公共安全互操作性 V2 入站通信设置

指定在登录请求期间支持安全性属性传播。 选择此选项后，应用程序服务器将保留有关登录请求的其他信息（例如使用的认证强度），并保留请求发起方的标识和位置。

如果未选择此选项，应用程序服务器就不接受传播到下游服务器的任何其他登录信息。

指定身份断言是在下游 Enterprise JavaBeans (EJB) 调用期间从一个服务器向另一个服务器断言身份的一种方法。

此服务器将不重新认证已声明的标识，因为它信任上游服务器。 身份断言优先于其他所有的认证类型。

身份断言在属性层中执行，并且只可以在服务器上应用。 根据优先顺序规则在服务器上确定主体。 如果使用了身份断言，那么始终将从属性层派生标识。 如果在没有身份断言的情况下使用基本认证，那么将始终从消息层中派生出标识。 最后，如果在没有基本认证或身份断言的情况下执行 SSL 客户机证书认证，那么从传输层中派生出标识。

声明的标识是调用凭证，它是由企业 bean 的 RunAs 方式确定的。 如果 RunAs 方式为“客户机”，那么标识是客户机标识。 如果 RunAs 方式为“系统”，那么标识是服务器标识。 如果 RunAs 方式为“指定的”，那么标识是指定的一个标识。 接收服务器接收身份令牌中的标识，并且也接收客户机认证令牌中的发送服务器标识。 接收服务器通过“可信的服务器标识”输入框，将发送服务器标识验证为可信的标识。 输入以竖线 (|) 分隔的主体名称的列表，例如，serverid1|serverid2|serverid3。

所有身份令牌类型都映射至活动用户注册表的用户标识字段。 对于 ITTPrincipal 身份令牌，此令牌以一对一的形式映射至用户标识字段。 对于 ITTDistinguishedName 身份令牌，将第一个等号的值映射至用户标识字段。 对于 ITTCertChain 身份令牌，将专有名称的第一个等号的值映射至用户标识字段。

向 LDAP 用户注册表认证时，LDAP 过滤器确定类型为 ITTCertChain 和 ITTDistinguishedName 的标识如何映射至注册表。 如果令牌类型为 ITTPrincipal，那么主体映射至 LDAP 注册表中的 UID 字段。

当活动用户注册表是本地操作系统用户注册表， z/OS® 安全版本处于支持分布式身份映射的相应版本，并且 WebSphere® Application Server 版本 8.0: 之前没有节点时，将启用以下选项

使用 SAF 分布式身份映射来映射证书和 DN

选择此选项会使用 RACMAP 过滤器将声明的证书和专有名称映射至 SAF 用户身份。

缺省值为未选中。 选中后，安全自定义属性 com.ibm.websphere.security.certdn.useRACMAPMappingToSAF, 将设置为布尔值：是。

注: 仅当活动用户注册表为 "本地操作系统" ，单元不是混合版本 ( WebSphere Application Server 版本 8.0之前没有节点) ，并且 z/OS 安全产品支持 SAF 身份映射 (对于 RACF®，这表示 z/OS 版本 1.11 或更高版本) 时，才会显示此选项。

注: 如果 DN 名称在属性之间有空格，那么应应用 RACF APAR OA34258或 PTF UA59873和 SAF APAR OA34259或 PTF UA59871以正确解析空格。

指定从发送服务器发送到接收服务器的可信标识。

指定以竖线 (|) 分隔的可信服务器管理员用户标识列表，这些标识对于向此服务器执行身份断言是可信的。 例如，serverid1|serverid2|serverid3。 应用程序服务器支持逗号 (,) 字符作为向后兼容性的列表定界符。 当竖线 (|) 无法找到有效的可信服务器标识时，应用程序服务器检查逗号字符。

使用此列表确定服务器是否是可信的。 即使服务器在列表上，为了接受发送服务器的身份令牌，发送服务器仍必须向接收服务器认证。

指定在方法请求期间，客户机和服务器之间建立初始连接时执行的认证。

在传输层中，发生安全套接字层 (SSL) 客户机证书认证。 在消息层中，使用基本认证（用户标识和密码）。 通常客户机证书认证的性能比消息层认证高，但需要一些其他的设置。 这些附加步骤包括验证服务器信任与其连接的每个客户机的签署者证书。 如果客户机使用认证中心 (CA) 来创建它的个人证书，那么您只需要在 SSL 信任文件的服务器签署者部分中有 CA 根证书。

