Nastavení odchozí komunikace protokolu Common Secure Interoperability verze 2

Tato stránka slouží k zadání funkcí, které server podporuje, když se chová jako klient jiného serveru dále na trase.

Chcete-li zobrazit tuto stránku konzoly pro správu, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Zabezpečení RMI/IIOP > Odchozí komunikace CSIv2.
Funkce ověřování zahrnují tři vrstvy ověřování, které lze používat souběžně:
Šíření atributů zabezpečení

Určuje podporu šíření atributu zabezpečení při zpracování žádostí o přihlášení. Vyberete-li tuto volbu, aplikační server zachová doplňující informace o požadavku na přihlášení, například použitou sílu ověřování, spolu s identitou a umístěním původce požadavku.

Pokud tuto volbu nevyberete, nebude aplikační server přijímat žádné další informace o přihlášení určené k předání do serverů po směru zpracování.

Výchozí hodnota: Povoleno
Důležité: Při použití služeb replikace se ujistěte, že je povolena volba Šířit atributy zabezpečení.
Použít identitu server-trusted

Určuje identitu serveru, kterou aplikační server používá k ustavení důvěryhodnosti cílového serveru. Identita serveru může být odeslána jednou z následujících metod:

  • ID serveru a heslo, pokud je heslo serveru určeno v konfiguraci registru.
  • ID serveru v tokenu LTPA (Lightweight Third Party Authentication), pokud je použito interní ID serveru.
Pro interoperabilitu s aplikačními servery jinými než server WebSphere Application Server použijte jednu z následujících metod:
  • Konfigurujte ID serveru a heslo v registru.
  • Vyberte volbu Identita, jíž důvěřuje server a určete důvěryhodnou identitu a heslo, aby byl místo tokenu LTPA odeslán interoperabilní token GSSUP (Generic Security Services Username Password).
Výchozí hodnota: Zakázáno
Zadat alternativní důvěryhodnou identitu

Tato možnost určuje alternativního uživatele jako důvěryhodnou identitu, která je odeslána na cílové servery místo odesílání identity serveru.

Tato volba je doporučená pro deklaraci identity. Tato identita se automaticky stane důvěryhodnou, pokud je odeslána do stejné buňky, a v rámci stejné buňky nemusí být uvedena v seznamu důvěryhodných identit. Tato identita však musí být v registru cílových serverů v externí buňce a jméno uživatele musí být uvedeno v seznamu důvěryhodných identit, nebo je identita odmítnuta v průběhu vyhodnocování důvěryhodnosti.

Výchozí hodnota: Zakázáno
Důvěryhodná identita

Tato možnost určuje důvěryhodnou identitu, která je odeslána z odesílajícího serveru na přijímající server.

Pokud zadáte identitu do tohoto pole, může být vybrána na panelu pro konfigurované úložiště uživatelských účtů. Pokud identitu nezadáte, je mezi servery odeslán token LTPA (Lightweight Third Party Authentication).

[AIX Solaris HP-UX Linux Windows] [iSeries] Určuje seznam uživatelských jmen administrátorů důvěryhodného serveru oddělených svislými čarami (|), která jsou považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad: IDserveru1|IDserveru2|IDserveru3. V zájmu zpětné kompatibility podporuje aplikační server oddělování položek seznamu znakem , (čárka). Aplikační server se pokusí použít znak čárky, pokud se mu nepodaří najít platné ID důvěryhodného serveru pomocí znaku svislé čáry (|).

[z/OS] Určuje seznam ID důvěryhodných serverů oddělených středníky (;) nebo čárkami (,), která jsou považována za důvěryhodná pro účely deklarace identit na tomto serveru. Příklad: IDserveru1;IDserveru2;IDserveru3 nebo IDserveru1,IDserveru2,IDserveru3.

Tento seznam slouží k rozhodování o tom, zda je server důvěryhodný. I v případě, že je server uveden v seznamu, musí odesílající server projít ověřením u přijímajícího serveru, aby mohl být přijat token identity odesílajícího serveru.

