Allgemeine Authentifizierungsprotokolleinstellungen für eine Clientkonfiguration

Mit Einstellungen in der Datei sas.client.props können Sie SAS- (Security Authentication Service) und CSIv2-Clients (Common Secure Interoperability Version 2) konfigurieren.

[AIX Solaris HP-UX Linux Windows][z/OS]Verwenden Sie die folgenden Einstellungen in der Datei Stammverzeichnis_des_Anwendungsservers/properties/sas.client.props, um SAS- und CSIv2-Clients zu konfigurieren.

[IBM i]Verwenden Sie die folgenden Einstellungen in der Datei sas.client.props, um SAS- und CSIv2-Clients zu konfigurieren. Standardmäßig befindet sich die Datei sas.client.props im Verzeichnis Profilstammverzeichnis/properties Ihrer Installation von WebSphere Application Server WebSphere Application Server Network Deployment.

[AIX Solaris HP-UX Linux Windows][IBM i]Wichtig: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
[z/OS]Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
Anmerkung: Die Datei sas.client.props für WebSphere Application Server Version 9.0 enthält einige neue Eigenschaften, die BasicAuth und Kerberos unterstützen, wie z. B. folgende:

com.ibm.IPC.authenticationTarget=BasicAuthcom.ibm.IPC.loginUserid=
com.ibm.IPC.loginPassword=com.ibm.IPC.loginSource=promptcom.ibm.IPC.krb5Service=WAScom.ibm.IPC.krb5CcacheFile=com.ibm.IPC.krb5ConfigFile=

com.ibm.CORBA.securityEnabled

Legt fest, ob die Sicherheit für den Clientprozess aktiviert wird.

Tabelle 1. com.ibm.CORBA.securityEnabled. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.securityEnabled" beschrieben.
Einstellung Wert
Datentyp Boolean
Standardeinstellung True
Gültige Werte True und false
[AIX Solaris HP-UX Linux Windows][IBM i]

com.ibm.CSI.protocol

Bestimmt, welche Authentifizierungsprotokolle aktiv sind.

Der Client kann die Protokolle ibm, csiv2 oder both aktivieren. Die einzigen gültigen Werte für das Authentifizierungsprotokoll sind ibm, csiv2 und both. Verwenden Sie nicht sas als Wert des Authentifizierungsprotokolls. Dieser Einschränkung gilt sowohl für die Client- als auch für die Serverkonfiguration. Die folgende Liste enthält Informationen zur Verwendung jeder dieser Protokolloptionen:

ibm
Verwenden Sie diese Option für das Authentifizierungsprotokoll, wenn Sie mit WebSphere Application Server Version 4.x oder einer früheren Version kommunizieren.
csiv2
Verwenden Sie diese Authentifizierungsprotokolloption, wenn Sie mit WebSphere Application Server Version 5 oder höher kommunizieren, weil die SAS-Interceptor nicht für jede Methodenanforderung geladen und ausgeführt werden.
both
Verwenden Sie diese Option für die Interoperabilitätsunterstützung zwischen WebSphere Application Server Version 4.x (oder früher) und WebSphere Application Server Version 5 (oder höher). Die Option both bietet in der Regel eine höhere Interoperabilität mit anderen Servern.
Tabelle 2. com.ibm.CSI.protocol. In dieser Tabelle ist die Einstellung "com.ibm.CSI.protocol" beschrieben.
Einstellung Wert
Datentyp String
Standardeinstellung Both
Gültige Werte ibm, csiv2, both

com.ibm.CORBA.authenticationTarget

Bestimmt den Typ des Authentifizierungsverfahrens für das Senden von Sicherheitsinformationen vom Client an den Server.

Falls die Basisauthentifizierung definiert ist, werden Benutzer-ID und Kennwort an den Server gesendet. Die Verwendung des Transports Secure Sockets Layer (SSL) für diesen Authentifizierungstyp wird empfohlen. Andernfalls wird das Kennwort nicht verschlüsselt. Der Zielserver muss das angegebene Authentifizierungsziel unterstützen.

Tabelle 3. com.ibm.CORBA.authenticationTarget. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.authenticationTarget" beschrieben.
Einstellung Wert
Datentyp String
Standardeinstellung BasicAuth
Gültige Werte BasicAuth, KRB5

com.ibm.CORBA.validateBasicAuth

Mit dieser Eigenschaft wird bestimmt, ob die Benutzer-ID und das Kennwort sofort nach Eingabe der Anmeldedaten validiert werden, wenn die Eigenschaft authenticationTarget den Wert BasicAuth hat.

