Параметры входящих соединений Common Secure Interoperability Version 2

Эта страница предназначена для задания возможностей, поддерживаемых сервером при обращении клиентов к ресурсам.

Для просмотра этой страницы административной консоли выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Идентификация выберите Защита RMI/IIOP > Входящие соединения CSIv2.

Параметры входящих соединений Common Secure Interoperability позволяют настроить содержимое идентификационной информации, передаваемой во входящем запросе или транспортной протоколе.

Возможно одновременное использование трех уровней идентификации:
Распространение атрибутов защиты

Поддерживать распространение атрибутов защиты при запросах на вход в систему, таких как стойкость метода идентификации. Также сохраняется субъект и расположение источника запроса.

Если параметр выключен, сервер приложений не будет принимать дополнительную идентификационную информацию для передачи подчиненным серверам.

По умолчанию: Включен
Важное замечание: При использовании служб репликации убедитесь, что опция Распространить атрибуты защиты включена.
Применять подтверждение идентификации

Использовать этот способ проверки субъектов при вызове объектов JavaBeans (EJB) на подчиненном сервере.

Этот сервер не идентифицирует проверенный субъект повторно, т.к. доверяет управляющему серверу. Подтверждение идентификации имеет больший приоритет, чем другие виды идентификации.

Подтверждение идентификации выполняется на уровне атрибутов и применимо только на серверах. Субъект, определяемый на сервере, зависит от правил приоритета. Если выполняется подтверждение идентификации, субъект всегда получается на уровне атрибутов. Если выполняется простая идентификация без подтверждения идентификации, субъект всегда получается на уровне сообщений. Если же выполняется простая идентификация на основе сертификата клиента SSL (без простой и подтверждения идентификации), то субъект получается на уровне транспортного протокола.

Проверяемый субъект - одноразовое разрешение на вызов объекта EJB, определяемое режимом RunAs. Если режим RunAs - Клиент, субъект является субъектом клиента. Если режим RunAs - Система, субъект является субъектом сервера. Если режим RunAs - Указанный, субъект является явно указанным субъектом. Принимающий сервер получает субъект в ключе идентификации, а также субъект передающего сервера в ключей идентификации клиента. Принимающий сервер проверяет субъект передающего сервера как доверенный через список ИД доверенных серверов. Введите ИД серверов через символ конвейера "|", например ид-сервера-1|ид-сервера-2|ид-сервера-3.

Все типы ключей идентификации ставятся в соответствие с полем ИД пользователя текущего реестра пользователей. Ключ идентификации ITTPrincipal в точности совпадает с полем ИД пользователя. Для ключа идентификации ITTDistinguishedName поле ИД пользователя содержит значение первого атрибута ключа (после знака "="). Для ключа идентификации ITTCertChain поле ИД пользователя также содержит значение первого атрибута отличительного имени (после знака "=").

При идентификации в реестре пользователей LDAP то, каким образом ключам идентификации типов ITTCertChain и ITTDistinguishedName ставятся в соответствие пользователи и группы реестра, определяется фильтрами LDAP. Если ключ идентификации имеет тип ITTPrincipal, субъекту ставится в соответствие поле ИД пользователя в реестре LDAP.

По умолчанию: Выключено
Доверенные субъекты

Доверенный субъект, передаваемый подчиненному серверу.

Список ИД администраторов доверенных серверов через символ "|", используемых для подтверждения идентификации. Например, ид-сервера-1|ид-сервера-2|ид-сервера-3. Сервер приложений допускает использования в качестве разделителя также запятую (,). Если при интерпретации списка как разделенного символами конвейера (|) ИД доверенного сервера не находится, в качестве разделителя принимается запятая и интерпретация повторяется.

Этот список определяет, является ли сервер доверенным. Но даже если передающий сервер входит в список, он все равно должен идентифицировать себя для принятия принимающим сервером его ключа идентификации.

Тип данных: Строка
Идентификация на основе сертификата клиента

Указывает, идентификация выполняется во время запроса метода при создании начального соединения.

Идентификация на основе сертификата клиента SSL выполняется на уровне транспортного протокола. Простая идентификация (по ИД пользователя и паролю) выполняется на уровне сообщений. Обычно идентификация на основе сертификата клиента работает лучше, но требует дополнительную настройку, в т.ч. проверка сертификатов подписантов. Если для создания личного сертификата клиент воспользовался услугами сертификатной компания (CA) для его проверки требуется только базовый сертификат CA в разделе подписанта сервера файла с доверенными ключами SSL.

[AIX Solaris HP-UX Linux Windows] [iSeries] При идентификации сертификата в реестре пользователей LDAP отличительное имя (DN) ставится в соответствие на основе фильтра, определяемого при настройке LDAP. Если сертификат идентифицируется в реестре локальной ОС, ИД пользователя в реестре ставится в соответствие первый атрибут отличительного имени (DN) в сертификате, являющийся обычно общим именем.

[z/OS] При идентификации сертификата в реестре локальной ОС он ставится в соответствие ИД пользователя в реестре.

Идентификационные данные сертификатов клиентов используются только если недоступные другие виды идентификации.

