configurato viene utilizzato per l'autenticazione sul server quando viene stabilita una connessione SSL tra questo server e un server a valle, se il server a valle supporta l'autenticazione del certificato client.
In genere, l'autenticazione del certificato client fornisce prestazioni più elevate dell'autenticazione del livello di messaggio, ma richiede un'impostazione ulteriore. Queste fasi aggiuntive prevedono che si controlli che il server abbia un certificato personale e che il server a valle disponga del certificato del firmatario di tale server.
Valore predefinito: | Abilitato |
Specifica il tipo di configurazione login di sistema da utilizzare per l'autenticazione in entrata.
È possibile aggiungere dei moduli di login personalizzati facendo clic su Sicurezza > Sicurezza globale. In Autenticazione, fare clic su Java Authentication and Authorization Service > Log di sistema.
Selezionare questa opzione per abilitare sessioni stateful, utilizzate principalmente per miglioramenti delle prestazioni.
Il primo contatto tra un client e il server deve essere autenticato completamente. Tuttavia, tutti i contatti successivi con sessioni valide riutilizzano le informazioni sulla sicurezza. Il client invia un ID di contesto al server e l'ID viene utilizzato per ricercare la sessione. L'ID di contesto si trova nell'ambito della connessione e ciò garantisce l'univocità. Ogni volta che la sessione di sicurezza non è valida ed è abilitato il nuovo tentativo di autenticazione (impostazione predefinita), l'intercettatore di sicurezza del client non convalida la sessione dal lato client ed inoltra nuovamente la richiesta senza informare l'utente. Ciò potrebbe verificarsi se la sessione non è presente sul server, il server non ha completato con successo l'operazione e riprende quest'ultima. Quando questo valore è disabilitato, tutte le chiamate ai metodi devono essere autenticate nuovamente.
Abilita l'utilizzo dei moduli di login in uscita RMI (Remote Method Invocation).
Il modulo di login personalizzato mappa o completa altre funzioni prima della chiamata in uscita RMI predefinita.
Se la comunicazione RMI/IIOP riguarda differenti realm, usare questo collegamento per aggiungere i realm sicuri in uscita.
I token di creddenziali vengono inviati solo ai realm divenuti attendibili. Inoltre, il server ricevente deve rendere attendibile questo realm usando la configurazione di realm attendibili in entrata per convalidare il token LTPA.
I collegamenti contrassegnati (online) richiedono un accesso a Internet.