Механизмы идентификации и срок действия

На этой странице можно настроить общие ключи и механизмы идентификации, используемые для обмена данными между серверами. Можно также указать время, в течение которого данные идентификации остаются применимыми, и настроить параметры единого входа в систему.

Для просмотра этой страницы административной консоли выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Идентификация выберите Механизмы идентификации и истечение срока действия > LTPA.
Настроив эти свойства, далее выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Доступные определения областей убедитесь, что настроен соответствующий реестр.
  3. Нажмите кнопку Применить. Если при включенной защите любое из этих свойств изменилось, вернитесь к панели Глобальная защита и нажмите Применить для проверки измененных значений.
Группа набора ключей

Группы открытых, личных и общих ключей. Группы позволяют управлять различными наборами ключей LTPA на сервере приложений.

Сгенерировать ключи

Указывает, будет ли сгенерирован новый набор ключей LTPA в хранилище ключей, и будет ли среда выполнения обновлена для работы с новыми ключами. По умолчанию ключи LTPA обновляются по расписанию раз в 90 дней, но можно делать это раз в неделю.

Все новые наборы ключей LTPA помещаются в хранилище ключей, связанное с группой набора ключей. Можно настроить максимальное число ключей (в том числе и один). Однако рекомендуется иметь хотя бы два ключа, старые ключи можно использовать для проверки, пока распространяются новые ключи.

Это необязательный этап в ходе включения защиты. Набор ключей по умолчанию создается при первом запуске сервера. Если какие-либо узлы не работали во время создания ключей, их нужно синхронизировать с диспетчером развертывания перед перезапуском.

Тайм-аут кэша идентификации

Указывает период, в течение которого действуют идентификационные данные, находящиеся в кэше. Это значение должно быть меньше периода, указанного в поле Значение тайм-аута для пересланных идентификационных данных между серверами.

Если среда защиты серверов приложений включена, то тайм-аут кэша идентификации может влиять на производительность. Тайм-аут задает частоту обновления кэшей защиты. Кэшируется информация защиты, относящаяся к EJB, правам доступа и идентификационным данным. По истечении времени хранения вся информация, к которой за это время не было обращений, удаляется из кэша. Последующие обращения к этой информации приводят к запросу к базе данных. Иногда эта информация требует запроса с идентификацией LDAP или встроенной. Любой из этих вызовов требует немалых затрат времени. Поэтому для приложения необходимо определить оптимальные соотношения, проанализировав требования защиты и использование этих функций на сайте.

Значение тайм-аута кэша идентификации и значение тайм-аута запросов ORB никак не связаны друг с другом.

[AIX Solaris HP-UX Linux Windows] [iSeries] В тестах, в которых параметры кэша идентификации были заданы таким образом, что в течение 20 минут ни разу не наблюдался тайм-аут кэша, достигался 40% выигрыш в производительности.

Тип данных Целое число
Единицы измерения Минуты и секунды
Значение по умолчанию 10 минут
Диапазон значений: Больше 30 секунд
Тайм-аут данных идентификации, передаваемых между серверами

Определяет срок действия идентификационных данных, полученных от другого сервера. По истечении этого периода идентификационные данные, полученные от другого сервера, необходимо подтвердить.

Укажите в этом поле значение, превышающее значение, указанное в поле Тайм-аут кэша идентификации.

Тип данных Целое число
Единицы измерения Минуты и секунды
Значение по умолчанию 120 минут
Диапазон значений: Целое число от 5 до 35971
Пароль

Укажите пароль для шифрования и расшифровки ключей LTPA из файла свойств SSO. При импорте этот пароль должен соответствовать паролю, применявшемуся при экспорте ключей на другом сервере LTPA (например, в другой ячейке серверов приложений, на сервере Lotus Domino Server и т.д.). При экспорте запомните этот пароль, чтобы использовать его во время импорта.

Сгенерированные или импортированные ключи применяются для шифрования или дешифровки ключей LTPA. Всякий раз при изменении пароля по нажатию кнопки OK или Применить автоматически генерируется новый набор ключей LTPA. Новый набор вступает в силу после сохранения изменений конфигурации.

Тип данных Строка
Подтверждение пароля

Подтверждение пароля для шифрования и расшифровки ключей LTPA.

Используйте этот пароль при импорте ключей в конфигурации административного домена другого сервера приложений и настройке SSO на сервере Lotus Domino.

Тип данных Строка
Полное имя файла ключей

Имя файла для импорта или экспорта ключей.

Введите полное имя файла ключей и нажмите Импортировать ключи или Экспортировать ключи.

Тип данных Строка
Внутренний ИД сервера

ИД сервера, используемый в межпроцессном взаимодействии серверов. При передаче по сети ИД сервера защищается маркером LTPA. Внутренний ИД сервера можно сделать единым в нескольких административных доменах (ячейках) серверов приложений. По умолчанию этот ИД совпадает с именем ячейки.

Внутренний ИД сервера следует применять только в среде не ниже версии 6.1. В ячейках со смешанными версиями используйте ИД пользователя сервера и пароль пользователя для обеспечения взаимодействия.

Для того чтобы вернуться к работе с ИД пользователя сервера и паролем для обеспечения взаимодействия, выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Хранилище учетных записей пользователей откройте выпадающий список Доступные определения областей, выберите реестр пользователей и нажмите Настроить.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Выберите опцию Идентификационные данные сервера хранятся в хранилище и укажите правильный ИД в хранилище и пароль.

[z/OS] Выберите опцию Автоматически сгенерированный ИД сервера или ИД пользователя для запущенной задачи z/OS.

Тип данных Строка
Импортировать ключи

Определяет, должен ли сервер импортировать новые ключи LTPA.

Поддержка единого входа в систему (SSO) в продукте сервера приложений, расположенного в нескольких доменах серверов приложений (ячейках), осуществляется посредством общих для доменов ключей LTPA и паролей. Для импорта ключей LTPA из других доменов можно использовать опцию Импортировать ключи. Ключи LTPA экспортируются в файл в одной из ячеек. Для того чтобы импортировать набор ключей LTPA, выполните следующие действия:
  1. Введите пароль в полях Пароль и Подтверждение пароля.
  2. Нажмите OK, затем Сохранить.
  3. Укажите каталог, где будут расположены ключи LTPA, и затем нажмите Импортировать ключи.
  4. Не нажимайте OK или Применить, но сохраните параметры.
Экспортировать ключи

Определяет, должен ли сервер экспортировать ключи LTPA.

Поддержка единого входа в систему (SSO) в продукте WebSphere, расположенном в нескольких доменах серверов приложений (ячейках), осуществляется посредством общих для доменов ключей LTPA и паролей. Для экспорта ключей LTPA в другой домен можно использовать опцию Экспортировать ключи.

При экспорте ключей LTPA убедитесь, что система работает с включенной защитой и применяет LTPA. Введите имя файла в поле Полное имя файла и нажмите Экспортировать ключи. Зашифрованные ключи будут записаны в файл.

Использовать SWAM - обмен данными между серверами без идентификации [AIX Solaris HP-UX Linux Windows]

Включает WebSphere Authentication Mechanism (SWAM). Идентификационные данные передаются между серверами без проверки. Когда процесс вызывает удаленный метод, его идентификация не проверяется. В зависимости от прав доступа к методам EJB могут возникать ошибки идентификации.

SWAM - устаревшая функция, которая в будущих выпусках будет удалена. Она рекомендована при использовании LTPA для идентификации связи между серверами.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной


Имя файла: usec_authmechandexpire.html