Heslo

Určuje heslo, které je asociováno s důvěryhodnou identitou.

Datový typ: Text
Potvrzení hesla

Potvrzuje heslo, které je asociováno s důvěryhodnou identitou.

Datový typ: Text
Ověřování vrstvy zpráv

Pro ověřování vrstvy zpráv jsou k dispozici následující volby:
Nikdy
Udává, že daný server nepřijímá ověřování pomocí jména uživatele a hesla.
Podporováno
Udává, že klient komunikující s tímto serverem může zadat jméno uživatele a heslo. Metodu však lze vyvolat i bez tohoto typu ověření. Místo něj může být použit například anonymní certifikát nebo certifikát klienta.
Vyžadováno
Určuje, že klienti komunikující s tímto serverem musí zadat jméno uživatele a heslo s každým požadavkem na metodu.
Povolení ověřování klienta na servery pomocí:

Určuje ověřování klienta na serveru pomocí ověřování Kerberos, LTPA nebo základního ověřování.

Pro ověřování klienta na serveru jsou k dispozici následující volby:
Kerberos (KRB5)
Tuto volbu vyberte, chcete-li použít mechanizmus ověřování Kerberos. Nejprve musíte konfigurovat mechanizmus ověřování Kerberos. Podrobnější informace naleznete v části Konfigurování ověřování Kerberos jako mechanizmu ověřování s použitím administrativní konzoly.
LTPA
Tuto volbu vyberte, chcete-li konfigurovat a povolit ověřování tokenů LTPA (Lightweight Third-Party Authentication).
Základní ověřování
Základní ověřování je GSSUP (Generic Security Services Username Password). Tento typ ověřování obvykle zahrnuje odeslání jména uživatele a hesla z klienta na server k ověření.

Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol LTPA, server se obrátí na další server na trase a předá jméno uživatele, heslo nebo token LTPA.

Vyberete-li volbu Základní ověřování a je-li v konfiguraci nastaven ověřovací protokol KRB5, server se obrátí na další server na trase a předá jméno uživatele, heslo, token Kerberos nebo token LTPA.

Pokud nevyberete volbu Základní ověřování, server nepředá jméno uživatele a heslo dalšímu serveru na trase zpracování.

Transport

Určuje, zda se procesy klienta připojují k serveru s použitím jednoho z připojených transportů.

Jako příchozí transport podporovaný serverem můžete zvolit službu SSL (Secure Sockets Layer), protokol TCP/IP nebo obojí. Vyberete-li volbu TCP/IP, server bude podporovat pouze protokol TCP/IP a nebude moci přijímat připojení SSL. Vyberete-li volbu Podporováno SSL, bude tento server moci podporovat připojení protokolu TCP/IP i připojení SSL. Vyberete-li volbu Vyžadováno SSL, bude muset každý server komunikující s tímto serverem používat zabezpečení SSL.

Poznámka: Tato volba není k dispozici v operačních systémech z/OS, s výjimkou případů, kdy se v buňce nacházejí uzly verze 6.0.x i uzly dřívějších verzí.
TCP/IP
Vyberete-li volbu TCP/IP, server otevře pouze port modulu listener TCP/IP a pro žádné z příchozích požadavků nebude použito zabezpečení SSL.
Vyžadováno SSL
Vyberete-li volbu Vyžadováno SSL, server otevře pouze port modulu listener SSL a při příjmu všech příchozích požadavků bude použito zabezpečení SSL.
Podporováno SSL
Vyberete-li volbu Podporováno SSL, server otevře port modulu listener pro protokol TCP/IP i SSL a při příjmu většiny příchozích požadavků bude použito zabezpečení SSL.
Zadejte pevné číslo portu pro následující porty. Nulové číslo portu znamená, že bude provedeno dynamické přiřazení při běhu. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Výchozí hodnota: Podporováno SSL
Rozsah: TCP/IP, Vyžadováno SSL, Podporováno SSL
Nastavení SSL

Určuje seznam předdefinovaných nastavení SSL pro příchozí připojení.

