Authentifizierung der Verwaltung konfigurieren

Ein Authentifizierungsverfahren definiert Regeln für Sicherheitsinformationen, z. B. ob ein Berechtigungsnachweis an einen anderen Java™-Prozess weitergegeben werden darf, und das Format, in dem Sicherheitsinformationen in Berechtigungsnachweisen und Token gespeichert werden.

Vorbereitende Schritte

Das Authentifizierungsverfahren mit RSA-Token (Rivest Shamir Adleman) vereinfacht die Sicherheitsumgebung, um eine flexible Verwaltungstopologie zu erreichen. In einer solchen Topologie können Sie Verwaltungsjobs lokal oder fern mit einem Job-Manager übergeben und verwalten. Der Job-Manager verwaltet Anwendungen, führt die Produktwartung durch, modifiziert Konfigurationen und steuert die Anwendungsserverlaufzeit. Wenn Sie die Authentifizierung für die Verwaltung in der Administrationskonsole konfigurieren, gehört das Konfigurieren des Authentifizierungsverfahrens mit RSA-Token dazu.

Fehler vermeiden Fehler vermeiden: Für Server, die in einer Basisumgebung ausgeführt werden, und für LTPA-Server, die in einer Network Deployment-Umgebung ausgeführt werden, wird die Verwaltungsauthentifizierung standardmäßig auf RSA gesetzt.gotcha

Die folgenden Keystore-, Truststore- und Rootstore-Beschreibungen sollen Ihnen eine Vorstellung davon geben, wo Zertifikate gespeichert werden und wie die Vertrauensbeziehung zwischen Prozessen konfiguriert werden kann.

Der NodeRSATokenKeyStore enthält das dafür verwendete persönliche RSA-Tokenzertifikat. Mit dem öffentlichen/privaten Schlüssel dieses Zertifikats werden RSA-Token erstellt. Darüber hinaus wird der öffentliche Schlüssel von anderen Prozessen für die Erstellung von Token verwendet. Das persönliche RSA-Zertifikat wird von einem RSA-Stammzertifikat signiert.

Der NodeRSATokenTrustStore enthält alle RSA-Unterzeichnerzertifikate von anderen Prozessen, die anerkannte Sender von RSA-Token an diesen Prozess sind. Die Unterzeichner werden während der Registrierung automatisch zu diesem Truststore hinzugefügt. Mit dieser Task kann ein Administrator jedoch die gegenseitige Anerkennung von Prozessen konfigurieren, die normalerweise nicht in derselben Verwaltungsdomäne ausgeführt werden. Es kann Bedingungen geben, unter denen zwei Basisserver eine Verwaltungskommunikation führen müssen. Bei Verwendung des Authentifizierungsverfahrens mit RSA-Token müssen die Basisserver gemeinsame RSA-Unterzeichner haben, wenn die Verwaltungskommunikation in beiden Richtungen verläuft.

Der NodeRSATokenRootStore enthält das persönliche Stammzertifikat, mit dem neue persönliche RSA-Zertifikate erstellt werden. Da durch die Erstellung von RSA-Token unter Verwendung des Stammzertifikats die Schlüssel mit langer Gültigkeitsdauer beeinträchtigt werden, sollten Sie diese Erstellungsmethode nicht anwenden. Nutzen Sie das Stammzertifikat nur zum Signieren anderer Zertifikate.

Diese Keystores erfordern keine manuellen Schritte, sodass ein ansonsten unübliches gegenseitiges Vertrauen zwischen Prozessen etabliert werden kann, die nicht in derselben Verwaltungsdomäne stattfinden. Wenn Sie möchten, können Sie das persönliche RSA-Zertifikat auch durch ein persönliches Zertifikat von einer Zertifizierungsstelle ersetzen. Stellen Sie in dem Fall sicher, dass das Stammzertifikat der Zertifizierungsstelle in allen RSA-Truststores innerhalb derselben Verwaltungsdomäne enthalten ist.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
  2. Klicken Sie unter Zugehörige Elemente auf Keystores und Zertifikate.
  3. Wählen Sie unter Keystore-Nutzung die Option Keystores für RSA-Token aus.
  4. Wählen Sie den Keystore für RSA-Token aus, den Sie verwalten möchten.
  5. Modifizieren Sie ggf. die Beschreibung.
  6. Modifizieren Sie den Pfad, falls das erforderlich ist.
  7. Wählen Sie Schreibgeschützt und/oder Beim Start initialisieren aus, sofern dies erforderlich ist.
  8. Geben Sie das richtige Kennwort ein, um diese Änderungen vorzunehmen.
  9. Klicken Sie auf Anwenden und Speichern.

Ergebnisse

Sie haben die Authentifizierung für die Verwaltung konfiguriert.

Nächste Schritte

Falls es sich um Prozesse einer früheren Version handelt oder kein RSA-Zielzertifikat beschafft werden kann, können Sie auf das LTPA-Verfahren (Lightweight Third-Party Authentication) zurückgreifen, das in allen früheren Releases für die Verwaltungskommunikation unterstützt wird. Die Signatur wird automatisch generiert. Der Rückgriff auf LTPA erfolgt in den genannten Fällen automatisch, scheitert jedoch, wenn die LTPA-Schlüssel nicht gemeinsam genutzt werden. Dies ist jedoch eine Fehlersituation im RSA-Verfahren, die nur selten eintritt.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7config_admin_auth
Dateiname:tsec_7config_admin_auth.html