Allgemeine Authentifizierungsprotokolleinstellungen für eine Clientkonfiguration
Mit Einstellungen in der Datei sas.client.props können Sie SAS- (Security Authentication Service) und CSIv2-Clients (Common Secure Interoperability Version 2) konfigurieren.
Verwenden Sie die folgenden Einstellungen in der Datei
Stammverzeichnis_des_Anwendungsservers/properties/sas.client.props, um
SAS- und CSIv2-Clients zu konfigurieren.
Verwenden Sie die folgenden Einstellungen in der Datei
sas.client.props, um SAS- und CSIv2-Clients zu konfigurieren. Standardmäßig befindet sich die Datei sas.client.props im Verzeichnis Profilstammverzeichnis/properties Ihrer Installation von WebSphere Application Server WebSphere Application Server Network Deployment.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.IPC.authenticationTarget=BasicAuthcom.ibm.IPC.loginUserid=
com.ibm.IPC.loginPassword=com.ibm.IPC.loginSource=promptcom.ibm.IPC.krb5Service=WAScom.ibm.IPC.krb5CcacheFile=com.ibm.IPC.krb5ConfigFile=
com.ibm.CORBA.securityEnabled
Legt fest, ob die Sicherheit für den Clientprozess aktiviert wird.
Einstellung | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | True |
Gültige Werte | True und false |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
com.ibm.CSI.protocol
Bestimmt, welche Authentifizierungsprotokolle aktiv sind.
Der Client kann die Protokolle ibm, csiv2 oder both aktivieren. Die einzigen gültigen Werte für das Authentifizierungsprotokoll sind ibm, csiv2 und both. Verwenden Sie nicht sas als Wert des Authentifizierungsprotokolls. Dieser Einschränkung gilt sowohl für die Client- als auch für die Serverkonfiguration. Die folgende Liste enthält Informationen zur Verwendung jeder dieser Protokolloptionen:
- ibm
- Verwenden Sie diese Option für das Authentifizierungsprotokoll, wenn Sie mit WebSphere Application Server Version 4.x oder einer früheren Version kommunizieren.
- csiv2
- Verwenden Sie diese Authentifizierungsprotokolloption, wenn Sie mit WebSphere Application Server Version 5 oder höher kommunizieren, weil die SAS-Interceptor nicht für jede Methodenanforderung geladen und ausgeführt werden.
- both
- Verwenden Sie diese Option für die Interoperabilitätsunterstützung zwischen WebSphere Application Server Version 4.x (oder früher) und WebSphere Application Server Version 5 (oder höher). Die Option both bietet in der Regel eine höhere Interoperabilität mit anderen Servern.
Einstellung | Wert |
---|---|
Datentyp | String |
Standardeinstellung | Both |
Gültige Werte | ibm, csiv2, both |
com.ibm.CORBA.authenticationTarget
Bestimmt den Typ des Authentifizierungsverfahrens für das Senden von Sicherheitsinformationen vom Client an den Server.
Falls die Basisauthentifizierung definiert ist, werden Benutzer-ID und Kennwort an den Server gesendet. Die Verwendung des Transports Secure Sockets Layer (SSL) für diesen Authentifizierungstyp wird empfohlen. Andernfalls wird das Kennwort nicht verschlüsselt. Der Zielserver muss das angegebene Authentifizierungsziel unterstützen.
Einstellung | Wert |
---|---|
Datentyp | String |
Standardeinstellung | BasicAuth |
Gültige Werte | BasicAuth, KRB5 |
com.ibm.CORBA.validateBasicAuth
Mit dieser Eigenschaft wird bestimmt, ob die Benutzer-ID und das Kennwort sofort nach Eingabe der Anmeldedaten validiert werden, wenn die Eigenschaft authenticationTarget den Wert BasicAuth hat.
In den früheren Releases wurden Anmeldungen vom Typ BasicAuth nur bei der ersten Methodenanforderung validiert. Bei der ersten Anforderung wurden Benutzer-ID und Kennwort an den Server gesendet. Hierbei kann der Client zum ersten Mal feststellen, ob ein Fehler vorliegt, nämlich wenn die Benutzer-ID oder das Kennwort ungültig ist. Wenn die Methode validateBasicAuth angegeben ist, findet die Validierung von Benutzer-ID und Kennwort direkt beim Sicherheitsserver statt.
![[z/OS]](../images/ngzos.gif)
Sie können diese Eigenschaft inaktivieren, falls Sie keine sofortige Überprüfung von Benutzer-ID und Kennwort aus Leistungsaspekten wünschen. Wenn das Clientprogramm warten kann, empfiehlt es sich, Benutzer-ID und Kennwort bei der ersten Methodenanforderung prüfen zu lassen. Die Programmlogik ist aufgrund der zu beachtenden Fehlerbehandlung unter Umständen jedoch nicht so einfach.
Einstellung | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | True |
Gültige Werte | True, False |
com.ibm.CORBA.authenticationRetryEnabled
Gibt an, dass fehlgeschlagene Anmeldeversuche wiederholt werden. Diese Eigenschaft legt auch fest, ob bei weiteren Fehlern eine Wiederholung durchgeführt wird. Dazu gehören z. B. statusabhängige Sitzungen, die auf dem Server nicht ermittelt werden konnten, oder Validierungsfehler am Server aufgrund abgelaufener Berechtigungen.
