Ustawienia komunikacji przychodzącej dla protokołu Common Secure Interoperability 2

Ta strona służy do określenia cech obsługiwanych przez serwer w przypadku klienta uzyskującego dostęp do jego zasobów.

Aby wyświetlić tę stronę Konsoli administracyjnej, wykonaj następujące czynności:
  1. Kliknij opcję Zabezpieczenia > Zabezpieczenia globalne.
  2. W obszarze Uwierzytelnianie kliknij opcję Zabezpieczenia RMI/IIOP > Komunikacja przychodząca protokołu CSIv2.

Ustawienia komunikacji przychodzącej protokołu CSI (Common Secure Interoperability) umożliwiają skonfigurowanie typu informacji uwierzytelniania zawartej w transporcie lub żądaniu przychodzącym.

Opcje uwierzytelniania zawierają trzy warstwy uwierzytelniania, których można użyć równocześnie:
Propagacja atrybutów zabezpieczeń

Określa obsługę propagacji atrybutów zabezpieczeń podczas żądań logowania. Jeśli wybierzesz tę opcję, serwer aplikacji zachowuje dodatkowe informacje o żądaniu logowania, w rodzaju wykorzystywanej siły uwierzytelniania, oraz zachowuje tożsamość i położenie autora żądania.

Jeśli nie zaznaczysz tej opcji, serwer aplikacji nie przyjmie żadnych dodatkowych informacji dotyczących logowania w celu ich przesłania do dalszych serwerów.

Wartość domyślna: Włączony
Ważne: W przypadku korzystania z usług replikacji należy włączyć opcję Propaguj atrybuty zabezpieczeń.
Użyj zapewniania o tożsamości

Określa, że asercja tożsamości między jednym a drugim serwerem w trakcie wywoływania zgodnego z komponentami EJB (JavaBeans) odbywa się w drodze asercji tożsamości.

ten serwer nie uwierzytelnia ponownie sprawdzonej tożsamości, ponieważ ufa on drugiemu serwerowi. Asercja tożsamości ma pierwszeństwo przed pozostałymi typami uwierzytelniania.

Asercja tożsamości jest dokonywana w warstwie atrybutów i ma zastosowanie wyłącznie do serwerów. Określona na serwerze jednostka główna jest oparta na regułach kolejności wykonywania. Jeśli używana jest asercja tożsamości, tożsamość zawsze wywodzi się z warstwy atrybutów. Jeśli używane jest podstawowe uwierzytelnianie bez asercji tożsamości, tożsamość zawsze wywodzi się z warstwy komunikatów. Wreszcie, jeśli uwierzytelnianie certyfikatu SSL klienta odbywa się bez uwierzytelniania podstawowego lub asercji tożsamości, to tożsamość jest określana w oparciu o warstwę transportową.

Zatwierdzona tożsamość jest to referencja wywołania określona przez tryb RunAs dla komponentu EJB. Jeśli trybem RunAs jest Klient, tożsamość jest tożsamością klienta. Jeśli trybem RunAs jest System, tożsamość jest tożsamością serwera. Jeśli trybem roli RunAs jest Określona, to tożsamością jest podana tożsamość. Serwer odbierający otrzymuje tożsamość w znaczniku tożsamości; otrzymuje także tożsamość serwera wysyłającego - w znaczniku uwierzytelniania klienta. Serwer odbierający sprawdza poprawność tożsamości serwera wysyłającego jako zaufaną tożsamość przy użyciu pola wpisu identyfikatorów zaufanych serwerów. Wpisz listę nazw jednostek głównych oddzielonych znakiem potoku (|), na przykład identyfikator_serwera_1|identyfikator_serwera_2|identyfikator_serwera_3.

Wszystkie typy znaczników tożsamości są odwzorowywane na pole identyfikatora użytkownika w aktywnym rejestrze użytkownika. W przypadku znacznika tożsamości ITTPrincipal, token ten jest jednoznacznie odwzorowywany na pola identyfikatorów użytkownika. W przypadku znacznika tożsamości ITTDistinguishedName wartość pobierana z pierwszego znaku równości jest odwzorowywana na pole identyfikatora użytkownika. W przypadku znacznika tożsamości ITTCertChain, wartość pobierana z pierwszego znaku równości nazwy wyróżniającej jest odwzorowywana na pole identyfikatora użytkownika.

