Common Secure Interoperability 第 2 版出埠通訊設定

請利用這個頁面來指定在伺服器是另一個下游伺服器的用戶端時,它應該支援的特性。

如果要檢視這個管理主控台頁面,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 從「鑑別」中,按一下 RMI/IIOP 安全 > CSIv2 出埠通訊
鑑別特性包含三層可以同時使用的鑑別:
傳播安全屬性

指定以支援在登入要求期間傳送安全屬性。 當您選取這個選項時,應用程式伺服器會保留登入要求的其他相關資訊(如使用的鑑別強度),且會保留要求發送端的身分和位置。

如果您並未選取這個選項,應用程式伺服器不會接受要傳送至下游伺服器的任何其他登入資訊。

預設值: 已啟用
重要: 使用抄寫服務時,請確定已啟用傳送安全屬性選項。
使用伺服器授信身分

指定應用程式伺服器在和目標伺服器間建立信任時,所用的伺服器身分。伺服器身分可使用下列一種方法來傳送:

  • 當登錄配置中有指定伺服器密碼時,可使用伺服器 ID 與密碼。
  • 當使用內部伺服器 ID 時,可使用「小型認證機構 (LTPA)」記號中的伺服器 ID。
如果要與 WebSphere® Application Server 以外的應用程式伺服器交互作業,請使用下列方法之一:
  • 在登錄中配置伺服器 ID 和密碼。
  • 選取伺服器授信身分選項,並指定授信身分和密碼,以便傳送可交互作業的「通用安全服務使用者名稱密碼」(GSSUP) 記號,而不使用 LTPA 記號。
預設值: 停用
指定替代的授信身分

指定替代的使用者作為授信身分來傳給目標伺服器,而不傳送伺服器身分。

如果要進行身分主張,建議使用這個選項。如果是在相同 Cell 中傳送,則身分會自動變成授信的,且不需要位於相同 Cell 中的授信身分清單內。不過,這個身分必須在位於外部 Cell 之目標伺服器的登錄中,且使用者 ID 必須在授信身分清單中,否則,在信任評估期間,將會拒絕這個身分。

預設值: 停用
授信身分

指定從傳送端伺服器傳給接收端伺服器的授信身分。

如果您在這個欄位中指定了某個身分,則可在您配置的使用者帳戶儲存庫的畫面上選取它。如果您並未指定身分,就會在伺服器之間傳送「小型認證機構 (LTPA)」記號。

[AIX Solaris HP-UX Linux Windows] [iSeries] 指定以垂直線 (|) 區隔的授信伺服器管理者使用者 ID 清單,這些 ID 已獲授信,可以進行這部伺服器的身分主張。例如,serverid1|serverid2|serverid3。應用程式伺服器支援逗點 (,) 字元作為清單定界字元,以便相容於舊版。當垂直線 (|) 找不到有效的授信伺服器 ID 時,應用程式伺服器會檢查逗點字元。

[z/OS] 指定以分號 (;) 或逗點 (,) 區隔的授信伺服器 ID 清單,這些伺服器已獲授信可執行這部伺服器的身分主張。 例如,serverid1;serverid2;serverid3serverid1,serverid2,serverid3

請利用這份清單來判斷伺服器是否授信。即使伺服器在清單中,傳送端伺服器仍必須接受接收端伺服器的鑑別,傳送端伺服器的身分記號才會被接受。

密碼

指定授信身分的相關密碼。

資料類型: 文字
確認密碼

確認授信身分的相關密碼。

資料類型: 文字
訊息層鑑別

訊息層鑑別的可用選項如下:
絕不
指定這部伺服器不接受使用者 ID 和密碼鑑別。
支援
指定與這部伺服器通訊的用戶端可以指定使用者 ID 和密碼。不過,呼叫方法時可能並沒有這種類型的鑑別。比方說,可能會改用匿名或用戶端憑證。
必要的
指定與這部伺服器通訊的用戶端必須指定使用者 ID 和密碼,才能進行任何方法要求。
用戶端至伺服器鑑別的可用工具:

