在 AOR 中完成 IPIC 安全性检查
这取决于在 AOR 中指定 LINKAUTH、SECURITYNAME 和 USERAUTH 的方式。
表 表 1, 表 2和 表 3 中显示的链接用户标识由 IPCONN 定义上的 LINKAUTH 和 SECURITYNAME 值确定。 如果指定了 LINKAUTH (SECUSER) ,那么将根据 SECURITYNAME 属性确定链接用户标识。 如果指定了 LINKAUTH (CERTUSER) ,那么将从外部安全管理器 (例如 RACF® ) 确定链接用户标识,该管理器将用户标识与 SSL 握手期间 TOR 传递的证书相关联。 LINKAUTH (SECUSER) 是缺省值。 SECURITYNAME 的缺省值是缺省用户标识。
如果链接用户标识与 AOR 的区域用户标识相同,那么该链接将被视为具有与 AOR 相同的安全性,并且将完全省略链接安全性。 省略的链接安全性的影响取决于使用 USERAUTH 属性为 AOR 中的 IPCONN 指定的值:
- 如果指定了 USERAUTH (LOCAL) ,那么将仅使用链接用户标识来完成安全性检查。
- 如果指定了 USERAUTH (DEFAULTUSER) ,那么仅使用 AOR 的缺省用户标识。
- 如果指定了 USERAUTH (IDENTIFY) 或 USERAUTH (VERIFY) ,那么不会使用链接用户标识。 仅使用从 TOR 接收的用户标识来确定安全性。
TOR 的区域用户标识或与 AOR 的 TOR 的 IPCONN 定义相关联的链接用户标识都与 AOR 中的安全性检查无关。
下表显示在指定 USERAUTH (LOCAL) 时如何执行检查。
| AOR 的区域用户标识 | 链接用户标识 | 检入 AOR |
|---|---|---|
| 用户标识 | 未指定 | 针对 AOR DFLTUSER 进行检查 |
| 用户标识 | 用户标识 | 针对 AOR DFLTUSER 进行检查 |
| 用户标识 | 用户标识 B | 对照 USERIDB 进行检查 |
下表显示指定 USERAUTH (DEFAULTUSER) 时如何执行检查。
| AOR 的区域用户标识 | 链接用户标识 | 检入 AOR |
|---|---|---|
| 用户标识 | 未指定 | 针对 AOR DFLTUSER 进行检查 |
| 用户标识 | 用户标识 | 针对 AOR DFLTUSER 进行检查 |
| 用户标识 | 用户标识 B | 针对 USERIDB 和 AOR DFLTUSER 进行检查 |
下表显示在指定 USERAUTH (IDENTIFY) 或 USERAUTH (VERIFY) 时如何执行检查。
| AOR 的区域用户标识 | 链接用户标识 | 检入 AOR |
|---|---|---|
| 用户标识 | 未指定 | 传输的用户标识和 AOR DFLTUSER |
| 用户标识 | 用户标识 | 仅传输用户标识 |
| 用户标识 | 用户标识 B | 传输的用户标识和 USERIDB |