Dokonując uwierzytelniania w rejestrze LDAP użytkownika, filtry LDAP wyznaczają w jaki sposób tożsamości ITTCertChain i ITTDistinguishedName są odwzorowywane w rejestrze. Jeśli typem tokenu jest ITTPrincipal, to jednostka główna jest odwzorowywana na pole UID w rejestrze LDAP.

Wartość domyślna: Wyłączone
Zaufane tożsamości

Określa zaufaną tożsamość, która jest wysyłana z serwera wysyłającego do serwera odbierającego.

Określa listę, której elementy są oddzielone znakiem potoku (|), zawierającą identyfikatory administratorów zaufanych serwerów mogących przeprowadzić asercję tożsamości względem tego serwera. Na przykład: identyfikator_serwera_1|identyfikator_serwera_2|identyfikator_serwera_3. Serwer aplikacji obsługuje przecinek (,) jako separator listy w celu zapewnienia kompatybilności wstecznej. Serwer aplikacji sprawdza obecność przecinka, gdy znak potoku (|) nie umożliwi odnalezienie poprawnego identyfikatora serwera zaufanego.

Ta lista umożliwia rozstrzygnięcie, czy serwer jest zaufany. Nawet jeśli serwer jest obecny na liście, to serwer wysyłający musi wciąż uwierzytelniać się w stosunku do serwera odbierającego w celu przyjęcia znacznika tożsamości serwera wysyłającego.

Typ danych: String
Uwierzytelnianie certyfikatów klienta

Stanowi, że uwierzytelnianie odbywa się podczas tworzenia początkowego połączenia między klientem a serwerem podczas żądania metody.

W warstwie transportowej następuje uwierzytelnianie certyfikatu SSL klienta. W warstwie komunikatów używane jest uwierzytelnianie podstawowe (identyfikator użytkownika i hasło). Uwierzytelnianie certyfikatu klienta z reguły wykonywane jest lepiej niż uwierzytelnianie w warstwie wiadomości, lecz wymaga dokonania dodatkowych ustawień. Te dodatkowe kroki wiążą się z weryfikowaniem, czy serwer ufa każdemu certyfikatowi każdego z połączonych z nim klientów. Jeśli klient korzysta z ośrodka certyfikacji (CA) przy tworzeniu certyfikatu osobistego, potrzebujesz jedynie certyfikatu głównego CA w sekcji osoby podpisującej serwer w zaufanym pliku SSL.

[AIX Solaris HP-UX Linux Windows] [iSeries] Jeśli certyfikat jest uwierzytelniany w rejestrze użytkownika protokołu Lightweight Directory Access Protocol (LDAP) , to nazwa wyróżniająca (DN) jest odwzorowywana w oparciu o filtr określony przy konfigurowaniu protokołu LDAP. Jeśli certyfikat jest uwierzytelniany w lokalnym rejestrze użytkownika systemu operacyjnego, to pierwszy atrybut nazwy wyróżniającej(DN) w certyfikacie, który jest zazwyczaj nazwą wspólną, jest odwzorowywany na identyfikator użytkownika w rejestrze.

[z/OS] Jeśli certyfikat jest uwierzytelniany w lokalnym rejestrze użytkownika systemu operacyjnego, to certyfikat jest odwzorowywany na identyfikator użytkownika w rejestrze.

Tożsamość z certyfikatów klienta jest wykorzystywana tylko wtedy, gdy serwerowi nie jest okazywana żadna inna warstwa uwierzytelniania.

