公共安全互操作性 V2 入站通信设置
使用此页面来指定服务器为使客户机访问其资源所支持的功能。
- 单击 安全性> 全局安全性。
- 在“认证”下,单击 RMI/IIOP 安全性 > CSIv2 入站通信。
将公共安全互操作性 (CSI) 入站通信设置用于配置包含在入局请求或传输中的认证信息的类型。
- CSIv2 属性层。 属性层可包含身份令牌,该身份令牌是已认证的上游服务器的标识。 属性层的优先级最高,消息层次之,传输层最低。 如果客户机发送所有三个层,那么只使用标识层。 如果请求期间提供的信息只有 SSL 客户机证书,才将此证书用作标识。 客户机从名称空间中检取可互操作的对象引用 (IOR),并且从加标记的组件读取值,以确定需要为安全性使用哪台服务器。
- CSIv2 传输层。 传输层(这是最低的一层),可包含作为标识的安全套接字层 (SSL) 客户机证书。
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
![[IBM i]](../images/ngibmi.svg)
CSIv2 消息层。 消息层可包含用户标识和密码或者有截止日期的已认证令牌。
传播安全性属性
指定在登录请求期间支持安全性属性传播。 选择此选项后,应用程序服务器将保留有关登录请求的其他信息(例如使用的认证强度),并保留请求发起方的标识和位置。
如果未选择此选项,应用程序服务器就不接受传播到下游服务器的任何其他登录信息。
| 信息 | 值 |
|---|---|
| 缺省值: | 已启用 |
使用标识声明
指定身份断言是在下游 Enterprise JavaBeans (EJB) 调用期间从一个服务器向另一个服务器断言身份的一种方法。
此服务器将不重新认证已声明的标识,因为它信任上游服务器。 身份断言优先于其他所有的认证类型。
身份断言在属性层中执行,并且只可以在服务器上应用。 根据优先顺序规则在服务器上确定主体。 如果使用了身份断言,那么始终将从属性层派生标识。 如果在没有身份断言的情况下使用基本认证,那么将始终从消息层中派生出标识。 最后,如果在没有基本认证或身份断言的情况下执行 SSL 客户机证书认证,那么从传输层中派生出标识。
声明的标识是调用凭证,它是由企业 bean 的 RunAs 方式确定的。 如果 RunAs 方式为“客户机”,那么标识是客户机标识。 如果 RunAs 方式为“系统”,那么标识是服务器标识。 如果 RunAs 方式为“指定的”,那么标识是指定的一个标识。 接收服务器接收身份令牌中的标识,并且也接收客户机认证令牌中的发送服务器标识。 接收服务器通过“可信的服务器标识”输入框,将发送服务器标识验证为可信的标识。 输入以管道分隔的 (|) 主体名称的列表,例如,serverid1|serverid2|serverid3.
所有身份令牌类型都映射至活动用户注册表的用户标识字段。 对于 ITTPrincipal 身份令牌,此令牌以一对一的形式映射至用户标识字段。 对于 ITTDistinguishedName 身份令牌,将第一个等号的值映射至用户标识字段。 对于 ITTCertChain 身份令牌,将专有名称的第一个等号的值映射至用户标识字段。
向 LDAP 用户注册表认证时,LDAP 过滤器确定类型为 ITTCertChain 和 ITTDistinguishedName 的标识如何映射至注册表。 如果令牌类型为 ITTPrincipal,那么主体映射至 LDAP 注册表中的 UID 字段。
| 信息 | 值 |
|---|---|
| 缺省值: | 已禁用 |
![[z/OS]](../images/ngzos.svg)
当活动用户注册表是本地操作系统用户注册表, z/OS® 安全版本处于支持分布式身份映射的相应版本,并且 WebSphere® Application Server 版本 8.0: 之前没有节点时,将启用以下选项- 使用 SAF 分布式身份映射来映射证书和 DN
- 选择此选项会使用 RACMAP 过滤器将声明的证书和专有名称映射至
SAF 用户身份。
缺省值为未选中。 选中后,安全自定义属性com.ibm.websphere.security.certdn.useRACMAPMappingToSAF,被设定为true.
