公共安全互操作性 V2 出站通信设置
使用此页面来指定服务器作为另一台下游服务器的客户机时所支持的功能。
- 单击 。
- 在 "认证" 中,单击 。
- CSIv2 属性层。 属性层可包含身份令牌,该身份令牌是已认证的上游服务器的标识。 属性层的优先级最高,消息层次之,传输层最低。 如果客户机发送所有三个层,那么只使用标识层。 如果请求期间提供的信息只有 SSL 客户机证书,才将此证书用作标识。 客户机从名称空间中检取可互操作的对象引用 (IOR),并且从加标记的组件读取值,以确定需要为安全性使用哪台服务器。
- CSIv2 传输层。 传输层(这是最低的一层),可包含作为标识的安全套接字层 (SSL) 客户机证书。
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
![[IBM i]](../images/ngibmi.svg)
CSIv2 消息层。 消息层可包含用户标识和密码或者有截止日期的已认证令牌。
传播安全性属性
指定此选项以便在登录请求期间支持安全性属性传播。 选择此选项后,应用程序服务器将保留有关登录请求的其他信息(例如使用的认证强度),并保留请求发起方的标识和位置。
如果未选择此选项,应用程序服务器就不接受传播到下游服务器的任何其他登录信息。
| 信息 | 值 |
|---|---|
| 缺省值: | 已启用 |
使用标识声明
指定身份断言是在下游 Enterprise JavaBeans (EJB) 调用期间从一个服务器向另一个服务器断言身份的一种方法。
此服务器将不重新认证已声明的标识,因为它信任上游服务器。 身份断言优先于其他所有的认证类型。
身份断言在属性层中执行,并且只可以在服务器上应用。 根据优先顺序规则在服务器上确定主体。 如果执行身份断言,那么总是从属性层派生标识。 如果在没有身份断言的情况下使用基本认证,那么将始终从消息层中派生出标识。 最后,如果在没有基本认证或身份断言的情况下执行 SSL 客户机证书认证,那么从传输层中派生出标识。
声明的标识是调用凭证,它是由企业 bean 的 RunAs 方式确定的。 如果 RunAs 方式为“客户机”,那么标识是客户机标识。 如果 RunAs 方式为“系统”,那么标识是服务器标识。 如果 RunAs 方式为“指定的”,那么标识是指定的一个标识。 接收服务器接收身份令牌中的标识,并且也接收客户机认证令牌中的发送服务器标识。 接收服务器通过“可信的服务器标识”输入框,将发送服务器标识验证为可信的标识。 输入以竖线 (|) 分隔的主体名称的列表,例如,serverid1|serverid2|serverid3。
所有身份令牌类型都映射至活动用户注册表的用户标识字段。 对于 ITTPrincipal 身份令牌,此令牌以一对一的形式映射至用户标识字段。 对于 ITTDistinguishedName 身份令牌,将第一个等号的值映射至用户标识字段。 对于 ITTCertChain 身份令牌,将专有名称的第一个等号的值映射至用户标识字段。
向 LDAP 用户注册表认证时,LDAP 过滤器确定类型为 ITTCertChain 和 ITTDistinguishedName 的标识如何映射至注册表。 如果令牌类型为 ITTPrincipal,那么主体映射至 LDAP 注册表中的 UID 字段。
| 信息 | 值 |
|---|---|
| 缺省值: | 已禁用 |
使用服务器信任的标识
指定服务器标识,应用程序服务器将使用此标识来与目标服务器建立信任关系。 可以通过下列其中一种方法来发送服务器标识:
- 服务器标识和密码(当注册表配置中指定了服务器密码时)。
- 轻量级第三方认证 (LTPA) 令牌中的服务器标识(当使用了内部服务器标识时)。
- 在注册表中配置服务器标识和密码。
- 选择服务器信任的标识选项,并指定可信标识和密码,以便发送可互操作的类属安全性服务用户名密码 (GSSUP) 令牌,而不是发送 LTPA 令牌。
| 信息 | 值 |
|---|---|
| 缺省值: | 已禁用 |
指定备用可信标识
指定一个备用用户作为要发送到目标服务器的可信标识(以代替发送服务器标识)。
对于身份断言,建议您选择此选项。 当在同一个单元中发送该标识时,将自动信任该标识,它无需包含在同一单元中的可信标识列表中。 但是,外部单元中目标服务器的注册表必须包含此标识,并且可信标识列表必须包含用户标识,否则在可信评估期间将拒绝此标识。
| 信息 | 值 |
|---|---|
| 缺省值: | 已禁用 |
可信标识
指定从发送服务器发送到接收服务器的可信标识。
