In WebSphere Application
Server können Sie die IIOP-Authentifizierung (Internet Inter-ORB
Protocol) für eingehende und abgehende Authentifizierungsanforderungen angeben.
Für eingehende Anforderungen können Sie den akzeptierten Authentifizierungstyp angeben, z. B.
Basisauthentifizierung. Für abgehende Anforderungen können Sie Eigenschaften angeben, z. B.
Authentifizierungstyp, Zusicherung der Identität oder Anmeldekonfigurationen, die für Anforderungen
an nachgeschaltete (Downstream-) Server verwendet werden.
Informationen zu diesem Vorgang
Führen Sie die folgenden Schritte aus, um Common Secure Interoperability
Version 2 (CSIV2) und Security Authentication Service (SAS) zu konfigurieren.
Wichtig: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
Vorgehensweise
- Bestimmen Sie für jeden Punkt in Ihrer Infrastruktur, wie die Sicherheit für ein- und abgehende Anforderungen
zu konfigurieren ist.
Sie könnten beispielsweise einen Java™-Client
haben, der mit
einem EJB-Anwendungsserver kommuniziert, welcher seinerseits
mit einem untergeordneten EJB-Anwendungsserver kommuniziert.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Der
Java-Client
verwendet die Datei
sas.client.props, um die Sicherheit für abgehende Anforderungen zu konfigurieren. Reine Clients
müssen nur die Sicherheit für abgehende Anforderungen konfigurieren.
Ein
CSIv2-Java-Client
verwendet eine Konfigurationsdatei, die mit der Java-Eigenschaft "com.ibm.CORBA.ConfigURL"
angegeben wird, um die Sicherheit für abgehende Anforderungen zu konfigurieren.
Der übergeordnete EJB-Anwendungsserver konfiguriert die Sicherheit für eingehende Daten so,
dass er die vom Java-Client empfangene Authentifizierung handhaben kann. Der übergeordnete
EJB-Anwendungsserver verwendet die Sicherheitskonfiguration für abgehende Daten für die Kommunikation mit dem nachgeordneten
EJB-Anwendungsserver.
Die Art der Authentifizierung
kann von der Authentifizierung abweichen, die Sie
vom Java-Client
für die Kommunikation zum übergeordneten EJB-Anwendungsserver erwarten. Die Sicherheit
zwischen dem reinen Client und dem ersten EJB-Server kann in Abhängigkeit von der jeweiligen
Infrastruktur strenger sein. Der nachgeordnete EJB-Server verwendet die Sicherheitskonfiguration
für eingehende Daten beim Akzeptieren der Anforderungen vom übergeordneten EJB-Server. Für beide
Server sind außerdem ähnliche Optionen erforderlich.
Wenn der untergeordnete EJB-Anwendungsserver wiederum mit anderen untergeordneten Servern kommuniziert,
muss die Sicherheit für abgehende Daten möglicherweise auf spezielle Weise konfiguriert werden.
- Geben Sie die Art der Authentifizierung an.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Standardmäßig
wird eine Authentifizierung auf Basis einer Benutzer-ID und eines Kennworts durchgeführt.
Standardmäßig
unterstützt der Server die Authentifizierung auf der Basis eine Benutzer-ID und eines Kennworts.
Die Authentifizierung mittels
Java-Clientzertifikat
und die Zusicherung der Identität sind standardmäßig inaktiviert. Falls Sie auf jeder
Ebene diese Form der Authentifizierung anwenden möchten, verwenden Sie die
unveränderte Konfiguration des CSIV2-Authentifizierungsprotokolls. Wenn Sie jedoch spezielle Anforderungen
haben und sich die Authentifizierung einiger Server von der anderer Server unterscheiden soll,
überlegen Sie, wie Sie CSIv2 am effizientesten konfigurieren können.
- Konfigurieren Sie Clients und Server.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Reine
Java-Clients
werden mit der Datei sas.client.props konfiguriert, in der die Eigenschaften geändert werden.
Reine Java-Clients
werden mit einer Eigenschaftendatei konfiguriert, die mit der Java-Eigenschaft "com.ibm.CORBA.ConfigURL"
angegeben wird.
Server werden immer mit der Administrationskonsole oder Scripting konfiguriert. Verwenden
für Konfigurationen auf Zellenebene den Navigationsbereich für die Sicherheit und für Konfigurationen auf Serverebene
die Serversicherheit für Anwendungsserver. Wenn sich die Authentifizierung einiger Server
von der anderer Server unterscheiden soll, ändern Sie einige der Konfigurationen auf Serverebene. Wenn Sie diese Konfigurationen ändern, überschreiben Sie die Konfigurationen auf Zellenebene.
Nächste Schritte
Die CSIV2-Einstellungen für eingehende Kommunikation
sind für die Konfiguration der Informationen zum Authentifizierungstyp bestimmt, die in einer
eingehenden Anforderung oder in einem eingehenden Transport enthalten sind.
Mit den CSIV2-Einstellungen für abgehende Kommunikation können Sie Features
angeben, die der Server unterstützt, wenn er für einen anderen nachgeschalteten Server als Client agiert.