笔记:仅当活动用户注册表为本地操作系统、单元不是混合版本(之前没有节点)时,此选项才可见WebSphere Application Server版本8.0 ),以及z/OS安全产品支持 SAF 身份映射(用于RACF® , 这意味着z/OS版本1.11或更高版本)。笔记:如果您的 DN 名称在属性之间有空格,则应应用RACF急性肺损伤OA34258或 PTF UA59873以及 SAF APAR OA34259或 PTF UA59871,正确解析空白。
可信标识
指定从发送服务器发送到接收服务器的可信标识。
指定以竖线 (|) 分隔的可信服务器管理员用户标识列表,这些标识对于向此服务器执行身份断言是可信的。 例如serverid1|serverid2|serverid3. 应用程序服务器支持逗号 (,) 字符作为列表定界符以实现向后兼容性。 当竖线 (|) 无法找到有效的可信服务器标识时,应用程序服务器检查逗号字符。
使用此列表确定服务器是否是可信的。 即使服务器在列表上,为了接受发送服务器的身份令牌,发送服务器仍必须向接收服务器认证。
| 信息 | 值 |
|---|---|
| 数据类型: | 字符串 |
客户机证书认证
指定在方法请求期间,客户机和服务器之间建立初始连接时执行的认证。
在传输层中,发生安全套接字层 (SSL) 客户机证书认证。 在消息层中,使用基本认证(用户标识和密码)。 通常客户机证书认证的性能比消息层认证高,但需要一些其他的设置。 这些附加步骤包括验证服务器信任与其连接的每个客户机的签署者证书。 如果客户机使用认证中心 (CA) 来创建它的个人证书,那么您只需要在 SSL 信任文件的服务器签署者部分中有 CA 根证书。
向轻量级目录访问协议 (LDAP) 用户注册表认证证书时,将根据配置 LDAP 时指定的过滤器来映射专有名称 (DN)。 向本地操作系统用户注册表认证证书时,证书中专有名称 (DN) 的第一个属性(通常是公共名)映射至注册表中的用户标识。
向本地操作系统用户注册表认证证书时,证书映射至注册表中的用户标识。
仅当不向服务器提供其他认证层时,才使用客户机证书的标识。
- Never
- 指定客户机不能尝试向此服务器进行安全套接字层 (SSL) 客户机证书认证。
- 受支持
- 指定连接到此服务器的客户机可以使用 SSL 客户机证书进行认证。 但是,服务器可以不使用此认证类型而调用方法。 例如,可以改为使用匿名或基本认证。注: 当为服务器上的 CSIv2 入站认证设置 "支持" 时,将使用客户机证书进行认证。
- 必需
- 指定连接到此服务器的客户机在调用方法之前必须使用 SSL 客户机证书进行认证。
当活动用户注册表是本地操作系统用户注册表, z/OS 安全版本处于支持分布式身份映射的相应版本,并且 WebSphere Application Server 版本 8.0: 之前没有节点时,将启用以下选项- 使用 SAF 分布式身份映射来映射证书
- 选择此选项会使用 RACMAP 过滤器将在 CSIv2 传输层中收到的证书映射至
SAF 用户身份。
缺省值为未选中。 选中后,安全自定义属性com.ibm.websphere.security.certificate.useRACMAPMappingToSAF,被设定为true.