[z/OS] Poznámka: Tato volba není k dispozici v operačních systémech z/OS, s výjimkou případů, kdy se v buňce nacházejí uzly verze 6.0.x i uzly dřívějších verzí.
Datový typ: Řetězec
[AIX Solaris HP-UX Linux Windows] [iSeries] Výchozí hodnota: DefaultSSLSettings
[z/OS] Výchozí hodnota: DefaultIIOPSSL
Rozsah: Všechna nastavení SSL konfigurovaná v repertoáru konfigurace SSL
Ověřování pomocí certifikátu klienta

Tato možnost určuje, zda je certifikát klienta z konfigurovaného úložiště klíčů použit k ověřování na serveru při vytvoření připojení SSL mezi daným server a serverem dále na trase v případě, že server dále na trase podporuje ověřování pomocí certifikátu klienta.

Ověřování pomocí certifikátu klienta má většinou vyšší výkon než ověřování vrstvy zpráv, ale vyžaduje další nastavení. Tyto další kroky zahrnují ověření, že daný server má osobní certifikát a že server dále na trase má certifikát podepisujícího subjektu tohoto serveru.

Pokud vyberete ověřování pomocí certifikátu klienta, budou k dispozici následující volby:
Nikdy
Určuje, že se daný server nepokouší o ověřování pomocí certifikátu klienta pomocí protokolu SSL se servery dále na trase.
Podporováno
Určuje, že tento server může používat certifikáty klienta SSL pro ověřování na dalších serverech po směru zpracování. Metodu však lze vyvolat i bez tohoto typu ověření. Server může místo něj například použít anonymní certifikát nebo základní ověřování.
Vyžadováno
Určuje, že tento server musí používat certifikáty klienta SSL pro ověřování na dalších serverech po směru zpracování.
Výchozí hodnota: Povoleno
Konfigurace přihlašování

Určuje typ konfigurace přihlašování k systému, který má být použit pro ověřování příchozích požadavků.

Chcete-li přidat vlastní moduly přihlašování, můžete klepnout na volby Zabezpečení > Globální zabezpečení. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému.

Stavové relace

Tuto volbu vyberte, chcete-li povolit stavové relace, využívané především ke zvýšení výkonu.

Při prvním kontaktu mezi klientem a serverem musí proběhnout úplné ověření. Všechny další kontakty v rámci platných relací však používají znovu tytéž informace zabezpečení. Klient předá serveru ID kontextu a na základě tohoto ID je vyhledána relace. Oborem ID kontextu je dané připojení, čímž je zaručena jedinečnost. Vždy, když není nalezena platná relace zabezpečení a je povoleno opakované ověřování (výchozí stav), zachytávač zabezpečení na straně klienta zneplatní relaci na straně klienta a odešle požadavek znovu bez rozlišení klienta. Tato situace může nastat v případě, že daná relace na straně serveru neexistuje, například po selhání serveru a obnovení jeho činnosti. Pokud je tato volba zakázána, musí při každém volání metody proběhnout nové ověření.

Povolit limit mezipaměti relace CSIv2

Určuje, zda má být omezena velikost mezipaměti relace CSIv2.

Při povolení této volby je nutné nastavit hodnoty voleb Maximální velikost mezipaměti a Časový limit nečinné relace. Pokud tuto volbu nepovolíte, mezipaměť relace CSIv2 nebude omezena.

Je možné, že jste v předchozích verzích aplikačního serveru nastavili tuto hodnotu jako přizpůsobenou vlastnost com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. V této verzi produktu se doporučuje nastavit tuto hodnotu prostřednictvím tohoto panelu administrativní konzoly, nikoli jako přizpůsobenou vlastnost.

Výchozí hodnota: false
Maximální velikost mezipaměti

Určuje maximální velikost mezipaměti relace, nad níž jsou relace, kterým vypršela platnost, odstraňovány z mezipaměti.