In den früheren Releases wurden Anmeldungen vom Typ BasicAuth nur bei der ersten Methodenanforderung validiert. Bei der ersten Anforderung wurden Benutzer-ID und Kennwort an den Server gesendet. Hierbei kann der Client zum ersten Mal feststellen, ob ein Fehler vorliegt, nämlich wenn die Benutzer-ID oder das Kennwort ungültig ist. Wenn die Methode validateBasicAuth angegeben ist, findet die Validierung von Benutzer-ID und Kennwort direkt beim Sicherheitsserver statt.

[z/OS]Anmerkung: Setzen Sie "com.ibm.CORBA.validateBasicAuth=false", wenn Sie eine Verbindung zu einem z/OS-Server herstellen. Diese Funktion kann derzeit in verteilten Clients, die Verbindungen zu einem z/OS-Server herstellen möchten, nicht verwendet werden, weil der Sicherheitsserver mit dem Principal "UNAUTHENTICATED" gesucht wird, was auf z/OS-Systemen nicht unterstützt wird.

Sie können diese Eigenschaft inaktivieren, falls Sie keine sofortige Überprüfung von Benutzer-ID und Kennwort aus Leistungsaspekten wünschen. Wenn das Clientprogramm warten kann, empfiehlt es sich, Benutzer-ID und Kennwort bei der ersten Methodenanforderung prüfen zu lassen. Die Programmlogik ist aufgrund der zu beachtenden Fehlerbehandlung unter Umständen jedoch nicht so einfach.

Tabelle 4. com.ibm.CORBA.validateBasicAuth. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.validateBasicAuth" beschrieben.
Einstellung Wert
Datentyp Boolean
Standardeinstellung True
Gültige Werte True, False

com.ibm.CORBA.authenticationRetryEnabled

Gibt an, dass fehlgeschlagene Anmeldeversuche wiederholt werden. Diese Eigenschaft legt auch fest, ob bei weiteren Fehlern eine Wiederholung durchgeführt wird. Dazu gehören z. B. statusabhängige Sitzungen, die auf dem Server nicht ermittelt werden konnten, oder Validierungsfehler am Server aufgrund abgelaufener Berechtigungen.

Der Minor-Code, der in der an den Client zurückgegebenen Ausnahme enthalten ist, legt fest, bei welchen Fehlern eine Wiederholung durchgeführt wird. Die Anzahl der Wiederholungsversuche ist von der Eigenschaft "com.ibm.CORBA.authenticationRetryCount" abhängig.

Tabelle 5. com.ibm.CORBA.authenticationRetryEnabled. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.authenticationRetryEnabled" beschrieben.
Einstellung Wert
Datentyp Boolean
Standardeinstellung True
Gültige Werte True, False

com.ibm.CORBA.authenticationRetryCount

Gibt die Anzahl der Wiederholungen an, die durchgeführt werden, bis entweder die Authentifizierung erfolgreich ist oder der Wert für die maximal zulässigen Wiederholungen erreicht wurde.

Wenn der Grenzwert erreicht ist, wird eine Ausnahme für die Authentifizierung an den Client zurückgegeben.

Tabelle 6. com.ibm.CORBA.authenticationRetryCount. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.authenticationRetryCount" beschrieben.
Einstellung Wert
Datentyp Integer
Standardeinstellung 3
Einstellmöglichkeiten 1-10

com.ibm.CORBA.loginSource

Gibt an, wie der Interceptor für Anforderungen sich anmelden soll, wenn er keinen definierten Aufrufberechtigungsnachweis findet.

Diese Eigenschaft ist nur gültig, wenn eine Authentifizierung auf Nachrichtenebene stattfindet. Wird die Authentifizierung nur über die Transportschicht durchgeführt, wird diese Eigenschaft ignoriert. Wenn Sie Eigenschaften angeben, müssen Sie die folgenden beiden zusätzlichen Eigenschaften definieren:
  • com.ibm.CORBA.loginUserid
  • com.ibm.CORBA.loginPassword
Beim Durchführen einer programmgesteuerten Anmeldung muss none nicht als Anmeldequelle angegeben werden. Die Anforderung scheitert, wenn ein Berechtigungsnachweis als Aufrufberechtigungsnachweis während der Methodenanforderung gesetzt wird.
[z/OS]Wichtig: Für die z/OS-Plattform können Sie die Eigenschaftendatei "sas.client.props" editieren und die Eigenschaft "loginSource" wie folgt setzen: "com.ibm.CORBA.loginSource=none".

Wenn Sie "com.ibm.CORBA.loginSource=none" für eine RMI-Verbindung (Remote Method Invocation) setzen, werden die Berechtigungsnachweise des Benutzers übernommen, unabhängig davon, ob Scripts mit wsadmin oder von anderen Clients verwendet werden. Es ist nicht erforderlich, den Benutzer und/oder das Kennwort in der Befehlszeile oder in der Eigenschaftendatei "sas.client.props" anzugeben. Diese übernommenen Berechtigungsnachweise bei Verwendung der Einstellung "com.ibm.CORBA.loginSource=none" ist nur auf der z/OS-Plattform verfügbar.

