Valores de comunicaciones de salida CSIv2 (Common Secure Interoperability Versión 2)
Utilice esta página para especificar las características que soportará un servidor cuando actúe como cliente de otro servidor en sentido descendente.
- Pulse .
- En Autenticación, pulse .
- Capa de atributos CSIv2. La capa de atributos puede contener una señal de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de identidad tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si un cliente envía las tres, solamente se utilizará la capa de identidad. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la solicitud. El cliente toma la IOR (Interoperable Object Reference) del espacio de nombres y lee los valores del componente con distintivo para determinar qué necesita el servidor en cuanto a seguridad.
- Capa de transporte CSIv2. La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
Capa de mensajes CSIv2. La capa de mensajes puede contener un ID de usuario y una contraseña o señal autenticada con una caducidad.
Propagar atributos de seguridad
Especifica el soporte para la propagación de atributos de seguridad durante las solicitudes de inicio de sesión. Cuando selecciona esta opción, el servidor de aplicaciones conserva información adicional acerca de la solicitud de inicio de sesión como, por ejemplo, el nivel de autenticación utilizado, y conserva la identidad y la ubicación del que ha originado la solicitud.
Si no selecciona esta opción, el servidor de aplicaciones no acepta ningún tipo de información de inicio de sesión adicional para propagarla a los servidores en sentido descendente.
Información | Valor |
---|---|
Valor predeterminado: | Habilitada |
Utilizar la confirmación de identidad
Especifica que la aserción de identidad es una forma de confirmar las identidades de un servidor a otro durante una invocación de EJB (Enterprise JavaBeans) en sentido descendente.
Este servidor no autentica de nuevo la identidad confirmada porque confía en el servidor en sentido ascendente. La aserción de identidad tiene prioridad sobre los otros tipos de autenticación.
La confirmación de identidad se efectúa en la capa de atributos y sólo se puede aplicar en servidores. El principal determinado en el servidor se basa en las reglas de precedencia. Si se realiza la aserción de identidad, la identidad siempre se deriva de la capa de atributos. Si se utiliza la autenticación básica sin la aserción de identidad, la identidad siempre se deriva de la capa de mensajes. Por último, si se realiza la autenticación de certificados de cliente SSL sin la autenticación básica ni la aserción de identidad, la identidad se deriva de la capa de transporte.
La identidad confirmada es la credencial de invocación que determina la modalidad RunAs para el enterprise bean. Si la modalidad RunAs es Cliente, la identidad es la identidad del cliente. Si la modalidad RunAs es Sistema, la identidad es la identidad del servidor. Si la modalidad RunAs es Especificada, la identidad es la identidad especificada. El servidor receptor recibe la identidad en una señal de identidad, y también recibe la identidad del servidor emisor en una señal de autenticación de cliente. El servidor receptor valida la identidad del servidor emisor como una identidad de confianza mediante el recuadro de entrada ID de servidor de confianza. Escriba una lista de nombres de principal separados por el símbolo de barra vertical (|), por ejemplo, serverid1|serverid2|serverid3.
Todos los tipos de símbolos de identidad se correlacionan con el campo de ID de usuario del registro de usuarios activo. Para una señal de identidad ITTPrincipal, se correlaciona de uno en uno con los campos de ID de usuario. Para una señal de identidad ITTDistinguishedName, el valor del primer signo igual se correlaciona con el campo del ID de usuario. Para una señal de identidad ITTCertChain, el valor del primer signo igual del nombre distinguido se correlaciona con el campo de ID de usuario.
Al autenticarse en un registro de usuarios LDAP, los filtros LDAP determinan cómo se correlaciona una identidad de tipo ITTCertChain y ITTDistinguishedName con el registro. Si el tipo de señal es ITTPrincipal, el principal se correlaciona con el campo UID del registro LDAP.
Información | Valor |
---|---|
Valor predeterminado: | Inhabilitado |
Utilizar la identidad de servidor de confianza
Especifica la identidad de servidor que utiliza el servidor de aplicaciones para establecer la confianza con el servidor de destino. La identidad del servidor puede enviarse utilizando uno de los métodos siguientes:
- Un ID de servidor y una contraseña cuando se especifica la contraseña de servidor en la configuración del registro.