向轻量级目录访问协议 (LDAP) 用户注册表认证证书时，将根据配置 LDAP 时指定的过滤器来映射专有名称 (DN)。 向本地操作系统用户注册表认证证书时，证书中专有名称 (DN) 的第一个属性（通常是公共名）映射至注册表中的用户标识。

向本地操作系统用户注册表认证证书时，证书映射至注册表中的用户标识。

仅当不向服务器提供其他认证层时，才使用客户机证书的标识。

当活动用户注册表是本地操作系统用户注册表， z/OS 安全版本处于支持分布式身份映射的相应版本，并且 WebSphere Application Server 版本 8.0: 之前没有节点时，将启用以下选项

使用 SAF 分布式身份映射来映射证书

选择此选项会使用 RACMAP 过滤器将在 CSIv2 传输层中收到的证书映射至 SAF 用户身份。

缺省值为未选中。 选中后，安全自定义属性 com.ibm.websphere.security.certificate.useRACMAPMappingToSAF, 将设置为true.

注: 仅当活动用户注册表为 "本地操作系统" ，单元不是混合版本 ( WebSphere Application Server 版本 8.0之前没有节点) ，并且 z/OS 安全产品支持 SAF 身份映射 (对于 RACF，这表示 z/OS 版本 1.11 或更高版本) 时，才会显示此选项。

指定客户机进程是否使用它的一个已连接传输连接到服务器。

可以选择将安全套接字层 (SSL) 和/或 TCP/IP 作为服务器支持的入站传输。 如果您指定 TCP/IP，服务器仅支持 TCP/IP 而不能接受 SSL 连接。 如果您指定支持 SSL，此服务器可以支持 TCP/IP 连接或 SSL 连接。 如果您指定需要 SSL，那么与它通信的任何服务器都必须使用 SSL。

为下列端口提供固定的端口号。 如果端口号为 0，那么表示将在运行时动态指定端口号。

CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
sas_ssl_serverauth_listener_address CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS

ORB_SSL_LISTENER_ADDRESS

指定要从入站连接选择的预定义的 SSL 设置的列表。

注: 除非单元中同时存在 V 6.1 和更低版本的节点，否则此选项在 z/OS 平台上不可用。

信息	值
数据类型：	字符串
缺省值:	DefaultSSLSettings
缺省值：	DefaultIIOPSSL
范围：	在“SSL 配置指令表”中配置的任何 SSL 设置

指定使用 Kerberos、LTPA 或基本认证进行客户机至服务器的认证。

如果您选择基本认证和 LTPA，并且现行认证机制是 LTPA，那么接受用户名、密码和 LTPA 令牌。

如果您选择基本认证和 KRB5，并且现行认证机制是 KRB5，那么接受用户名、密码、Kerberos 令牌和 LTPA 令牌。

如果您未选择基本认证，那么服务器将不接受用户名和密码。

指定用于入站认证的系统登录配置的类型。

您可以通过单击 安全性 > 全局安全性来添加定制登录模块。 在 "认证" 中，单击 Java 认证和授权服务 > 系统登录。

选择此选项以启用有状态的会话，这些会话主要用于提高性能。

客户机和服务器之间第一次联系必须充分认证。 但是，所有具有有效会话的后继联系将复用安全信息。 客户机将上下文标识传递给服务器，服务器将使用该标识查找会话。 上下文标识的作用域仅限于连接，这保证了唯一性。 只要安全会话无效并且已启用认证重试（缺省值），客户端安全拦截器就会使客户端会话失效，并且在用户不知道的情况下重新提交请求。 如果服务器上不存在该会话，那么可能发生这种情况；例如，服务器失败并且继续操作。 禁用此值时，每个方法调用都必须重新认证。

选择此链接以建立领域的入站信任。 入站认证域设置不是特定于 CSIv2 的；您也可以为多个安全域配置要给哪些领域授予入站信任。

入站认证指的是确定用于入站请求的接受认证类型的配置。 在客户机从名称服务器检索的可互操作对象引用 (IOR) 中通告了此认证。