指定利用 Kerberos、LTPA 或基本鑑別 (BA) 進行用戶端至伺服器鑑別。

用戶端至伺服器鑑別的可用選項如下:
Kerberos (KRB5)
選取以指定 Kerberos 作為鑑別機制。 您必須先配置 Kerberos 鑑別機制。 如需相關資訊,請參閱利用管理主控台來將 Kerberos 配置為鑑別機制。
LTPA
選取以配置和啟用小型認證機構 (LTPA) 記號鑑別。
基本鑑別
基本鑑別 (BA) 是通用安全服務使用者名稱密碼 (GSSUP)。 這種類型的鑑別通常包括將用戶端的使用者 ID 和密碼傳送給伺服器進行鑑別。

如果您選取基本鑑別 (BA)LTPA,且作用中的鑑別機制是 LTPA,伺服器便會以使用者名稱、密碼和 LTPA 記號與下游伺服器合作。

如果您選取基本鑑別 (BA)KRB5,且作用中的鑑別機制是 KRB5,伺服器便會以使用者名稱、密碼、Kerberos 記號或 LTPA 記號與下游伺服器合作。

如果您沒有選取基本鑑別 (BA),伺服器便不會以使用者名稱和密碼與下游伺服器合作。

傳輸

指定用戶端程序是否要利用伺服器所連接的傳輸來連接至伺服器。

您可以選擇利用 Secure Socket Layer (SSL)、TCP/IP 或這兩者來作為伺服器支援的入埠傳輸。 如果您指定 TCP/IP,伺服器只會支援 TCP/IP,無法接受 SSL 連線。 如果您指定支援 SSL,這部伺服器可以支援 TCP/IP 或 SSL 連線。 如果您指定需要 SSL,與這部伺服器通訊的任何伺服器都必須使用 SSL。

註: 除非 Cell 中 6.0.x 版和更早版本的節點同時存在,否則,這個選項不適用於 z/OS® 作業系統。
TCP/IP
如果您選取 TCP/IP,伺服器只會開啟 TCP/IP 接聽器埠,所有入埠要求都不會有 SSL 保護。
需要 SSL
如果您選取需要 SSL,伺服器只會開啟 SSL 接聽器埠,所有入埠要求都會用 SSL 來接收。
支援 SSL
如果您選取支援 SSL,伺服器會開啟 TCP/IP 和 SSL 接聽器埠,大部分入埠要求都會用 Secure Socket Layer (SSL) 來接收。
請提供下列埠的固定埠號。埠號零表示在執行時期動態指派。 [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

預設值: 支援 SSL
範圍: TCP/IP、需要 SSL、支援 SSL
SSL 設定

指定要從中選取的入埠連線預定 SSL 設定清單。

[z/OS] 註: 除非 Cell 中 6.0.x 版和更早版本的節點同時存在,否則,這個選項不適用於 z/OS 作業系統。
資料類型: 字串
[AIX Solaris HP-UX Linux Windows] [iSeries] 預設值: DefaultSSLSettings
[z/OS] 預設值: DefaultIIOPSSL
範圍: SSL 配置儲存庫中所配置的 SSL 設定
用戶端憑證鑑別

指定在建立伺服器和下游伺服器之間的 SSL 連線時,如果下游伺服器支援用戶端憑證鑑別,是否要利用配置的金鑰儲存庫其中的用戶端憑證,來接受伺服器的鑑別。

用戶端憑證鑑別的效能通常比訊息層鑑別好,但需要其他設定。 這些其他步驟包括確認這部伺服器有個人憑證,以及下游伺服器有這部伺服器的簽章者憑證。

如果您選取用戶端憑證鑑別,可以使用下列選項:
絕不
指定這部伺服器不在下游伺服器嘗試 Secure Socket Layer (SSL) 用戶端憑證鑑別。
支援
指定這部伺服器可以利用 SSL 用戶端憑證來接受下游伺服器的鑑別。不過,呼叫方法時不必進行這類型的鑑別。例如,伺服器可以改用匿名或基本鑑別 (BA)。
必要的
指定這部伺服器必須利用 SSL 用戶端憑證來接受下游伺服器的鑑別。
預設值: 已啟用
登入配置

