LTPA konfigurieren und mit Schlüsseln arbeiten
Sie müssen Lightweight Third Party Authentication (LTPA) konfigurieren, wenn Sie die Sicherheit zum ersten Mal konfigurieren. LTPA ist das Standardauthentifizierungsverfahren für WebSphere Application Server. Nachdem Sie LTPA konfiguriert haben, können Sie LTPA-Schlüssel manuell oder automatisch generieren.
Vorgehensweise
- LTPA konfigurieren und die ersten LTPA-Schlüssel generieren.
- Verwenden Sie für die Konfiguration von LTPA oder Kerberos die Administrationskonsole, wenn Sie die Sicherheit zum ersten Mal konfigurieren. Die LTPA-Schlüssel werden automatisch generiert, wenn die Sicherheit erstmalig aktiviert wird. Weitere Informationen finden Sie im Artikel
zum LTPA-Verfahren. Anwendungsserver, die auf mehrere Knoten und Zellen verteilt sind,
können mit dem Protokoll LTPA sicher
kommunizieren. Schlüsselsatzgruppen enthalten Listen mit Schlüsselsätzen und Zeitplänen für die Generierung von LTPA-Authentifizierungsschlüsseln. Jeder Schlüsselsatz enthält Verweise auf Schlüssel in Keystores. Für die automatische Generierung von Schlüsseln muss jeder Schlüsselsatz
zu einer Schlüsselsatzgruppe gehören.
Weitere Informationen hierzu finden Sie im Artikel zu den LTPA-Schlüsseln und -Schlüsselsatzgruppen.
Die Schlüssel für einige Schlüsselkonfigurationen müssen zusammen generiert werden. Ein Schlüsselsatz verweist auf das LTPA-Schlüsselpaar, der geheime oder private Schlüssel ist dagegen in einem gesonderten Schlüsselsatz enthalten. Wenn die Schlüsselsatzgruppe erstellt wird, werden die beiden Schlüsselsätze zu dieser Gruppe hinzugefügt. Die Einstellungen für die Schlüsselsatzgruppe bestimmen, ob die Schlüssel für beide Schlüsselsätze automatisch zusammen oder manuell generiert werden.
Die Schlüsselsatzgruppe enthält die folgenden Attribute:- Member-Schlüsselsätze
- Option für manuelle oder automatische Schlüsselgenerierung in den Memberschlüsselsätzen
- Zeitplan für die automatische Schlüsselgenerierung
- Verwenden Sie für die Konfiguration von LTPA oder Kerberos die Administrationskonsole, wenn Sie die Sicherheit zum ersten Mal konfigurieren. Die LTPA-Schlüssel werden automatisch generiert, wenn die Sicherheit erstmalig aktiviert wird. Weitere Informationen finden Sie im Artikel
zum LTPA-Verfahren. Anwendungsserver, die auf mehrere Knoten und Zellen verteilt sind,
können mit dem Protokoll LTPA sicher
kommunizieren. Schlüsselsatzgruppen enthalten Listen mit Schlüsselsätzen und Zeitplänen für die Generierung von LTPA-Authentifizierungsschlüsseln. Jeder Schlüsselsatz enthält Verweise auf Schlüssel in Keystores. Für die automatische Generierung von Schlüsseln muss jeder Schlüsselsatz
zu einer Schlüsselsatzgruppe gehören.
- Schlüssel manuell oder automatisch generieren und die Anzahl der aktiven Schlüssel steuern.
- WebSphere Application Server generiert während des Starts
des ersten Servers automatisch LTPA-Schlüssel. In der Anzeige "Authentifizierungsverfahren und Verfallszeit" können Sie bei Bedarf weitere Schlüssel generieren. Sie können die automatische Generierung neuer LTPA-Schlüssel für Schlüsselsätze, die zu einer Schlüsselsatzgruppe gehören, inaktivieren. Bei der automatischen Generierung werden neue Schlüssel nach einem Zeitplan erstellt, den Sie festlegen, wenn Sie eine Schlüsselsatzgruppe konfigurieren,
die eine oder mehrere Schlüsselsätze verwaltet. WebSphere Application Server verwendet Schlüsselsatzgruppen für die automatische
Generierung von Chiffrierschlüsseln oder mehreren synchronisierten Schlüsselsätzen.