Nigdy
Określa, że klienty nie mogą próbować używać uwierzytelniania certyfikatu klienta SSL za pomocą tego serwera.
Obsługiwane
Określa, że klienty łączące się z tym serwerem mogą być uwierzytelniane za pomocą certyfikatów klienta SSL. Serwer może jednak wywołać metodę bez tego typu uwierzytelniania. Przykładowo, zamiast tego może być wykorzystywane uwierzytelnianie anonimowe lub podstawowe.
[z/OS] Uwaga: Jeśli na serwerze dla właściwości Uwierzytelnianie danych przychodzących protokołu CSIv2 ustawiono wartość Obsługiwane, do uwierzytelniania używany jest certyfikat klienta.
Wymagana
Określa, że klienty łączące się z tym serwerem muszą dokonywać uwierzytelniania za pomocą certyfikatów klienta SSL przed wywołaniem metody.
Transport

Określa, czy procesy klienta łączą się z serwerem przy użyciu jednego z dołączonych do niego typów transportu.

Jako typ obsługiwanego przez serwer transportu danych przychodzących można wybrać protokół SSL (Secure Sockets Layer) i/lub protokół TCP/IP. W przypadku wybrania protokołu TCP/IP serwer obsługuje tylko połączenia TCP/IP i nie jest w stanie akceptować połączeń SSL. W przypadku wybrania opcji Obsługiwany protokół SSL serwer ten może obsługiwać zarówno połączenie TCP/IP, jak i SSL. W przypadku wybrania opcji Wymagany protokół SSL protokołu tego musi używać każdy łączący się z nim serwer.

Uwaga: Opcja ta nie jest dostępna na platformie z/OS, chyba że w komórce istnieją zarówno węzły w wersji 6.0.x, jak i w wersjach wcześniejszych.
TCP/IP
W przypadku wyboru TCP/IP serwer otworzy wyłącznie port nasłuchiwania TCP/IP i żadne żądania przychodzące nie będą miały ochrony SSL.
Wymagany protokół SSL
W przypadku wyboru opcji Wymagany protokół SSL serwer otworzy wyłącznie port nasłuchiwania SSL i wszystkie żądania przychodzące będą odbierane z użyciem protokołu SSL.
Obsługiwany protokół SSL
W przypadku wyboru opcji Obsługiwany protokół SSLserwer otworzy zarówno port nasłuchiwania TCP/IP, jak i port nasłuchiwania SSL i większość żądań przychodzących odbieranych będzie z użyciem protokołu SSL.
Podaj numer stałego portu dla następnych portów. Numer portu równy zero oznacza, że w czasie wykonywania następuje przypisywanie dynamiczne. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

Wartość domyślna: Obsługiwany protokół SSL
Zakres: TCP/IP, Wymagany protokół SSL, Obsługiwany protokół SSL
Ustawienia protokołu SSL

Wyświetla listę predefiniowanych ustawień protokołu SSL, z której można wybrać opcję dla połączenia przychodzącego.

[z/OS] Uwaga: Opcja ta nie jest dostępna na platformie z/OS, chyba że w komórce istnieją zarówno węzły w wersji 6.0.x, jak i w wersjach wcześniejszych.
Typ danych: String
[AIX Solaris HP-UX Linux Windows] [iSeries] Wartość domyślna: DefaultSSLSettings
[z/OS] Wartość domyślna: DefaultIIOPSSL
Zakres: Dowolne ustawienia protokołu SSL utworzone w konfiguracjach SSL
Uwierzytelnianie warstwy komunikatów

Dostępne są następujące opcje uwierzytelniania warstwy komunikatów:
Nigdy
Określa, że serwer nie może zaakceptować uwierzytelniania za pomocą identyfikatora użytkownika i hasła.
Obsługiwane
Określa, że klient komunikujący się z serwerem może podać identyfikator użytkownika i hasło. Można jednak wywołać metodę niemającą tego typu uwierzytelnienia. Przykładowo, można zamiast tego użyć opcji anonimowej lub certyfikatu klienta.
Wymagana
Określa, że klienty komunikujące się z danym serwerem muszą podać ID użytkownika oraz hasło dla każdego żądania metody.
Zezwalaj klientowi na uwierzytelnianie na serwerze przy użyciu

Określa uwierzytelnianie klient-serwer przez uwierzytelnianie protokołu Kerberos, LTPA lub uwierzytelnianie podstawowe.