如果在此字段中指定了标识,那么可以在已配置的用户帐户存储库的面板上选择此标识。 如果未指定标识,那么将在服务器之间发送轻量级第三方认证 (LTPA) 令牌。
![[z/OS]](../images/ngzos.svg)
指定以分号(;)或逗号 (,) 分隔的可信服务器标识列表,这些标识对于向此服务器执行身份断言是可信的。 例如,serverid1;serverid2;serverid3 或 serverid1,serverid2,serverid3。
使用此列表确定服务器是否是可信的。 即使服务器在列表上,为了接受发送服务器的身份令牌,发送服务器仍必须向接收服务器认证。
密码
指定与可信标识相关联的密码。
| 信息 | 值 |
|---|---|
| 数据类型: | 文本 |
确认密码
确认与可信标识相关联的密码。
| 信息 | 值 |
|---|---|
| 数据类型: | 文本 |
消息层认证
- Never
- 指定此服务器不能接受使用任何所选机制的认证。
- 受支持
- 指定与此服务器通信的客户机可使用任何所选机制进行认证。 然而,可以不使用此认证类型来调用方法。 例如,可能会改为使用匿名或客户机证书。
- 必需
- 指定与此服务器通信的客户机必须对任何方法请求使用所选机制来指定认证信息。
允许使用以下方法进行客户机至服务器认证:
指定使用 Kerberos、LTPA 或基本认证进行客户机至服务器的认证。
- Kerberos (KRB5)
- 选择此项以指定 Kerberos 作为认证机制。 您必须首先配置 Kerberos 认证机制。 有关更多信息,请参阅 使用管理控制台将 Kerberos 配置为认证机制 。
- LTPA
- 选择此选项以配置并启用轻量级第三方认证 (LTPA) 令牌认证。
- 基本认证
- 基本认证是类属安全性服务用户名密码 (GSSUP)。 此类型的认证通常包括将用户标识和密码从客户机发送到服务器来进行认证。
如果您选择基本认证和 LTPA,并且现行认证机制是 LTPA,那么服务器将使用用户名、密码或 LTPA 令牌进入下游服务器。
如果您选择基本认证和 KRB5,并且现行认证机制是 KRB5,那么服务器将使用用户名、密码、Kerberos 令牌或 LTPA 令牌进入下游服务器。
如果您未选择基本认证,那么服务器不会使用用户名和密码进入下游服务器。
传输
指定客户机进程是否使用一个服务器连接的传输连接到服务器。
您可以选择使用 SSL、TCP/IP 或这两者作为服务器支持的出站传输。 如果您指定 TCP/IP,服务器仅支持 TCP/IP 而不能启动与下游服务器的 SSL 连接。 如果指定 SSL-supported,那么此服务器可以启动 TCP/IP 或 SSL 连接。 如果指定 SSL-required,那么此服务器必须使用 SSL 来启动与下游服务器的连接。 当您指定 SSL 时,请决定要对出站配置使用的 SSL 配置设置集合。
此决策确定要用于与下游服务器的出站连接的密钥文件和信任文件。
- TCP/IP
- 如果您选择此选项,服务器仅打开与下游服务器的 TCP/IP 连接。
- 需要 SSL
- 如果您选择此选项,服务器打开与下游服务器的 SSL 连接。
- 支持 SSL
- 如果您选择此选项,服务器打开与支持他们的任何下游服务器的 SSL 连接,以及打开与不支持 SSL 的任何下游服务器的 TCP/IP 连接。
| 信息 | 值 |
|---|---|
| 缺省值: | 支持 SSL |
| 范围: | TCP/IP、需要 SSL、支持 SSL |
SSL 设置
指定要从入站连接选择的预定义的 SSL 设置的列表。
| 信息 | 值 |
|---|---|
| 数据类型: | 字符串 |
| 缺省值: |
DefaultSSLSettings |
| 缺省值: |
DefaultIIOPSSL |
| 范围: | 在“SSL 配置指令表”中配置的任何 SSL 设置 |
客户机证书认证
指定当在此服务器与下游服务器之间建立 SSL 连接时,倘若下游服务器支持客户机证书认证的话,是否使用已配置的密钥库中的客户机证书来向此服务器认证。
通常,客户机证书认证的性能比消息层认证高,但需要一些其他的设置步骤。 这些额外的步骤包括验证该服务器是否有个人证书,以及下游服务器是否有该服务器的签署者证书。
- Never
- 指定此服务器不会尝试向下游服务器进行安全套接字层 (SSL) 客户机证书认证。
- 受支持
- 指定此服务器可以使用 SSL 客户机证书向下游服务器进行认证。 然而,可以不使用此认证类型来调用方法。 例如,服务器可以改为使用匿名或基本认证。
- 必需
