LTPA-Verfahren konfigurieren

Sie müssen Lightweight Third Party Authentication (LTPA) oder Kerberos konfigurieren, wenn Sie die Sicherheit zum ersten Mal konfigurieren.

Vorgehensweise

  1. Öffnen Sie die Administrationskonsole.

    [AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie in einem Web-Browser http://vollständig_qualifizierter_Hostname:Portnummer/ibm/console ein, um auf die Administrationskonsole zuzugreifen.

    [IBM i]Geben Sie in einem Web-Browser http://Servername:Portnummer/ibm/console ein, um auf die Administrationskonsole zuzugreifen.

    Der Standardport für den Zugriff auf die Administrationskonsole ist 9060. Möglicherweise haben Sie jedoch während der Installation eine andere Portnummer angegeben. Geben Sie die richtige Portnummer ein.

  2. Klicken Sie auf Sicherheit > Globale Sicherheit > Authentifizierungsverfahren und Verfallszeit.
  3. Klicken Sie auf LTPA.
  4. Wählen Sie im Feld Schlüsselsatzgruppe mit den öffentlichen, privaten und gemeinsam genutzten LTPA-Schlüsseln die entsprechende Gruppe aus. Diese Schlüssel werden verwendet, um Daten zu verschlüsseln und zu entschlüsseln, die zwischen Server ausgetauscht werden. Über den Link "Schlüsselsatzgruppe" können Sie auf diese Schlüsselsatzgruppenkonfigurationen zugreifen. In der Schlüsselsatzgruppenkonfiguration können Sie angeben, ob automatisch neue Schlüssel generiert werden sollen und wann.
  5. Geben Sie im Feld Zeitlimit für zwischen Servern weitergeleitete Berechtigungsnachweise eine positive ganze Zahl ein.

    Dieser Wert gibt an, wie lange die Serverberechtigungsnachweise eines anderen Server gültig sind. Der Standardwert ist 120 Minuten. Der Wert im Feld Zeitlimit für zwischen Servern weitergeleitete Berechtigungsnachweise muss größer sein als der Wert im Feld Zeitlimit für Cache in der Anzeige "Einstellungen des Authentifizierungscaches".

  6. Geben Sie im Feld Kennwort ein Kennwort ein.

    Dieses Kennwort wird verwendet, um die generierten Schlüssel zu schützen, die zum Verschlüsseln und Entschlüsseln der LTPA-Schlüssel aus der SSO-Eigenschaftendatei verwendet werden. Das Kennwort wird nicht zum Generieren von Schlüsseln verwendet. Es wird nur verwendet, um die Schlüssel zu schützen. Während des Imports muss dieses Kennwort mit dem Kennwort, das für den Export der Schlüssel in einen anderen LTPA-Server (z. B. eine andere Anwendungsserverzelle, Lotus Domino Server usw.) verwendet wird, übereinstimmen. Merken Sie sich dieses Kennwort beim Export, damit Sie es bei der Importoperation angeben können.

    Für ein zellenübergreifendes Single Sign-On müssen Schlüssel und Kennwörter gemeinsam genutzt werden. Melden Sie sich für die gemeinsame Nutzung von Schlüsseln und Kennwörtern bei einer Zelle an, geben Sie eine Schlüsseldatei an und klicken Sie auf Schlüssel exportieren. Melden Sie sich dann bei der anderen Zelle an, geben Sie die Schlüsseldatei an und klicken Sie auf Schlüssel importieren.

  7. Klicken Sie auf Anwenden oder OK.
  8. Optional: Überprüfen Sie die Einstellungen in der Anzeige Globale Sicherheit > Einstellungen des Authentifizierungscaches.Standardmäßig ist der Authentifizierungscache aktiviert. Weitere Informationen zu diesen Feldern und Werten finden Sie in der Dokumentation zu den Einstellungen des Authentifizierungscaches.

Ergebnisse

Damit ist die LTPA-Konfiguration definiert. Die LTPA-Schlüssel werden automatisch generiert, wenn die Sicherheit erstmalig aktiviert wird. Sie sollten in diesem Schritt nicht die LTPA-Schlüssel generieren. Sie werden später automatisch generiert. Fahren Sie mit den Schritten fort, die zum Aktivieren der Sicherheit erforderlich sind. Beginnen Sie, sofern erforderlich, mit SSO.

Nächste Schritte

Nach der Konfiguration von LTPA können Sie die folgenden Tasks ausführen:

  1. Schlüsseldateien generieren. Weitere Informationen hierzu finden Sie im Artikel LTPA-Schlüssel generieren.
  2. Schlüsseldateien exportieren. Weitere Informationen hierzu finden Sie im Artikel LTPA-Schlüssel exportieren.
  3. Schlüsseldateien importieren. Weitere Informationen hierzu finden Sie im Artikel LTPA-Schlüssel importieren.
  4. LPTA-Schlüssel aus mehreren Zellen verwalten. Weitere Informationen finden Sie im Artikel LTPA-Schlüssel in mehreren Zellen von WebSphere Application Server verwalten.
  5. Wenn Sie die Sicherheit aktivieren, können Sie auch SSO (Single Sign-On) aktivieren. Informationen hierzu finden Sie in den folgenden Artikeln:
  6. Wenn Sie eine neue Gruppe von Schlüsseln generiert oder importiert haben, vergessen Sie nicht, die Schlüssel in der Masterkonfiguration zu speichern, indem Sie oben in der Anzeige auf Speichern klicken. Da die LTPA-Authentifizierung mit zeitsensiblen Token arbeitet, müssen die Uhrzeit, das Datum und die Zeitzone auf allen Servern der geschützten Domäne synchronisiert werden. Änderungen an der Uhrzeit, am Datum und an der Zeitzone werden unabhängig von WebSphere Application Server vorgenommen. Weichen die Zeiteinstellungen der einzelnen Server zu stark voneinander ab, erscheint das LTPA-Token vorzeitig als veraltet. Das kann zu Authentifizierungs- oder Validierungsfehlern führen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ltpa
Dateiname:tsec_ltpa.html