Dostępne są następujące opcje uwierzytelniania klienta na serwerze:
Kerberos (KRB5)
Wybierz tę opcję, aby jako mechanizm uwierzytelniania określić protokół Kerberos. Mechanizm uwierzytelniania protokołu Kerberos należy najpierw skonfigurować. Więcej informacji zawiera sekcja Konfigurowanie protokołu Kerberos jako mechanizmu uwierzytelniania za pomocą Konsoli administracyjnej.
LTPA
Wybierz tę opcję, aby określić uwierzytelnianie za pomocą znacznika LTPA.
Podstawowe uwierzytelnianie
Podstawowym uwierzytelnianiem jest uwierzytelnianie GSSUP (Generic Security Services Username Password). Ten typ uwierzytelniania zazwyczaj wymaga wysłania identyfikatora użytkownika i hasła od klienta do serwera, w celu uwierzytelnienia.

Jeśli zostaną wybrane opcje Podstawowe uwierzytelnianie i LTPA, gdy aktywnym mechanizmem uwierzytelniania jest LTPA, akceptowane będą nazwa użytkownika, hasło i znaczniki LTPA.

Jeśli zostaną wybrane opcje Podstawowe uwierzytelnianie i KRB5, gdy aktywnym mechanizmem uwierzytelniania jest KRB5, akceptowane będą nazwa użytkownika, hasło, znacznik protokołu Kerberos i znaczniki LTPA.

Jeśli opcja Podstawowe uwierzytelnianie nie zostanie wybrana, nazwa użytkownika i hasło nie będą akceptowane przez serwer.

Konfiguracja logowania

Określa typ konfiguracji logowania do systemu wykorzystywaną w przypadku uwierzytelniania przychodzącego.

Niestandardowe moduły logowania można dodać, klikając opcję Zabezpieczenia > Zabezpieczenia globalne. W obszarze Uwierzytelnianie należy kliknąć opcję Usługa uwierzytelniania i autoryzacji Java (JAAS) > Logowanie do systemu.

Sesje stanowe

Ta opcja umożliwia włączenie sesji stanowych, które są wykorzystywane głównie do zwiększenia wydajności.

Pierwszy kontakt między serwerem a klientem musi być w pełni uwierzytelniony. Jednak wszystkie późniejsze kontakty z poprawnymi sesjami ponownie wykorzystują informację o bezpieczeństwie. Klient przesyła do serwera identyfikator kontekstu, a identyfikator ten jest wykorzystywany do odnalezienia sesji. Identyfikator kontekstowy jest używany w zasięgu połączenia, co gwarantuje jego unikalność. Za każdym razem, gdy sesja zabezpieczeń nie jest poprawna, a ponawianie uwierzytelniania jest włączone, co stanowi opcję domyślną, przechwytywacz zabezpieczeń po stronie klienta unieważnia sesję po stronie klienta i ponownie wysyła żądanie bez wiedzy użytkownika. Sytuacja taka może mieć miejsce, gdy sesja nie istnieje na serwerze (serwer uległ awarii i wznowił działanie). Po wyłączeniu tej wartości musi zostać ponownie uwierzytelnione każde wywołanie metody.

Wartość domyślna: Włączony
Zaufane dziedziny uwierzytelniania - dane przychodzące

Ten odsyłacz należy wybrać, aby ustawić funkcję zaufania dla danych przychodzących dla dziedzin. Ustawienia dziedziny uwierzytelniania danych przychodzących nie są specyficzne dla protokołu CSIv2. Możliwe jest także skonfigurowanie, które dziedziny są uznawane za zaufane w zakresie danych przychodzących dla wielu domen zabezpieczeń.

Uwierzytelnianie danych przychodzących odnosi się do konfiguracji określającej typ akceptowanego uwierzytelniania dla żądań przychodzących. To uwierzytelnianie jest zawarte w uniwersalnym wskaźniku obiektu (Interoperable object reference - IOR) pobieranym przez klienta z serwera nazw.




Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne
Odsyłacze pokrewne
Ustawienia wpisu konfiguracji logowania do systemu dla usługi Java Authentication and Authorization Service
Mechanizmy uwierzytelniania i utrata ważności


Nazwa pliku: usec_inbound.html