笔记:仅当活动用户注册表为本地操作系统、单元不是混合版本(之前没有节点)时,此选项才可见WebSphere Application Server版本8.0 ),以及z/OS安全产品支持 SAF 身份映射(用于RACF, 这意味着z/OS版本1.11或更高版本)。
传输
指定客户机进程是否使用它的一个已连接传输连接到服务器。
可以选择将安全套接字层 (SSL) 和/或 TCP/IP 作为服务器支持的入站传输。 如果您指定 TCP/IP,服务器仅支持 TCP/IP 而不能接受 SSL 连接。 如果您指定支持 SSL,此服务器可以支持 TCP/IP 连接或 SSL 连接。 如果您指定需要 SSL,那么与它通信的任何服务器都必须使用 SSL。
- TCP/IP
- 如果您选择 TCP/IP,那么服务器只打开 TCP/IP 侦听器端口并且所有入站请求都没有 SSL 保护。
- 需要 SSL
- 如果您选择需要 SSL,那么服务器只打开 SSL 侦听器端口并且使用 SSL 接收所有入站请求。
- 支持 SSL
- 如果您选择支持 SSL,那么服务器打开 TCP/IP 和 SSL 侦听器端口,并且使用 SSL 接收多数入站请求。
为下列端口提供固定的端口号。 如果端口号为 0,那么表示将在运行时动态指定端口号。
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
ORB_SSL_LISTENER_ADDRESS| 信息 | 值 |
|---|---|
| 缺省值: | 需要 SSL |
| 范围: | TCP/IP、需要 SSL、支持 SSL |
SSL 设置
指定要从入站连接选择的预定义的 SSL 设置的列表。
注: 除非单元中同时存在 V 6.1 和更低版本的节点,否则此选项在 z/OS 平台上不可用。| 信息 | 值 |
|---|---|
| 数据类型: | 字符串 |
| 缺省值: |
DefaultSSLSettings |
| 缺省值: |
DefaultIIOPSSL |
| 范围: | 在“SSL 配置指令表”中配置的任何 SSL 设置 |
消息层认证
- Never
- 指定此服务器不能接受使用任何以下所选机制的认证。
- 受支持
- 指定与此服务器通信的客户机可使用任何以下所选机制进行认证。 然而,可以不使用此认证类型来调用方法。 例如,可能会改为使用匿名或客户机证书。
- 必需
- 指定与此服务器通信的客户机必须对任何方法请求使用以下所选机制来指定认证信息。
允许使用以下方法进行客户机至服务器认证:
指定使用 Kerberos、LTPA 或基本认证进行客户机至服务器的认证。
- Kerberos (KRB5)
- 选择此项以指定 Kerberos 作为认证机制。 您必须首先配置 Kerberos 认证机制。 有关更多信息,请参阅 使用管理控制台将 Kerberos 配置为认证机制 。
- LTPA
- 选择此项以指定 LTPA 令牌认证
- 基本认证
- 基本认证是类属安全性服务用户名密码 (GSSUP)。 此类型的认证通常包括将用户标识和密码从客户机发送到服务器来进行认证。
如果您选择基本认证和 LTPA,并且现行认证机制是 LTPA,那么接受用户名、密码和 LTPA 令牌。
如果您选择基本认证和 KRB5,并且现行认证机制是 KRB5,那么接受用户名、密码、Kerberos 令牌和 LTPA 令牌。
如果您未选择基本认证,那么服务器将不接受用户名和密码。
登录配置
指定用于入站认证的系统登录配置的类型。
可以通过单击安全性 > 全局安全性添加定制登录模块。 从 "认证" 中,单击 Java™ 认证和授权服务> 系统登录。
有状态会话
选择此选项以启用有状态的会话,这些会话主要用于提高性能。
客户机和服务器之间第一次联系必须充分认证。 但是,所有具有有效会话的后继联系将复用安全信息。 客户机将上下文标识传递给服务器,服务器将使用该标识查找会话。 上下文标识的作用域仅限于连接,这保证了唯一性。 只要安全会话无效并且已启用认证重试(缺省值),客户端安全拦截器就会使客户端会话失效,并且在用户不知道的情况下重新提交请求。 如果服务器上不存在该会话,那么可能发生这种情况;例如,服务器失败并且继续操作。 禁用此值时,每个方法调用都必须重新认证。
| 信息 | 值 |
|---|---|
| 缺省值: | 已启用 |
可信认证域 - 入站
选择此链接以建立领域的入站信任。 入站认证域设置不是特定于 CSIv2 的;您也可以为多个安全域配置要给哪些领域授予入站信任。
入站认证指的是确定用于入站请求的接受认证类型的配置。 在客户机从名称服务器检索的可互操作对象引用 (IOR) 中通告了此认证。