Bei der manuellen Generierung oder bei der Aktivierung bzw. Inaktivierung von Schlüsseln müssen die Node Agents und Anwendungsserver gestoppt und neu gestartet werden, damit sie die neuen Schlüssel akzeptieren. Sollte einer der Node Agents nicht aktiv sein, führen Sie auf der Maschine des Node Agent ein Dienstprogramm für manuelle Dateisynchronisation aus, um die Sicherheitskonfiguration mit der des Deployment Manager zu synchronisieren.
Schlüsselsätze verwalten LTPA-Schlüssel in einem Keystore, der auf einem Schlüsselaliaspräfix basiert. Ein Schlüsselaliaspräfix wird automatisch generiert, wenn Sie einen neuen Schlüssel generieren und in einem Keystore speichern. Keystores können mehrere Versionen von Schlüsseln für ein bestimmtes Schlüsselaliaspräfix enthalten. Sie können die maximale Anzahl aktiver Schlüssel in der Schlüsselsatzkonfiguration angeben.
Weitere Informationen finden Sie im Artikel "LTPA-Authentifizierungsschlüssel generieren".
- WebSphere Application Server generiert während des Starts
des ersten Servers automatisch LTPA-Schlüssel. In der Anzeige "Authentifizierungsverfahren und Verfallszeit" können Sie bei Bedarf weitere Schlüssel generieren. Sie können die automatische Generierung neuer LTPA-Schlüssel für Schlüsselsätze, die zu einer Schlüsselsatzgruppe gehören, inaktivieren. Bei der automatischen Generierung werden neue Schlüssel nach einem Zeitplan erstellt, den Sie festlegen, wenn Sie eine Schlüsselsatzgruppe konfigurieren,
die eine oder mehrere Schlüsselsätze verwaltet. WebSphere Application Server verwendet Schlüsselsatzgruppen für die automatische
Generierung von Chiffrierschlüsseln oder mehreren synchronisierten Schlüsselsätzen.
- Schlüssel importieren und exportieren.
- Wenn SSO (Single Sign-On) unter WebSphere® Application Server
in mehreren WebSphere Application
Server-Domänen oder -Zellen verwendet werden soll,
müssen die LTPA-Schlüssel und das Kennwort von den Domänen gemeinsam genutzt werden.
Sie können LTPA-Schlüssel aus anderen Domänen importieren und in andere Domänen
exportieren. Anmerkung: Sie sollten die automatische Schlüsselgenerierung inaktivieren, wenn Sie Schlüssel in eine andere Zelle exportieren oder aus einer anderen Zelle importieren. Durch die Inaktivierung gehen die importierten Schlüssel verloren, und die exportierten Schlüssel interagieren nicht mehr mit dieser Zelle.
Die Node Agents und Anwendungsserver müssen gestoppt und neu gestartet werden, damit sie die neuen Schlüssel akzeptieren. Sollte einer der Node Agents nicht aktiv sein, führen Sie auf der Maschine des Node Agent ein Dienstprogramm für manuelle Dateisynchronisation aus, um die Sicherheitskonfiguration mit der des Deployment Manager zu synchronisieren.
Weitere Informationen finden Sie in den Artikeln "LTPA-Authentifizierungsschlüssel importieren" und "LTPA-Authentifizierungsschlüssel exportieren".
- Wenn SSO (Single Sign-On) unter WebSphere® Application Server
in mehreren WebSphere Application
Server-Domänen oder -Zellen verwendet werden soll,
müssen die LTPA-Schlüssel und das Kennwort von den Domänen gemeinsam genutzt werden.
Sie können LTPA-Schlüssel aus anderen Domänen importieren und in andere Domänen
exportieren.
- LPTA-Schlüssel in mehreren Zellen verwalten.
- Sie können die gemeinsam genutzten Schlüssel angeben und das Authentifizierungsverfahren
konfigurieren, das beim Austausch von Informationen zwischen Servern zum Importieren und Exportieren von
LTPA-Schlüsseln in mehreren Zellen von WebSphere® Application Server verwendet wird. Sie müssen den Server erneut starten, damit die Änderungen wirksam werden.
Weitere Informationen finden Sie im Artikel "LTPA-Schlüssel in mehreren Zellen von WebSphere Application Server verwalten".
- Sie können die gemeinsam genutzten Schlüssel angeben und das Authentifizierungsverfahren
konfigurieren, das beim Austausch von Informationen zwischen Servern zum Importieren und Exportieren von
LTPA-Schlüsseln in mehreren Zellen von WebSphere® Application Server verwendet wird. Sie müssen den Server erneut starten, damit die Änderungen wirksam werden.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ltpa_and_keys
Dateiname:tsec_ltpa_and_keys.html