Authentifizierungsverfahren und Verfallszeit

Verwenden Sie diese Seite, um die gemeinsam genutzten Schlüssel anzugeben und das Authentifizierungsverfahren zum Austausch von Informationen zwischen Servern zu konfigurieren. Sie haben außerdem die Möglichkeit, den Zeitraum für die Gültigkeit der Authentifizierungsinformationen festzulegen und die SSO-Konfiguration anzugeben.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Authentifizierung" auf Authentifizierungsverfahren und Verfallszeit > LTPA.
Führen Sie, nachdem Sie die Eigenschaften auf dieser Seite konfiguriert haben, die folgenden Schritte aus:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Stellen Sie sicher, dass unter "Verfügbare Realm-Definitionen" die richtige Registry konfiguriert ist.
  3. Klicken Sie auf Anwenden. Wenn die Sicherheit aktiviert ist und sich eine dieser Eigenschaften ändert, kehren Sie zur Anzeige "Globale Sicherheit" zurück, und klicken Sie dort auf Anwenden, um die Änderungen zu validieren.
Schlüsselsatzgruppe

Gibt Gruppen öffentlicher, privater und gemeinsam genutzter Schlüssel an. Mit diesen Schlüsselgruppen ist der Anwendungsserver in der Lage, mehrere Gruppen von LTPA-Schlüsseln (Lightweight Third Party Authentication) zu steuern.

Schlüssel generieren

Gibt an, ob ein neuer Satz von LTPA-Schlüsseln im konfigurierten Keystore generiert und die Laufzeit mit den neuen Schlüsseln aktualisiert werden soll. Standardmäßig werden LTPA-Schlüssel alle 90 Tage erneut generiert, wobei der Wochentag konfiguriert werden kann.

Jeder neue Satz von LTPA-Schlüsseln wird in dem Keystore gespeichert, der der Schlüsselsatzgruppe zugeordnet ist. Eine maximale Anzahl von Schlüsseln (oder ein einziger Schlüssel) kann konfiguriert werden. Es wird jedoch empfohlen, mindestens zwei Schlüssel zu verwenden. Die alten Schlüssel können zur Validierung verwendet werden, während die neuen Schlüssel verteilt werden.

Dieser Schritt ist nicht erforderlich bei der Aktivierung der Sicherheit. Eine Standardgruppe von Schlüsseln wird während des ersten Serverstarts erstellt. Wenn bei der Schlüsselgenerierung Knoten inaktiv sind, müssen die Knoten vor dem Neustart mit dem Deployment Manager synchronisiert werden.

Cachezeitlimit für Authentifizierung

Gibt den Zeitraum an, in dem der authentifizierte Berechtigungsnachweis im Cache gültig ist. Dieser Zeitraum muss kleiner sein als der Zeitraum, der im Feld Zeitlimit für weitergeleitete Berechtigungsnachweise zwischen Servern festgelegt wurde.

Wenn die Infrastruktur des Anwendungsservers aktiviert ist, kann das Zeitlimit des Authentifizierungscaches Einfluss auf den Durchsatz haben. Das Zeitlimit gibt an, wie oft die sicherheitsbezogenen Caches aktualisiert werden. Sicherheitsinformationen, die sich auf Beans, Berechtigungen und Berechtigungsnachweise beziehen, werden im Cache gespeichert. Nach Ablauf des Cachezeitlimits werden alle zwischengespeicherten Informationen, die innerhalb des Zeitlimitintervalls nicht aufgerufen wurden, aus dem Cache gelöscht. Werden die Informationen nach Ablauf des Zeitlimits angefordert, muss die Datenbank durchsucht werden. Manchmal muss zum Abrufen der Informationen eine LDAP-gebundene (Lightweight Directory Access Protocol) oder native Authentifizierung aufgerufen werden. Beide Aufrufe sind relativ leistungsintensiv. Prüfen Sie die Nutzungsmuster der Anwendung und die Sicherheitsanforderungen der Site, um einen für die Anwendung optimalen Kompromiss zu finden.

Es gibt keine Beziehung zwischen dem Zeitlimit des Authentifizierungscaches und dem Zeitlimit für ORB-Anforderungen.

[AIX Solaris HP-UX Linux Windows] [iSeries] Wenn Sie in einem 20-minütigen Leistungstest das Zeitlimit für den Authentifizierungscache so einstellen, dass keine Zeitlimitüberschreitung auftritt, können Sie eine Leistungsverbesserung von 40 % erzielen.

Datentyp Integer
Einheiten Minuten und Sekunden
Standardeinstellung 10 Minuten
Einstellmöglichkeiten Mehr als 30 Sekunden
Zeitlimit für weitergeleitete Berechtigungsnachweise zwischen Servern

Gibt den Zeitraum an, in dem die Serverberechtigungsnachweise eines anderen Servers gültig sind. Nach Ablauf dieses Zeitraums müssen die Serverberechtigungsnachweise des anderen Servers erneut validiert werden.

Geben Sie in diesem Feld einen Wert ein, der größer ist als der Wert, der im Feld Cachezeitlimit für Authentifizierung angegeben wurde.

Datentyp Integer
Einheiten Minuten und Sekunden
Standardeinstellung 120 Minuten
Einstellmöglichkeiten Integer zwischen 5 und 35971
Kennwort

Geben Sie ein Kennwort an, das zum Verschlüsseln und Entschlüsseln der LTPA-Schlüssel in der SSO-Eigenschaftendatei verwendet werden soll. Während des Imports muss dieses Kennwort mit dem Kennwort, das für den Export der Schlüssel in einen anderen LTPA-Server (z. B. eine andere Anwendungsserverzelle, Lotus Domino Server usw.) verwendet wird, übereinstimmen. Merken Sie sich dieses Kennwort beim Export, damit Sie es bei der Importoperation angeben können.

