认证机制和到期

使用此页面来指定共享密钥并配置用来在服务器之间交换信息的认证机制。还可以使用此页面来指定认证信息保持有效的时间长度以及指定单点登录配置。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击安全性 > 全局安全性
  2. 在“认证”下面,单击认证机制和到期 > LTPA
在此页面上配置属性后,完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“可用的域定义”下,验证是否已配置了适当的注册表。
  3. 单击应用。当启用了安全性并更改任何这些属性时,返回到“全局安全性”面板并单击应用以确认更改。
密钥集组

指定公用密钥组、专用密钥组和共享密钥组。这些密钥组使应用程序服务器能够管理多组轻量级第三方认证(LTPA)密钥。

生成密钥

指定是否在已配置的密钥库中生成一组新的 LTPA 密钥并使用新密钥来更新运行时。缺省情况下,每 90 天就重新生成 LTPA 密钥,也可以配置成在一个星期中某一天重新生成密钥。

每组新的 LTPA 密钥都存储在与密钥集组相关联的密钥库中。可以配置最大密钥数(最大密钥数甚至可以是 1)。但是,建议至少有两个密钥;在分发新密钥时,旧密钥可以用于验证。

在启用安全性期间,不需要执行此步骤。在服务器第一次启动期间,将创建一组缺省密钥。如果任何节点在密钥生成事件期间停机,那么在重新启动那些节点之前,应该使它们与 Deployment Manager 同步。

认证高速缓存超时

指定高速缓存中的已认证凭证有效的时间段。此时间段必须小于为服务器之间转发的凭证的超时值字段指定的时间段。

如果已启用应用程序服务器基础结构安全性,则认证高速缓存超时会影响性能。超时设置指定与安全性相关的高速缓存的刷新频率。与 Bean、许可权和凭证相关的安全信息将被高速缓存。当高速缓存超时到期时,将从高速缓存中清除所有在超时时间段内未被访问的高速缓存信息。对该信息的后续请求将导致执行数据库查询操作。有时,获取信息时需要调用轻量级目录访问协议 (LDAP) 绑定或本机认证。两种调用都是相对比较消耗性能的操作。通过了解站点的使用模式和安全需求,确定应用程序的最佳权衡。

认证高速缓存超时值与 ORB 请求超时值无关。

[AIX Solaris HP-UX Linux Windows] [iSeries] 在 20 分钟的性能测试中,如果将认证高速缓存超时值设置得能够在此 20 分钟期间避免超时,那么可以使性能提高 40%。

数据类型 整型
单位 分钟和秒
缺省值 10 分钟
范围: 大于 30 秒
服务器之间转发的凭证的超时值

指定来自另一服务器的服务器凭证有效的时间段。在此时间段到期后,必须对来自其他服务器的凭证进行重新验证。

对此字段指定值,该值应该大于对认证高速缓存超时字段指定的值。

数据类型 整型
单元 分钟和秒
缺省值 120 分钟
范围: 在 5 到 35971 之间的整数
密码

输入将用来对 SSO 属性文件中的 LTPA 密钥进行加密和解密的密码。在导入期间,此密码应该与另一 LTPA 服务器(例如另一个应用程序服务器单元或 Lotus® Domino® Server 等)上用来导出密钥的密码匹配。在导出期间,请记住此密码以便在执行导入操作时提供。

生成或导入密钥后,这些密钥将用于对 LTPA 令牌进行加密和解密。无论何时更改密码,当您单击确定应用时,都会自动生成一组新的 LTPA 密钥。保存配置更改后,就会开始使用这组新密钥。

数据类型 字符串
确认密码

指定用来对 LTPA 密钥进行加密和解密的确认密码。

在将这些密钥导入其他应用程序服务器管理域配置时,以及在为 Lotus Domino Server 配置 SSO 时,使用此密码。

数据类型 字符串
标准密钥文件名

指定导入或导出密钥时使用的文件名。

输入标准密钥文件名,然后单击导入密钥导出密钥

数据类型 字符串
内部服务器标识

指定用于服务器之间的进程间通信的服务器标识。当以远程方式发送此服务器标识时,将使用 LTPA 令牌对其进行保护。您可以编辑内部服务器标识以使其在多个应用程序服务器管理域(单元)中与服务器标识相同。缺省情况下,此标识是单元名。

只有在 V6.1 或更高版本的环境中才应该使用此内部服务器标识。对于混合版本的单元来说,应该改为使用服务器用户标识和服务器密码来进行互操作。

要切换为使用服务器用户标识和密码来进行互操作,请完成下列步骤:
  1. 单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下面,单击可用的域定义下拉列表,选择用户注册表,然后单击配置
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] 选中存储在存储库中的服务器标识选项,然后输入有效的注册表标识和密码。

[z/OS] 可以指定自动生成的服务器标识选项或 z/OS® 启动的任务的用户标识选项。

数据类型 字符串
导入密钥

指定服务器是否导入新的 LTPA 密钥。

要在跨多个应用程序服务器域(单元)的应用程序服务器产品中支持单点登录 (SSO),请在各个域之间共享 LTPA 密钥和密码。可以使用导入密钥选项来从其他域中导入 LTPA 密钥。LTPA 密钥是从其中一个单元导出到文件的。要导入一组新的 LTPA 密钥,请完成下列步骤:
  1. 在“密码”和“确认密码”字段中输入适当的密码。
  2. 单击确定,然后单击保存
  3. 在“标准密钥文件名”字段中输入 LTPA 密钥所在的目录位置,然后单击导入密钥
  4. 不要单击确定应用,而是保存设置。
导出密钥

指定服务器是否导出 LTPA 密钥。

要在跨多个应用程序服务器域(单元)的 WebSphere® 产品中支持单点登录 (SSO),请在各个域之间共享 LTPA 密钥和密码。使用“导出密钥”选项来将 LTPA 密钥导出到其他的域。

要导出 LTPA 密钥,请确保系统正在运行、已启用安全性并且正在使用 LTPA。在“标准密钥文件名”字段中输入文件名,然后单击 导出密钥。已加密的密钥被存储在指定的文件中。

使用 SWAM - 服务器之间不存在已认证通信 [AIX Solaris HP-UX Linux Windows]

指定简单 WebSphere 认证机制(SWAM)。将在服务器之间转发未认证的凭证。当调用者进程调用远程方法时,它的标识不会被验证。根据 EJB 方法的安全许可权的不同,认证可能会失败。

建议不要使用 SWAM 功能,在将来的发行版中将除去此认证机制。建议使用 LTPA 来在服务器之间进行认证通信。




标有(在线)的链接要求访问因特网。

相关任务


文件名: usec_authmechandexpire.html