[AIX Solaris HP-UX Linux Windows]Wichtig: Für die verteilte Plattform können Sie entscheiden, die Eigenschaftendatei "sas.client.props" NICHT zu editieren und die Eigenschaft "loginSource" wie folgt zu setzen: "com.ibm.CORBA.loginSource=none".

Wenn Sie "com.ibm.CORBA.loginSource=none" für eine RMI-Verbindung (Remote Method Invocation) setzen, müssen Sie, unabhängig davon, ob Scripts mit wsadmin oder von anderen Clients verwendet werden, eine programmgesteuerte Anmeldung durchführen, da die Berechtigungsnachweise des Benutzers nicht übernommen werden. Sie müssen den Benutzer und/oder das Kennwort über die Befehlszeile angeben.

Tabelle 7. com.ibm.CORBA.loginSource. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.loginSource" beschrieben.
Einstellung Wert
Datentyp String
Standardeinstellung prompt
Gültige Werte Prompt, key file, stdin, none, properties

com.ibm.CORBA.loginUserid

Wird verwendet, um die Benutzer-ID anzugeben, wenn eine eigenschaftengesteuerte Anmeldung konfiguriert wird und die Authentifizierung über die Nachrichtenschicht durchgeführt werden soll.

Diese Eigenschaft ist nur gültig, wenn com.ibm.CORBA.loginSource=properties eingestellt ist. Setzen Sie auch die Eigenschaft "com.ibm.CORBA.loginPassword".

Tabelle 8. com.ibm.CORBA.loginUserid. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.loginUserid" beschrieben.
Einstellung Wert
Datentyp String
Einstellmöglichkeiten Jede Zeichenfolge, die für eine Benutzer-ID in der konfigurierten Benutzerregistry des Servers verwendet werden kann.

com.ibm.CORBA.loginPassword

Wird verwendet, um das Kennwort anzugeben, wenn eine eigenschaftsgesteuerte Anmeldung konfiguriert wird und die Authentifizierung über die Nachrichtenschicht durchgeführt werden soll.

Diese Eigenschaft ist nur gültig, wenn com.ibm.CORBA.loginSource=properties eingestellt ist. Setzen Sie auch die Eigenschaft "com.ibm.CORBA.loginUserid".

Tabelle 9. com.ibm.CORBA.loginPassword. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.loginPassword" beschrieben.
Einstellung Wert
Datentyp String
Einstellmöglichkeiten Jede Zeichenfolge, die für ein Kennwort in der konfigurierten Benutzerregistry des Servers verwendet werden kann.

com.ibm.CORBA.keyFileName

Gibt die für die Anmeldung zu verwendende Schlüsseldatei an.

Eine Schlüsseldatei ist eine Datei, die eine Liste von Kombinationen aus Bereichen, Benutzer-IDs und Kennwörtern enthält, mit deren Hilfe ein Client sich an mehreren Realms anmelden kann. Der in der IOR (Interoperable Object Reference) für die aktuelle Methodenanforderung ermittelte Bereich wird verwendet. Der Wert diese Eigenschaft wird verwendet, wenn die Einstellung com.ibm.CORBA.loginSource=Schlüsseldatei verwendet wird.

Tabelle 10. com.ibm.CORBA.keyFileName. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.keyFileName" beschrieben.
Einstellung Wert
Datentyp String
Standardeinstellung C;/WebSphere/AppServer/properties/wsserver.key
Einstellmöglichkeiten Jeder vollständig qualifizierte Pfad und Dateiname einer Schlüsseldatei von WebSphere Application Server.

com.ibm.CORBA.loginTimeout

Geben Sie mit dieser Eigenschaft an, wie lange der Anmeldedialog verfügbar bleibt, bevor eine Anmeldung als gescheitert eingestuft wird.

Tabelle 11. com.ibm.CORBA.loginTimeout. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.loginTimeout" beschrieben.
Einstellung Wert
Datentyp Integer
Einheiten Sekunden
Standardeinstellung 300 (5-Minuten-Intervall)
Einstellmöglichkeiten 0 - 600 (10-Minuten-Intervall)

com.ibm.CORBA.securityEnabled

Legt fest, ob die Sicherheit für den Clientprozess aktiviert wird.

Tabelle 12. com.ibm.CORBA.securityEnabled. In dieser Tabelle ist die Einstellung "com.ibm.CORBA.securityEnabled" beschrieben.
Einstellung Wert
Datentyp Boolean
Standardeinstellung True
Einstellmöglichkeiten True, False

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_csiv2copo
Dateiname:rsec_csiv2copo.html