Der Minor-Code, der in der an den Client zurückgegebenen Ausnahme enthalten ist, legt fest, bei welchen Fehlern eine Wiederholung durchgeführt wird. Die Anzahl der Wiederholungsversuche ist von der Eigenschaft "com.ibm.CORBA.authenticationRetryCount" abhängig.
Einstellung | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | True |
Gültige Werte | True, False |
com.ibm.CORBA.authenticationRetryCount
Gibt die Anzahl der Wiederholungen an, die durchgeführt werden, bis entweder die Authentifizierung erfolgreich ist oder der Wert für die maximal zulässigen Wiederholungen erreicht wurde.
Wenn der Grenzwert erreicht ist, wird eine Ausnahme für die Authentifizierung an den Client zurückgegeben.
Einstellung | Wert |
---|---|
Datentyp | Integer |
Standardeinstellung | 3 |
Einstellmöglichkeiten | 1-10 |
com.ibm.CORBA.loginSource
Gibt an, wie der Interceptor für Anforderungen sich anmelden soll, wenn er keinen definierten Aufrufberechtigungsnachweis findet.
- com.ibm.CORBA.loginUserid
- com.ibm.CORBA.loginPassword
![[z/OS]](../images/ngzos.gif)
Wenn Sie "com.ibm.CORBA.loginSource=none" für eine RMI-Verbindung (Remote Method Invocation) setzen, werden die Berechtigungsnachweise des Benutzers übernommen, unabhängig davon, ob Scripts mit wsadmin oder von anderen Clients verwendet werden. Es ist nicht erforderlich, den Benutzer und/oder das Kennwort in der Befehlszeile oder in der Eigenschaftendatei "sas.client.props" anzugeben. Diese übernommenen Berechtigungsnachweise bei Verwendung der Einstellung "com.ibm.CORBA.loginSource=none" ist nur auf der z/OS-Plattform verfügbar.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Wenn Sie "com.ibm.CORBA.loginSource=none" für eine RMI-Verbindung (Remote Method Invocation) setzen, müssen Sie, unabhängig davon, ob Scripts mit wsadmin oder von anderen Clients verwendet werden, eine programmgesteuerte Anmeldung durchführen, da die Berechtigungsnachweise des Benutzers nicht übernommen werden. Sie müssen den Benutzer und/oder das Kennwort über die Befehlszeile angeben.
Einstellung | Wert |
---|---|
Datentyp | String |
Standardeinstellung | prompt |
Gültige Werte | Prompt, key file, stdin, none, properties |
com.ibm.CORBA.loginUserid
Wird verwendet, um die Benutzer-ID anzugeben, wenn eine eigenschaftengesteuerte Anmeldung konfiguriert wird und die Authentifizierung über die Nachrichtenschicht durchgeführt werden soll.
Diese Eigenschaft ist nur gültig, wenn com.ibm.CORBA.loginSource=properties eingestellt ist. Setzen Sie auch die Eigenschaft "com.ibm.CORBA.loginPassword".
Einstellung | Wert |
---|---|
Datentyp | String |
Einstellmöglichkeiten | Jede Zeichenfolge, die für eine Benutzer-ID in der konfigurierten Benutzerregistry des Servers verwendet werden kann. |
com.ibm.CORBA.loginPassword
Wird verwendet, um das Kennwort anzugeben, wenn eine eigenschaftsgesteuerte Anmeldung konfiguriert wird und die Authentifizierung über die Nachrichtenschicht durchgeführt werden soll.
Diese Eigenschaft ist nur gültig, wenn com.ibm.CORBA.loginSource=properties eingestellt ist. Setzen Sie auch die Eigenschaft "com.ibm.CORBA.loginUserid".
Einstellung | Wert |
---|---|
Datentyp | String |
Einstellmöglichkeiten | Jede Zeichenfolge, die für ein Kennwort in der konfigurierten Benutzerregistry des Servers verwendet werden kann. |
com.ibm.CORBA.keyFileName
Gibt die für die Anmeldung zu verwendende Schlüsseldatei an.
Eine Schlüsseldatei ist eine Datei, die eine Liste von Kombinationen aus Bereichen, Benutzer-IDs und Kennwörtern enthält, mit deren Hilfe ein Client sich an mehreren Realms anmelden kann. Der in der IOR (Interoperable Object Reference) für die aktuelle Methodenanforderung ermittelte Bereich wird verwendet. Der Wert diese Eigenschaft wird verwendet, wenn die Einstellung com.ibm.CORBA.loginSource=Schlüsseldatei verwendet wird.
Einstellung | Wert |
---|---|
Datentyp | String |
Standardeinstellung | C;/WebSphere/AppServer/properties/wsserver.key |
Einstellmöglichkeiten | Jeder vollständig qualifizierte Pfad und Dateiname einer Schlüsseldatei von WebSphere Application Server. |
com.ibm.CORBA.loginTimeout
Geben Sie mit dieser Eigenschaft an, wie lange der Anmeldedialog verfügbar bleibt, bevor eine Anmeldung als gescheitert eingestuft wird.
Einstellung | Wert |
---|---|
Datentyp | Integer |
Einheiten | Sekunden |
Standardeinstellung | 300 (5-Minuten-Intervall) |
Einstellmöglichkeiten | 0 - 600 (10-Minuten-Intervall) |
com.ibm.CORBA.securityEnabled
Legt fest, ob die Sicherheit für den Clientprozess aktiviert wird.
Einstellung | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | True |
Einstellmöglichkeiten | True, False |