Lightweight Third Party Authentication

LTPA (Lightweight Third Party Authentication) ist für Umgebungen mit verteilten, mehreren Anwendungsservern und Maschinen vorgesehen. LTPA unterstützt Berechtigungsnachweise zur Weiterleitung und SSO. LTPA kann die Sicherheit in einer verteilten Umgebung durch Verschlüsselung unterstützen. Mit dieser Unterstützung kann LTPA Authentifizierungsdaten verschlüsseln, digital unterzeichnen, sicher übertragen und später entschlüsseln und die Signatur überprüfen.

Anwendungsserver, die auf mehrere Knoten und Zellen verteilt sind, können mit dem Protokoll LTPA sicher kommunizieren. Außerdem wird das Feature Single Sign-On (SSO) unterstützt. Durch die Verwendung dieses Features muss ein Benutzer nur noch einmal in der DNS-Domäne (Domain Name System) authentifiziert werden und kann dann ohne erneute Abfrage auf Ressourcen in anderen Zellen von WebSphere Application Server zugreifen. Bei den Realmnamen für die Systeme in der DNS-Domäne wird zwischen der Groß-/Kleinschreibung unterschieden. Die Namen müssen exakt übereinstimmen.

[IBM i][AIX HP-UX Solaris]Bei einer LocalOS-Registry entspricht der Realmname dem Hostnamen.

[Windows]Bei einer LocalOS-Registry ist der Realmname der Domänenname, wenn ein Domänenname verwendet wird, andernfalls ist es der Maschinenname.

Bei Lightweight Directory Access Protocol (LDAP) ist der Realmname die Host:Port-Kombination des LDAP-Servers.

Das Protokoll LTPA verwendet Chiffrierschlüssel zum Verschlüsseln und Entschlüsseln von Benutzerdaten, die zwischen Servern ausgetauscht werden. Die unterschiedlichen Zellen müssen dieselben Schlüssel für die Ressourcen in einer Zelle verwenden, um auf die Ressourcen in anderen Zellen zugreifen zu können ,sofern alle betroffenen Zellen dieselbe LDAP- oder angepasste Registry verwenden).

Bei Verwendung von LTPA wird ein Token mit Benutzerinformationen und Verfallsdatum erzeugt, das durch die Schlüssel signiert wird. Das LTPA-Token ist zeitabhängig. Datum, Zeit und Zeitzone aller Produktserver, die an einer geschützten Domäne teilnehmen, müssen synchronisiert sein. Ansonsten werden LTPA-Token als vorzeitig abgelaufen erscheinen und zu Authentifizierungs- oder Validierungsfehlern führen. Die koordinierte Weltzeit (UTC) wird standardmäßig verwendet, und alle andere Maschinen müssen dieselbe UTC-Zeit aufweisen. Weitere Informationen hierzu finden Sie in der Dokumentation Ihres Betriebssystems.

Dieses Token wird für Webressourcen über Cookies (bei Aktivierung von SSO) und für Enterprise-Beans über die Authentifizierungsprotokollschicht an andere Server in derselben Zelle oder in einer anderen Zelle übergeben.

Wenn die Empfangsserver dieselben Schlüssel wie der sendende Server verwenden, kann das Token entschlüsselt werden, um die Benutzerinformationen abzurufen. Das Token wird daraufhin überprüft, ob es noch nicht abgelaufen ist und ob die Benutzerinformationen im Token in der Registrierungsdatenbank gültig sind. Bei erfolgreicher Validierung kann nach der Berechtigungsprüfung der Zugriff auf die Ressourcen des empfangenden Servers erfolgen.

Jeder Server muss gültige Berechtigungsnachweise haben. Wenn die Berechtigungsnachweise verfallen, muss der Server für die Authentifizierung mit der Benutzerregistry kommunizieren. Ausfälle der Benutzerregistry können zu Blockierungen von Serverprozessen führen, die dann erneut gestartet werden müssen. Die Verlängerung der Cachezeit für das LTPA-Token verringert zwar dieses Risiko, stellt aber beim definieren der Sicherheitsrichtlinien ein geringfügig höheres Sicherheitsrisiko dar, das zu berücksichtigen ist.

Alle Prozesse von WebSphere Application Server in einer Zelle (Deployment Manager, Knoten, Anwendungsserver) verwenden dieselben Schlüssel. Wenn unterschiedliche Zellen dieselben Schlüssel benutzen müssen, exportieren Sie sie aus einer Zelle und importieren Sie sie in die andere Zelle. Aus Sicherheitsgründen werden die exportierten Schlüssel mit einem nach dem Zufallsprinzip generierten Schlüssel verschlüsselt und mit einem einem benutzerdefinierten Kennwort geschützt. Dasselbe Kennwort wird beim Importieren der Schlüssel in eine andere Zelle benötigt. Das Kennwort wird nur für den Schutz der Schlüssel verwendet und nicht zum Generieren der Schlüssel.

WebSphere Application Server unterstützt die Protokolle LTPA und Kerberos.

Wenn beim Erstellen des Profils die Sicherheit aktiviert wird, wird standardmäßig LTPA konfiguriert.

LTPA erfordert, dass die konfigurierte Benutzerregistry ein zentrales gemeinsames Repository wie LDAP oder eine Windows-Domänenregistry ist, damit Benutzer und Gruppen unabhängig von der Maschine gleich sind.

[IBM i]Die Verwendung von LTPA mit der Benutzerregistry LocalOS ist nur in Konfigurationen zulässig, in denen sich alle Server auf demselben System befinden.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ltpa
Dateiname:csec_ltpa.html