- Un ID de servidor y una señal LTPA (Lightweight Third Party Authentication) cuando se utiliza el ID de servidor interno.
- Configure el ID de servidor y la contraseña en el registro.
- Seleccione la opción Identidad de servidor con confianza y especifique la identidad de confianza y la contraseña para que se envíe la señal GSSUP (Generic Security Services Username Password) interaoperativa, en lugar de una señal LTPA.
Información | Valor |
---|---|
Valor predeterminado: | Inhabilitado |
Especificar una identidad de confianza alternativa
Especifica un usuario alternativo como identidad de confianza que se envía a los servidores de destino en lugar de enviar la identidad de servidor.
Esta opción es la recomendada para la aserción de identidad. La identidad se hace automáticamente de confianza cuando se envía en la misma célula y no necesita estar en la lista de identidades de confianza de la misma célula. Sin embargo, esta identidad debe estar en el registro de los servidores de destino en una célula externa y el ID de usuario debe estar en la lista de identidades de confianza o se rechazará la identidad durante la evaluación de confianza.
Información | Valor |
---|---|
Valor predeterminado: | Inhabilitado |
Identidad de confianza
Especifica la identidad de confianza que se envía desde el servidor emisor al servidor receptor.
Si especifica una identidad en este campo, se puede seleccionar en el panel del repositorio de cuentas de usuario configurados. Si no especifica una identidad, se envía una señal LTPA (Lightweight Third Party Authentication) entre los servidores.
Especifica una lista separada por signos de punto
y coma (;) o coma (,) de ID de servidores de confianza en los que se confía para
llevar a cabo la aserción de identidad de este servidor. Por ejemplo, serverid1;serverid2;serverid3
o serverid1,serverid2,serverid3.
Utilice esta lista para decidir si se trata de un servidor de confianza. Incluso si el servidor está en la lista, el servidor emisor deberá autenticarse con el servidor receptor para poder aceptar la señal de identidad del servidor receptor.
Password
Especifica la contraseña asociada a la identidad de confianza.
Información | Valor |
---|---|
Tipo de datos: | Texto |
Confirmar contraseña
Confirma la contraseña asociada a la identidad de confianza.
Información | Valor |
---|---|
Tipo de datos: | Texto |
Autenticación de la capa de mensajes
- Never
- Especifica que este servidor no puede aceptar la autenticación utilizando alguno de los mecanismos seleccionados.
- Supported
- Especifica que un cliente comunicándose con este servidor puede autenticarse utilizando cualquiera de los mecanismos seleccionados. Sin embargo, puede invocarse un método sin este tipo de autenticación. Por ejemplo, en su lugar puede utilizarse un certificado anónimo o del cliente.
- Required
- Especifica que los clientes que se comunican con este servidor deben especificar información de autenticación utilizando los mecanismos seleccionados para cualquier solicitud de método.
Permitir al cliente la autenticación de servidor con:
Especifica la autenticación de servidor utilizando Kerberos, LTPA o la autenticación básica.
- Kerberos (KRB5)
- Seleccione esta opción para especificar Kerberos como mecanismo de autenticación. Primero debe configurar el mecanismo de autenticación de Kerberos. Consulte Configuración de Kerberos como mecanismo de autenticación mediante la consola administrativa si desea más información.
- LTPA
- Seleccione esta opción para configurar y habilitar la autenticación de señales LTPA (Lightweight Third-Party Authentication).
- Autenticación básica
- La autenticación básica es GSSUP (Generic Security Services Username Password). Este tipo de autenticación consiste, generalmente, en enviar un ID de usuario y una contraseña del cliente al servidor para autenticarlos.
Si selecciona Autenticación básica y LTPA, y el mecanismo de autenticación es LTPA, el servidor acude a un servidor descendente con un nombre de usuario y contraseña o señal LTPA.
Si selecciona Autenticación básica y KRB5, y el mecanismo de autenticación es KRB5, el servidor acude a un servidor descendente con un nombre de usuario, contraseña, señal Kerberos o señal LTPA.
Si no selecciona Autenticación básica, el servidor no acude a un servidor descendente con un nombre de usuario y contraseña.
Transporte
Especifica si los procesos de cliente se conectan al servidor utilizando uno de los transportes conectados del servidor.
