Einstellungen für SIP-Digest-Authentifizierung

Verwenden Sie diese Seite, um Einstellungen für die SIP-Digest-Authentifizierung zu konfigurieren. Diese Einstellungen ermöglichem dem SIP-Container, gesicherte Anwendungen zu authentifizieren.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit > Authentifizierung > Web- und SIP-Sicherheit > SIP-Digest-Authentifizierung.

Integrität bei Digest-Authentifizierung aktivieren

Gibt das Datenschutzniveau (QOP, Quality of Protection) "Authentifizierungsintegrität" (auth-int) für die Digest-Authentifizierung an. Die Digest-Authentifizierung definiert zwei QOP-Typen: "auth" und "auth-int". Standardmäßig wird die Basisauthentifizierung (auth) verwendet. Wenn Sie diese Einstellung auf True setzen, wird die QOP-Einstellung "auth-int" verwendet, die das höchste Datenschutzniveau hat.

Information Wert
Datentyp Boolean
Standardwert True

SIP-Basisauthentifizierung aktivieren

Gibt an, dass der SIP-Container die Basisauthentifizierung unterstützt. Wenn Sie diese Einstellung auf True setzen, werden Anforderungen, die den Berechtigungsheader mit dem Basisschema haben, vom Anwendungsserver authentifiziert. Andernfalls ist die Digest-Authentifizierung erforderlich.

Information Wert
Datentyp Boolean
Standardwert False

Mehrfachverwendung des Nonce aktivieren

Gibt an, ob die Mehrfachverwendung desselben Nonce zugelassen werden soll. Wenn Sie einen Nonce mehrfach verwenden, sind weniger Systemressourcen erforderlich, aber das System ist nicht so sicher.

Information Wert
Datentyp Boolean
Standardwert False

Maximale Nonce-Lebensdauer beschränken

Gibt an, ob die maximale Nonce-Lebensdauer aktiviert werden soll. Wenn Sie diesen Parameter nicht inaktivieren, hat der Nonce eine ungegrenzte Lebensdauer.

Information Wert
Datentyp Boolean
Standardwert True

Maximale Nonce-Lebensdauer

Gibt an, wie lange (in Millisekunden) ein Nonce gültig ist. Ist der Wert 1 gesetzt, ist die Gültigkeitsdauer unbegrenzt.

Information Wert
Datentyp Integer
Standardwert 1

Bereinigungsintervall für LDAP-Cache

Gibt an, in welchem Intervall (in Minuten) der LDAP-Cache bereinigt wird.

Information Wert
Datentyp Integer
Standardwert 120

Name des LDAP-Kennwortattributs

Gibt den Namen des LDAP-Attributs an, in dem das Benutzerkennwort gespeichert wird.

Information Wert
Datentyp String
Standardwert Leere Zeichenfolge

Bereinigungsintervall für Benutzercache

Gibt an, in welchem Intervall (in Minuten) der Sicherheitssubjektcache bereinigt wird.

Information Wert
Datentyp Integer
Standardwert 15

Serverklasse für Digest-Kennwort

Gibt den Namen der Java-Klasse an, die die Schnittstelle "PasswordServer" implementiert.

Information Wert
Datentyp String
Standardwert Leere Zeichenfolge

Verschlüsselte Berechtigungsnachweise

Gibt den Namen des LDAP-Felds an, das die verschlüsselten Berechtigungsnachweise enthält. Wenn Sie einen Wert für diese Einstellung angeben, überschreibt diese Einstellung die Einstellung "pws_atr_name".

LDAP-Server bieten automatisch Kennwortunterstützung. Sofern Sie den LDAP-Server nicht für die Verwendung von verschlüsselten Werten aktivieren, speichert der LDAP-Server Benutzerkennwörter, und die Anforderungsverarbeitungskomponente verwendet diese Kennwörter, um eine Anforderung zu validieren. Da Benutzerkennwörter bei dieser Authentifizierungsmethode dem Risiko eines Diebstahls über das Internet ausgesetzt sind, sollten Sie die Verwendung verschlüsselter Berechtigungsnachweise für die Authentifizierung einer Anforderung aktivieren.

Wenn Sie die Verwendung verschlüsselter Berechtigungsnachweise aktivieren, speichert der LDAP-Server einen Hash-Wert für die Benutzer-, Kennwort- und Realminformationen. Der SIP-Container fordert dann diesen Hash-Wert an Stelle eines Benutzerkennworts vom LDAP-Server an. Bei dieser Vorgehensweise sind die Kennwörter auch dann geschützt, wenn die Hash-Daten über das Internet gestohlen werden. Diese Vorgehensweise hat jedoch die folgenden Einschränkungen:
  • Im LDAP-Attribut muss ein Bytewert oder ein Zeichenfolgewert gespeichert werden. Andere Attributtypen werden nicht unterstützt.
  • Alle Anwendungen müssen denselben Realm verwenden, oder Sie müssen für jeden Realm ein anderes Attribut definieren.
  • Die Hash-Funktion kann sich von MD5 unterscheiden. In diesem Fall sendet der SIP-Container einen Algorithmus, der vom berechneten Wert für das Attribut abweicht. Sollte dieser Fall eintreten, schlägt die Benutzerauthentifizierung auch dann fehl, wenn der Benutzer die richtigen Berechtigungsnachweise übergeben hat.
Wenn Sie den LDAP-Server für die Verwendung verschlüsselter Berechtigungsnachweise aktivieren möchten, müssen Sie die folgenden beiden Einstellungen definieren:
  • Hashedcredentials=Wert, wobei "Wert" für den Namen des LDAP-Attributs steht, in dem der Hash-Wert für die Benutzer-, Kennwort- und Realminformationen gespeichert ist.
  • Hashedrealm=Wert, wobei "Wert" für den Realm steht, über den der verschlüsselte Werte berechnet wird.
Information Wert
Datentyp String
Standardwert Leere Zeichenfolge

Verschlüsselter Realm

Gibt den Realm für verschlüsselte Berechtigungsnachweise an, wenn die Einstellung "Verschlüsselte Berechtigungsnachweise" aktiviert ist.

Information Wert
Datentyp String
Standardwert Leere Zeichenfolge

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usip_digestauth
Dateiname:usip_digestauth.html