- 指定此服务器必须使用 SSL 客户机证书向下游服务器进行认证。
| 信息 | 值 |
|---|---|
| 缺省值: | 已启用 |
登录配置
指定用于入站认证的系统登录配置的类型。
您可以通过单击 来添加定制登录模块。 在 "认证" 中,单击 。
有状态会话
选择此选项以启用有状态的会话,这些会话主要用于提高性能。
客户机和服务器之间第一次联系必须充分认证。 但是,所有具有有效会话的后继联系将复用安全信息。 客户机将上下文标识传递给服务器,服务器将使用该标识查找会话。 上下文标识的作用域仅限于连接,这保证了唯一性。 只要安全会话无效并且已启用认证重试(缺省值),客户端安全拦截器就会使客户端会话失效,并且在用户不知道的情况下重新提交请求。 如果服务器上不存在会话,例如,服务器失败并恢复操作,会话已从会话高速缓存中删除,或者与集群的另一成员建立了会话,那么可能会发生此情况。 禁用此值时,每个方法调用都必须重新认证。
启用 CSIv2 会话高速缓存限制
指定是否限制 CSIv2 会话高速缓存的大小。
启用此选项时,必须对最大高速缓存大小和空闲会话超时选项设置值。 不启用此选项时,CSIv2 会话高速缓存不受限制。
在应用程序服务器的先前版本中,可能已将此值设置为 com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled 定制属性。 在此产品版本中,建议使用此管理控制台面板来设置此值,而不是将其作为定制属性。
| 信息 | 值 |
|---|---|
| 缺省值: | 否 |
最大高速缓存大小
指定会话高速缓存的最大大小,在达到此大小后会从高速缓存中删除到期的会话。
到期会话被定义为空闲时间超过在空闲会话超时 字段中指定的时间的会话。 指定最大高速缓存大小字段的值时,请考虑将其值设置为在 100 到 1000 个条目之间。
如果您所在环境使用 Kerberos 认证并且与配置的密钥分发中心 (KDC) 之间存在较短的时钟偏差,请考虑对此字段指定一个值。 在此方案中,较短的时钟偏差被定义为小于 20 分钟。 如果小高速缓存大小导致垃圾回收运行过于频繁,以至于影响到应用程序服务器的性能,那么请考虑增加此字段的值的大小。
在应用程序服务器的先前版本中,可能已将此值设置为 com.ibm.websphere.security.util.csiv2SessionCacheMaxSize 定制属性。 在此产品版本中,建议使用此管理控制台面板来设置此值,而不是将其作为定制属性。
仅当启用有状态的会话和启用 CSIv2 会话高速缓存限制选项时,此字段才适用。
| 信息 | 值 |
|---|---|
| 缺省值: | 缺省情况下,不设置此值。 |
| 范围: | 100 到 1000 个条目 |
空闲会话超时
此属性指定 CSIv2 会话在被删除之前可以保持空闲的时间(以毫秒计)。 如果选择“启用 CSIv2 会话高速缓存限制”选项且超过最大高速缓存大小字段的值,那么将删除会话。
仅当启用有状态的会话和启用 CSIv2 会话高速缓存限制选项时,此超时值才适用。 如果您所在环境使用 Kerberos 认证并且与配置的密钥分发中心 (KDC) 之间存在较短的时钟偏差,那么请考虑减小此字段的值。 在此方案中,较短的时钟偏差被定义为小于 20 分钟。 小幅时钟偏差会导致拒绝大量的 CSIv2 会话。 然而,将空闲会话超时字段值设置较小的值时,应用程序服务器可以更经常地清理这些拒绝的会话,从而可能减少资源短缺情况。
在先前版本的 WebSphere Application Server中,您可能已将此值设置为 com.ibm.websphere.security.util.csiv2SessionCacheIdleTime 定制属性。 在此产品版本中,建议使用此管理控制台面板来设置此值,而不是将其作为定制属性。 如果先前将其设置作为定制属性,设置的值以毫秒为单位,那么在此管理控制台面板中会将其转换为秒。 在此管理控制台面板上,必须指定此值(以毫秒计)。
| 信息 | 值 |
|---|---|
| 缺省值: | 缺省情况下,不设置此值。 |
| 范围: | 60 到 86,400 秒 |
定制出站映射
启用定制远程方法调用 (RMI) 出站登录模块的使用。
定制登录模块在执行预定义的 RMI 出站调用之前将映射或完成其他功能。
- 单击 。
- 从 "认证" 中,单击 。
可信认证域 - 出站
如果在不同领域之间进行 RMI/IIOP 通信,那么使用此链接来添加出站可信领域。
仅将凭证令牌发送至可信领域。 此外,用于接收令牌的服务器应通过使用入站可信领域配置来验证 LTPA 令牌从而信任此领域。