Puede elegir utilizar SSL, TCP/IP o Ambos como el transporte de salida al que da soporte el servidor. Si especifica TCP/IP, el servidor sólo da soporte a TCP/IP y no puede iniciar conexiones SSL con los servidores en sentido descendente. Si especifica Da soporte a SSL, este servidor puede iniciar las conexiones TCP/IP o SSL indistintamente. Si especifica Precisa SSL, este servidor debe utilizar SSL para iniciar conexiones con servidores en sentido descendente. Cuando especifique SSL, decida qué conjunto de valores de configuración SSL desea utilizar para la configuración de salida.
Esta decisión determina qué archivo de claves y archivo de confianza se debe utilizar para conexiones de salida con los servidores en sentido descendente.
- TCP/IP
- Si selecciona esta opción, el servidor sólo abre conexiones TCP/IP con servidores en sentido descendente.
- Precisa SSL
- Si selecciona esta opción, el servidor abre conexiones SSL con servidores en sentido descendente.
- SSL soportado
- Si selecciona esta opción, el servidor abre conexiones SSL con cualquier servidor en sentido descendente que les dé soporte y abre conexiones TCP/IP con todas los servidores en sentido descendente que no den soporte a SSL.
Información | Valor |
---|---|
Valor predeterminado: | SSL soportado |
Rango: | TCP/IP, Precisa SSL, Da soporte a SSL |
Valores SSL
Especifica una lista de valores SSL predefinidos para elegir para la conexión de entrada.
Información | Valor |
---|---|
Tipo de datos: | Serie |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Rango: | Cualquier valor SSL que esté configurado en Repertorio de configuración SSL |
Autenticación de certificado de cliente
Especifica si un certificado de cliente del almacén de claves configurado se va a utilizar para autenticarse en el servidor cuando se establezca la conexión SSL entre este servidor y un servidor en sentido descendente, siempre que el servidor en sentido descendente dé soporte a la autenticación de certificados de cliente.
Generalmente la autenticación de certificados de cliente un rendimiento mayor que la autenticación de la capa de mensajes pero requiere alguna configuración adicional. Estos pasos adicionales requieren la verificación de que este servidor disponga de un certificado personal y de que el servidor en sentido descendente tenga el certificado de firmante de este servidor.
- Never
- Especifica que este servidor no puede realizar la autenticación de certificado de cliente SSL (Secure Sockets Layer) con servidores en sentido descendente.
- Soportado
- Especifica que este servidor puede utilizar certificados de cliente SSL para autenticarse en los servidores en sentido descendente. Sin embargo, puede invocarse un método sin este tipo de autenticación. Por ejemplo, el servidor puede utilizar un certificado anónimo o de autenticación básica en su lugar).
- Required
- Especifica que este servidor debe utilizar certificados de cliente SSL para autenticarse en los servidores en sentido descendente.
Información | Valor |
---|---|
Valor predeterminado: | Habilitada |
Configuración de inicio de sesión
Especifica el tipo de configuración de inicio de sesión del sistema que se debe utilizar para la autenticación de entrada.
Puede añadir módulos de inicio de sesión personalizados pulsando
. En Autenticación, pulse .Sesiones con estado
Seleccione esta opción para habilitar las sesiones sin estado que resultan útiles principalmente para mejorar el rendimiento.
El primer contacto entre un cliente y un servidor debe autenticarse completamente. Sin embargo, todos los demás contactos con sesiones válidas, vuelven a utilizar la información de seguridad. El cliente pasa un ID de contexto al servidor y el ID se utiliza para buscar la sesión. El ID de contexto tiene el ámbito de la conexión, lo cual garantiza la exclusividad. Cuando la sesión de seguridad no es válida y el reintento de autenticación está habilitado, que es el valor predeterminado, el interceptor de seguridad del cliente invalida la sesión del cliente y vuelve a someter la solicitud sin que el usuario lo sepa. Esto puede producirse si la sesión no existe en el servidor, por ejemplo, el servidor ha fallado y ha reanudado la operación. Cuando se inhabilita este valor, cada una de las invocaciones de método debe volver a autenticarse.
Habilitar el límite de memoria caché de sesión CSIv2
Especifica si se debe limitar el tamaño de la memoria caché de la sesión CSIv2.