Relace s vypršenou platností jsou definovány jako relace, které jsou nečinné po delší dobu, než jaká je zadána v poli Časový limit nečinné relace. Při zadání hodnoty do pole Maximální velikost mezipaměti zvažte její nastavení v rozmezí 100 až 1000 položek.

Pokud je v prostředí používáno ověřování Kerberos a v konfigurovaném centru distribuce klíčů (KDC) došlo k malému posunu hodin, zvažte zadání hodnoty do tohoto pole. V tomto scénáři je malý posun hodin definován jako posun o méně než 20 minut. Pokud příliš nízká hodnota mezipaměti způsobí spuštění uvolnění mezipaměti tak často, že ovlivňuje výkon aplikačního serveru, zvažte zvýšení hodnoty v tomto poli.

Je možné, že jste v předchozích verzích aplikačního serveru nastavili tuto hodnotu jako přizpůsobenou vlastnost com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. V této verzi produktu se doporučuje nastavit tuto hodnotu prostřednictvím tohoto panelu administrativní konzoly, nikoli jako přizpůsobenou vlastnost.

Toto pole je použito pouze v případě, že jsou povoleny volby Stavové relace a Povolit limit mezipaměti relace CSIv2.

Výchozí hodnota: Při výchozím nastavení tato hodnota není nastavena.
Rozsah: 100 až 1000 položek
Časový limit nečinné relace

Tato vlastnost určuje čas v milisekundách, po který může relace CSIv2 zůstat nečinná, aniž by byla odstraněna. Tato relace bude odstraněna v případě, že vyberete volbu Povolit limit mezipaměti relace CSIv2 a že dojde k překročení hodnoty v poli Maximální velikost mezipaměti.

Tato hodnota časového limitu je použita pouze v případě, že jsou povoleny volby Stavové relace a Povolit limit mezipaměti relace CSIv2. Pokud je v prostředí používáno ověřování Kerberos a v konfigurovaném centru distribuce klíčů (KDC) došlo k malému posunu hodin, zvažte možnost snížení hodnoty v tomto poli. V tomto scénáři je malý posun hodin definován jako posun o méně než 20 minut. Výsledkem malého posunu hodin může být velký počet odmítnutých relací CSIv2. V případě menší hodnoty v poli Časový limit nečinné relace však aplikační server může odstraňovat zamítnuté relace častěji a potenciálně tak omezit případy nedostatku prostředků.

Je možné, že jste v předchozích verzích produktu WebSphere Application Server nastavili tuto hodnotu jako přizpůsobenou vlastnost com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. V této verzi produktu se doporučuje nastavit tuto hodnotu prostřednictvím tohoto panelu administrativní konzoly, nikoli jako přizpůsobenou vlastnost. Pokud jste tuto hodnotu dříve nastavili jako přizpůsobenou vlastnost, hodnota byla nastavena v milisekundách a na tomto panelu administrativní konzoly byla převedena na sekundy. Na tomto panelu administrativní konzoly je nutné zadat hodnotu v sekundách.

Výchozí hodnota: Při výchozím nastavení tato hodnota není nastavena.
Rozsah: 60 až 86 400 sekund
Vlastní odchozí mapování

Tato možnost povoluje použití vlastních odchozích modulů přihlášení RMI (Remote Method Invocation).

Vlastní modul přihlášení mapuje nebo provede další funkce před provedením předdefinovaného odchozího volání RMI.

Chcete-li deklarovat vlastní odchozí mapování, postupujte podle následujících kroků:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Ověřování klepněte na volbu Služba JAAS (Java Java Authentication and Authorization Service) > Přihlášení k systému > Nové.
Důvěryhodné sféry ověření - odchozí

Pokud komunikace pomocí protokolu RMI/IIOP probíhá mezi různými sférami, můžete pomocí tohoto odkazu přidat odchozí důvěryhodné sféry.

Tokeny pověření jsou odesílány pouze důvěryhodným sférám. Přijímající server by také měl této sféře důvěřovat pomocí konfigurace příchozích důvěryhodných sfér sloužící k ověření tokenu ověřování LTPA.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související úlohy


Název souboru: usec_outbound.html