Никогда
Запрещает идентификацию на основе сертификата клиента Secure Sockets Layer (SSL).
Поддерживается
Разрешает идентификацию на основе сертификата клиента SSL. При этом остаются допустимыми альтернативные методы идентификации, например анонимный доступ или простая идентификация.
[z/OS] Прим.: Если на сервере для идентификации входящих событий CSIv2 задано значение "Поддерживается", то для идентификации используется сертификат клиента.
Обязательный
Делает идентификацию на основе сертификата клиента SSL обязательной.
Транспортный протокол

Транспортные протоколы, используемые процессами клиента для подключения к серверу.

Доступны варианты SSL и/или TCP/IP. При указании TCP/IP сервер будет поддерживать только TCP/IP и не сможет устанавливать SSL-соединения. При указании SSL - поддерживается серверу будет принимать как соединения TCP/IP, так и SSL. При указании SSL - обязательно серверы смогут подключаться к данному только с помощью SSL.

Прим.: Эта опция доступна на платформе z/OS, только если в ячейке присутствуют версии 6.0.x и более ранние.
TCP/IP
Использовать для входящих соединений только протокол TCP/IP.
SSL - обязательно
Использовать для входящих соединений только протокол SSL.
SSL - поддерживается
Разрешить использовать для входящих соединений как протокол SSL, так и TCP/IP, однако предпочитать SSL.
Введите номера для следующих портов. Значение 0 означает генерацию номера динамически. [AIX Solaris HP-UX Linux Windows] [iSeries]

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]

ORB_SSL_LISTENER_ADDRESS

По умолчанию: SSL - поддерживается
Диапазон значений: TCP/IP, SSL - обязательно, SSL - поддерживается
Параметры SSL

Список предопределенных параметров SSL, доступных для входящего соединения.

[z/OS] Прим.: Эта опция доступна на платформе z/OS, только если в ячейке присутствуют версии 6.0.x и более ранние.
Тип данных: Строка
[AIX Solaris HP-UX Linux Windows] [iSeries] По умолчанию: DefaultSSLSettings
[z/OS] По умолчанию: DefaultIIOPSSL
Диапазон значений: Параметры SSL настраиваются на панели Система команд SSL
Идентификация уровня сообщений

Для идентификации уровня сообщений доступны следующие значения:
Никогда
Запрещает идентификацию на основе ИД пользователя и пароля.
Поддерживается
Разрешает идентификацию на основе ИД пользователя и пароля. При этом использование этого метода идентификации не обязательно. Например, возможен анонимный доступ или на идентификация основе сертификата клиента.
Обязательный
Делает идентификацию на основе ИД пользователя и пароля обязательной.
Разрешить клиенту идентифицироваться на сервере с помощью:

Разрешает клиенту идентифицироваться на сервере с помощью Kerberos, LTPA или простой идентификации.

Для идентификации клиента на сервере доступны следующие опции:
Kerberos (KRB5)
Выбирает в качестве механизма идентификации Kerberos. Механизм вначале необходимо настроить. Дополнительная информация приведена в разделе Настройка простой идентификации Kerberos с помощью административной консоли.
LTPA
Выбирает идентификацию на основе ключей LTPA
Простая идентификация
Простая идентификация строится на основе имени и пароля пользователя для базовых служб защиты (GSSUP). Этот тип идентификации состоит в отправке клиентом ИД пользователя и пароля.

Если для идентификации используется LTPA, то при выборе Простая идентификация и LTPA принимаются имя пользователя, пароль и ключи LTPA.

Если для идентификации используется KRB5, то при выборе Простая идентификация и KRB5 принимаются имя пользователя, пароль, ключ Kerberos и ключи LTPA.

Если Простая идентификация не выбрана, сервер не принимает имя пользователя и пароль.

Конфигурация сеанса

Тип конфигурации сеанса системы, используемый при входящей идентификации.

Пользовательские модули сеанса можно добавить в Защита > Глобальная защита. В разделе Идентификация нажмите Служба идентификации Java > Сеансы системы.

Сеансы с сохранением состояния

Включить сохранение состояния. Оно используется в основном для улучшения производительности.

При первом контакте клиента с сервером необходимо выполнение полной идентификации. Однако при последующих контактах, если сеанс остается в силе, используются уже полученные данные идентификации. Клиент передает серверу ИД контекста, на основе которого находится нужный сеанс. Область видимости ИД контекста - соединение, что гарантирует его уникальность. Если сеанс недействителен и повтор идентификации включен (по умолчанию), последняя выполняется полностью заново и создается новый сеанс. Это происходит незаметно для пользователя. Эта ситуация может возникнуть при отсутствии сеанса на сервере; например, произошел сбой сервера и его работа была восстановлена. Если этот параметр выключен, идентификация должна выполняться каждый раз заново.

По умолчанию: Включен
Доверенные области идентификации - входящие

Позволяет установить входящие доверительные отношения для областей. Параметры области не относятся к определенному CSIv2; при наличии нескольких доменов защиты можно задать, с какими областями следует установить входящие доверительные отношения.

Понятие Входящая идентификация относится к конфигурации, которая определяет тип идентификации, применяемой для входящих запросов. Эта идентификация объявляется в объектной ссылке типа IOR (Interoperable Object Reference), которую клиент получает от сервера имен.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной
Ссылки, связанные с данной
Параметры конфигурации сеансов системы для службы идентификации Java
Механизмы идентификации и срок действия


Имя файла: usec_inbound.html