Cuando se habilita esta opción, debe establecer valores para las opciones Tamaño máximo de memoria caché y Tiempo de espera de sesión desocupada. Si no habilita esta opción, la memoria caché de la sesión CSIv2 no está limitada.
En versiones anteriores del servidor de aplicaciones puede haber establecido este valor como la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. En esta versión del producto, es aconsejable establecer este valor mediante este panel de la consola de administración y no como una propiedad personalizada.
Información | Valor |
---|---|
Valor predeterminado: | false |
Tamaño máximo de memoria caché
Especifique el tamaño máximo de la memoria caché de la sesión superado el cual se suprimen las sesiones caducadas de la memoria caché.
Las sesiones caducadas se definen como sesiones que están desocupadas más tiempo del valor que se especifica en el campo Tiempo de espera de sesión desocupada. Cuando especifique un valor para el campo Tamaño máximo de memoria caché, establézcalo entre 100 y 1000 entradas.
Considere la especificación de un valor para este campo si el entorno utiliza la autenticación Kerberos y tiene un pequeño desfase horario para el Centro de distribución de claves (KDC) configurado. En este caso, un pequeño desfase horario se define como menos de 20 minutos. Considere aumentar el valor de este campo si el tamaño pequeño de la memoria caché hace que la recogida de basura se ejecute con tanta frecuencia que afecta al rendimiento del servidor de aplicaciones.
En versiones anteriores del servidor de aplicaciones puede haber establecido este valor como la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. En esta versión del producto, es aconsejable establecer este valor mediante este panel de la consola de administración y no como una propiedad personalizada.
Este campo sólo se aplica si habilita las opciones Sesiones con estado y Habilitar límite de memoria caché de la sesión CSIv2.
Información | Valor |
---|---|
Valor predeterminado: | De forma predeterminada, no se establece ningún valor. |
Rango: | De 100 a 1000 entradas |
Tiempo de espera de sesión inactiva
Esta propiedad especifica el tiempo en milisegundos que una sesión CSIv2 puede permanecer desocupada antes de que se suprima. La sesión se suprime si ha seleccionado la opción Habilitar límite de memoria caché de la sesión CSIv2 y se ha superado el valor establecido en el campo Tamaño máximo de memoria caché.
Este valor de tiempo de espera sólo se aplica si habilita las opciones Sesiones con estado y Habilitar límite de memoria caché de la sesión CSIv2. Considere la reducción del valor de este campo si el entorno utiliza la autenticación Kerberos y tiene un pequeño desfase horario para el Centro de distribución de claves (KDC) configurado. En este caso, un pequeño desfase horario se define como menos de 20 minutos. Un pequeño desfase horario puede producir un gran número de sesiones CSIv2 rechazadas. Sin embargo, con un valor más pequeño en el campo Tiempo de espera de sesión desocupada, el servidor de aplicaciones puede limpiar estas sesiones rechazadas con más frecuencia y potencialmente reducir la escasez de recursos.
En versiones anteriores de WebSphere Application Server, es posible que tenga que establecer este valor como la propiedad personalizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. En esta versión del producto, es aconsejable establecer este valor mediante este panel de la consola administrativa y no como una propiedad personalizada. Si lo ha establecido previamente como una propiedad personalizada, el valor se ha establecido en milisegundos y se convierte a segundos en este panel de la consola administrativa. En este panel de la consola administrativa, debe especificar el valor en segundos.
Información | Valor |
---|---|
Valor predeterminado: | De forma predeterminada, no se establece ningún valor. |
Rango: | De 60 a 86.400 segundos |
Correlación de salida personalizada
Habilita el uso de módulos de inicio de sesión de salida RMI (Remote Method Invocation).
El módulo de inicio de sesión personalizado correlaciona o completa otras funciones antes de la llamada de salida RMI predefinida.
- Pulse .
- En Autenticación, pulse .
Reinos de autenticación de confianza - salida
Si la configuración RMI/IIOP se realiza en varios reinos, utilice este enlace para añadir reinos de confianza de salida.
Las señales de credenciales sólo se envían a los reinos de confianza. Además, el servidor receptor debe confiar en este reino utilizando la configuración de reinos de confianza de entrada para validar la señal LTPA.