Wenn die Schlüssel generiert oder importiert sind, werden sie zum Verschlüsseln und Entschlüsseln des LTPA-Token verwendet. Wenn Sie das Kennwort ändern, werden nach dem Anklicken von OK oder Anwenden automatisch neue LTPA-Schlüssel generiert. Die neuen Schlüssel werden verwendet, nachdem die Konfigurationsänderungen gespeichert wurden.

Datentyp String
Kennwort bestätigen

Gibt das bestätigte Kennwort an, das zum Verschlüsseln und Entschlüsseln der LTPA-Schlüssel verwendet werden soll.

Dieses Kennwort muss verwendet werden, wenn diese Schlüssel in andere Konfigurationen der Administrationsdomäne des Anwendungsservers importiert werden und wenn SSO für einen Lotus Domino Server konfiguriert wird.

Datentyp String
Vollständig qualifizierter Name der Schlüsseldatei

Gibt den Namen der Datei an, die zum Importieren oder Exportieren von Schlüsseln verwendet wird.

Geben Sie den vollständig qualifizierten Namen der Schlüsseldatei ein, und klicken Sie dann auf Schlüssel importieren oder Schlüssel exportieren.

Datentyp String
Interne Server-ID

Gibt die Server-ID an, die für die Interprozesskommunikation zwischen Servern verwendet wird. Die Server-ID wird, wenn Sie über ein fernes System gesendet wird, mit einem LTPA-Token geschützt. Sie können die interne Server-ID so bearbeiten, dass sie mit den Server-IDs in mehreren WAS-Administrationsdomänen (Zellen) identisch ist. Diese ID ist standardmäßig der Zellenname.

Diese interne Server-ID sollte nur in einer Umgebung mit Version 6.1 oder höher verwendet werden. In Zellen mit gemischten Versionen sollten Sie eine Benutzer-ID und ein Kennwort für Server verwenden, um die Interoperabilität zu gewährleisten.

Führen Sie die folgenden Schritte aus, um zu Benutzer-ID und Kennwort für Interoperabilität zu wechseln:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realm-Definition. Wählen Sie eine Benutzer-Registry aus, und klicken Sie auf Konfigurieren.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Wählen Sie die Option Im Repository gespeicherte Server-ID aus, und geben Sie die gültige Registry-ID und das gültige Kennwort ein.

[z/OS] Sie können die Option Automatisch generierte Server-ID oder die Option Benutzer-ID für die gestartete z/OS-Task angeben.

Datentyp String
Schlüssel importieren

Gibt an, ob der Server neue LTPA-Schlüssel importiert.

Wenn SSO (Single Sign-On) in mehreren Domänen (Zellen) von WebSphere Application Server unterstützt werden soll, müssen die LTPA-Schlüssel und das Kennwort von den Domänen gemeinsam genutzt werden. Wenn Sie auf Schlüssel importieren klicken, werden die LTPA-Schlüssel aus anderen Domänen importiert. Die LTPA-Schlüssel werden von einer der Zellen in eine Datei exportiert. Führen Sie die folgenden Schritte aus, um einen neuen LTPA-Schlüsselsatz zu importieren:
  1. Füllen Sie die Felder für das Kennwort und die Kennwortbestätigung aus.
  2. Klicken Sie auf OK und anschließend auf Speichern.
  3. Geben Sie anschließend die Verzeichnisposition der LTPA-Schlüssel im Feld "Vollständig qualifizierter Name der Schlüsseldatei" an, und klicken Sie dann auf Schlüssel importieren.
  4. Klicken Sie nicht auf OK oder Anwenden, aber speichern Sie die Einstellungen.
Schlüssel exportieren

Gibt an, ob der Server neue LTPA-Schlüssel exportiert.

Wenn SSO (Single Sign-On) im WebSphere-Produkt in mehreren Anwendungsserverdomänen (Zellen) unterstützt werden soll, müssen die LTPA-Schlüssel und das Kennwort von den Domänen gemeinsam genutzt werden. Sie können auf die Option Schlüssel exportieren klicken, um die LTPA-Schlüssel in andere Domänen zu exportieren.

Wenn Sie die LTPA-Schlüssel exportieren möchten, müssen Sie sicherstellen, dass das System aktiv ist, die Sicherheit aktiviert und LTPA verwendet wird. Geben Sie im Feld "Vollständig qualifizierter Name der Schlüsseldatei" den Dateinamen ein, und klicken Sie dann auf Schlüssel exportieren. Die verschlüsselten Schlüssel werden in der angegebenen Datei gespeichert.

SWAM (veraltet): Keine authentifizierte Kommunikation zwischen Servern [AIX Solaris HP-UX Linux Windows]

Gibt das Authentifizierungsverfahren SWAM (Simple WebSphere Authentication Mechanism) an. Nicht authentifizierte Berechtigungsnachweise werden zwischen Servern weitergeleitet. Wenn ein aufrufender Prozess eine Remote-Methode aufruft, wird die Identität nicht geprüft. Je nach Sicherheitsberechtigungen der EJB-Methoden können Authentifizierungsfehler auftreten.

SWAM ist veraltet und wird in einem der künftigen Releases entfernt. Es wird empfohlen, LTPA für die authentifizierte Kommunikation zwischen Servern zu verwenden.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks


Dateiname: usec_authmechandexpire.html