このページを使用して、共有鍵を指定し、サーバー間の情報の交換に使用される認証メカニズムを構成します。 またこのページは、認証情報の有効期間の指定、およびシングル・サインオン構成の指定にも使用します。
構成済みの鍵ストアに新規の LTPA 鍵セットを生成するかどうか、また新規の鍵を使ってランタイムを更新するかどうかを指定します。 デフォルトでは、LTPA 鍵は 90 日ごとのスケジュールで再生成され、曜日に対して構成可能となります。
新規の各 LTPA 鍵のセットは、鍵セット・グループに関連づけられた鍵ストアに保管されます。 鍵の最大数を (1 の場合でも) 構成することができます。 しかし、少なくとも 2 つの鍵を持っておくことを推奨します。 新しい鍵が配布される一方で、古い鍵を妥当性検査に使用することができるからです。
このステップは、セキュリティーを使用可能にしている間は必要ありません。 デフォルトの鍵セットは、最初にサーバーを始動する際に作成されます。 鍵生成イベントの間にダウンしているノードがある場合は、再始動の前にデプロイメント・マネージャーでそのノードを同期化する必要があります。
キャッシュ内の認証クレデンシャルの有効期限の期間を指定します。 この期間が、「Timeout value for forwarded credentials between servers」フィールドの値よりも少ないことを確認してください。
アプリケーション・サーバー・インフラストラクチャーのセキュリティーが使用可能になっている場合、 セキュリティー・キャッシュのタイムアウトによってパフォーマンスが影響を受ける可能性があります。 このタイムアウト設定値では、セキュリティー関連のキャッシュのリフレッシュ頻度が指定されます。 キャッシュに入るのは、Bean、許可、およびクレデンシャルに関するセキュリティー情報です。 キャッシュ・タイムアウトが満了すると、 タイムアウト期間中にアクセスされなかった すべてのキャッシュされた情報は、キャッシュからパージされます。 その後でその情報に関する要求が行われると、データベースが検索されます。 情報を獲得するために、Lightweight Directory Access Protocol (LDAP) バインド またはネイティブの認証を呼び出すことが必要になる場合があります。 この呼び出しでは両方とも、比較的にパフォーマンスのコストがかかります。そのサイトの使用パターンとセキュリティーの必要性を検討して、アプリケーションにとって最適なトレードオフを決定してください。
デフォルトのセキュリティー・キャッシュ・タイムアウト値は 10 分です。ユーザーが少ない場合はもっ と長く、または、ユーザーが多い場合はもっと短い時間にする必要があります。
LTPA タイムアウト値は、セキュリティー・キャッシュ・タイムアウト以上でなければなりません。 また、LTPA タイムアウト値は ORB 要求タイムアウト値よりも長く設定することも推奨されます。 しかし、セキュリティー・キャッシュ・タイムアウト値と ORB 要求タイムアウト値との間には何の関係もありません。
20 分間のパフォーマンス・テストでは、
タイムアウトが生じないようにキャッシュ・タイムアウトを設定すると、
パフォーマンスが 40% 向上します。
データ型 | 整数 |
単位 | 分および秒 |
デフォルト | 10 分 |
範囲: | 30 秒より大 |
SSO プロパティー・ファイルから LTPA 鍵を暗号化および暗号化解除するために使用するパスワードを入力します。 インポートの間、このパスワードは他の LTPA サーバー (例えば、他のアプリケーション・サーバー・セル、Lotus Domino Server など) で 鍵をエクスポートするのに使用するパスワードと一致する必要があります。 インポート操作で指定するときのために、エクスポートの間にこのパスワードを覚えておくようにしてください。
これらの鍵は、生成またはインポートされると、 LTPA トークンの暗号化および暗号化解除に使用されるようになります。 パスワードが変更された場合、「OK」または「適用」をクリックすると、 新しい LTPA 鍵のセットが自動的に生成されます。 この新規の鍵セットは、構成変更の保管後に使用されます。
データ型 | ストリング |
LTPA 鍵を暗号化および暗号化解除するために使用する、確認済みパスワードを指定します。
このパスワードは、他のアプリケーション・サーバーの管理可能ドメイン構成にこれらの鍵をインポートしたり、Lotus Domino Server のための SSO を構成したりする際に使用します。
データ型 | ストリング |
鍵をインポートまたはエクスポートするときに使用されるファイルの名前を指定します。
完全修飾された鍵ファイル名を入力し、 「鍵のインポート」または「鍵のエクスポート」をクリックしてください。
データ型 | ストリング |
サーバー同士のプロセス間通信に使用されるサーバー ID を指定します。 サーバー ID はリモート側で送信されると LTPA トークンで保護されます。内部サーバー ID を編集して、複数のアプリケーション・サーバー管理可能ドメイン (セル) 間で使用されるサーバー ID と同一にすることができます。デフォルトでは、この ID はセル名になります。
この内部サーバー ID は、バージョン 6.1 以上の環境でのみ使用します。 混合バージョンのセルでは、インターオペラビリティー用にサーバー・ユーザー ID とサーバー・パスワードに使用を変更する必要があります。
「自動的に生成されたサーバー ID
」オプションまたは「z/OS 開始タスクのユーザー ID」オプションを指定できます。
データ型 | ストリング |
サーバーが新規 LTPA 鍵をインポートするかどうかを指定します。
サーバーが LTPA 鍵をエクスポートするかどうかを指定します。
複数のアプリケーション・サーバー・ドメイン (セル) で WebSphere 製品へのシングル・サインオン (SSO) をサポートするには、それらのドメイン間で LTPA 鍵とパスワードを共用してください。「鍵のエクスポート」オプションを使用すれば、LTPA 鍵を他のドメインにエクスポートできます。
LTPA 鍵をエクスポートするためには、システムがセキュリティーを有効にして、 LTPA を使用して実行されていることを確認してください。 「Fully qualified key file name」フィールドにファイル名を入力し、「鍵のエクスポート」をクリックしてください。指定されたファイルに暗号化された鍵が保管されます。