指定入埠鑑別所用的系統登入配置類型。

您可以按一下安全 > 廣域安全來新增自訂登入模組。從「鑑別」中,按一下 Java™ 鑑別和授權服務 > 系統登入

Stateful 階段作業

請選取這個選項來啟用 Stateful 階段作業,通常是為了提升效能而使用這類階段作業。

用戶端與伺服器之間的第一次聯絡必須進行完整鑑別。 不過,具備有效階段作業的所有後續聯絡都會重複使用這項安全資訊。用戶端會傳遞環境定義 ID 給伺服器,來查閱階段作業。環境定義 ID 以連線為範圍,可以保證唯一性。 每當安全階段作業無效時,如果啟用鑑別重試(這是預設值),用戶端安全攔截程式就會驗證用戶端階段作業,且會在使用者不知不覺的情況下重新提出要求。如果階段作業不在伺服器中,就可能發生這種狀況,例如,伺服器失敗且回復作業。 當停用這個值時,每個方法呼叫都必須重新鑑別。

啟用 CSIv2 階段作業快取限制

指定是否要限制 CSIv2 階段作業快取記憶體大小。

啟用這個選項時,您必須設定快取記憶體大小上限階段作業閒置逾時選項。如果沒有啟用這個選項,CSIv2 階段作業快取即不受限。

在舊版應用程式伺服器中,您可能是以 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 自訂內容形式來設定此值。在這個產品版本中,建議您使用這個管理主控台畫面而不要當成自訂內容來設定此值。

預設值: false
快取記憶體大小上限

指定階段作業快取記憶體大小上限,一旦超過,即將過期的階段作業從快取刪除。

過期階段作業的定義是,閒置時間超過 階段作業閒置逾時欄位中之指定時間的階段作業。指定快取記憶體大小上限欄位的值時,請考量將其值設定在 100 與 1000 筆項目之間。

如果您的環境使用 Kerberos 鑑別,並且配置的金鑰配送中心 (KDC) 有短暫的時間偏差,請考量指定這個欄位的值。在本實務中,短暫時間偏差的定義是少於 20 分鐘。如果因快取記憶體大小較小,而需經常執行記憶體回收,導致影響應用程式伺服器效能,請考量增加這個欄位的值。

在舊版應用程式伺服器中,您可能是以 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 自訂內容形式來設定此值。在這個產品版本中,建議您使用這個管理主控台畫面而不要當成自訂內容來設定此值。

只有在您同時啟用有狀態階段作業啟用 CSIv2 階段作業快取限制選項時,才會套用這個欄位。

預設值: 依預設,不設定一值。
範圍: 100 到 1000 筆項目
階段作業閒置逾時

這個內容指定 CSIv2 階段作業在刪除之前,可以維持的閒置時間數(毫秒)。如果您選取啟用 CSIv2 階段作業快取限制選項,一旦超過快取記憶體大小上限欄位的值,就會刪除階段作業。

只有在您同時啟用有狀態階段作業啟用 CSIv2 階段作業快取限制選項時,才會套用這個逾時值。如果您的環境使用 Kerberos 鑑別,並且配置的金鑰配送中心 (KDC) 有短暫的時間偏差,請考量降低這個欄位的值。在本實務中,短暫時間偏差的定義是少於 20 分鐘。時間偏差較小可能會導致遭拒絕的 CSIv2 階段作業數目較多。但是,如果階段作業閒置逾時欄位的值較低,應用程式伺服器可能會更頻繁地清除這些被拒絕的階段作業,無形中減少了資源短缺的情況。

在舊版 WebSphere Application Server 中,您可能是以 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 自訂內容形式來設定此值。在這個產品版本中,建議您使用這個管理主控台畫面而不要當成自訂內容來設定此值。如果您先前是以自訂內容形式來設定它,所設定的值是以毫秒為單位,而會在這個管理主控台畫面中轉換成秒。在這個管理主控台畫面中,您必須以秒為單位來指定值。

預設值: 依預設,不設定一值。
範圍: 60 到 86,400 秒
自訂出埠對映

讓您能使用自訂遠端方法呼叫 (RMI) 出埠登入模組。

自訂登入模組會在預定的 RMI 出埠呼叫之前,對映或完成其他功能。

如果要宣告自訂出埠對映,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 從「鑑別」中,按一下 Java 鑑別和授權服務 > 系統登入 > 新建
授信鑑別網域範圍 - 出埠

如果 RMI/IIOP 通訊跨越不同的網域範圍,請利用這個鏈結來新增出埠授信網域範圍。

認證記號只會傳給授信網域範圍。 另外,接收端伺服器應該利用入埠授信網域範圍配置來驗證 LTPA 記號,以信任這個網域範圍。




標示(線上)的鏈結表示需要存取網際網路。

相關工作


檔名: usec_outbound.html