Paramètres de protocole d'authentification pour une configuration client
Vous pouvez utiliser les paramètres du fichier sas.client.props pour configurer les clients SAS (Security Authentication Service) et CSIv2 (Common Secure Interoperability Version 2).
Utilisez les paramètres suivants
du fichier app_server_root/properties/sas.client.props
pour configurer les clients SAS et CSIv2.
Utilisez les paramètres suivants
du fichier sas.client.props pour configurer les clients SAS et CSIv2. By default, the sas.client.props file
is located in the profile_root/properties directory
of your WebSphere
Application Server WebSphere
Application Server, Network Deployment installation.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.IPC.authenticationTarget=BasicAuthcom.ibm.IPC.loginUserid=
com.ibm.IPC.loginPassword=com.ibm.IPC.loginSource=promptcom.ibm.IPC.krb5Service=WAScom.ibm.IPC.krb5CcacheFile=com.ibm.IPC.krb5ConfigFile=
com.ibm.CORBA.securityEnabled
Détermine si la sécurité est activée pour le processus client.
Réglage | valeur |
---|---|
Type de données | Booléenne |
Valeut par défaut | True |
Valeurs admises | True ou false |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
com.ibm.CSI.protocol
Détermine les protocoles d'authentification actifs.
Le client peut également configurer les protocoles ibm, csiv2 ou both (les deux) afin qu'ils soient actifs. Les seules valeurs possibles pour un protocole d'authentification sont ibm, csiv2 etboth (les deux). N'utilisez pas sas comme valeur de protocole d'authentification. Cette restriction s'applique aux configurations client et serveur. La liste qui suit fournit des informations concernant l'utilisation de chacune de ces options de protocole :
- ibm
- Cette option de protocole d'authentification est utilisée lors de la communication avec des serveurs WebSphere Application Server version 4.x ou antérieure.
- csiv2
- Cette option de protocole d'authentification est utilisée lors de la communication avec des serveurs WebSphere Application Server version 5 ou ultérieure car les intercepteurs SAS ne sont pas chargés et exécutés pour chaque demande de méthode.
- both
- Cette option de protocole d'authentification est utilisée pour l'interopérabilité entre des serveurs WebSphere Application Server version 4.x ou antérieure et des serveurs WebSphere Application Server version 5 ou ultérieure. En général, la spécification both (les deux) fournit une meilleure interopérabilité avec les autres serveurs.
Réglage | valeur |
---|---|
Type de données | String (chaîne) |
Valeut par défaut | Both (les deux) |
Valeurs admises | ibm, csiv2, both (les deux) |
com.ibm.CORBA.authenticationTarget
Détermine le type de mécanisme d'authentification à utiliser pour l'envoi des informations de sécurité du client au serveur.
Si l'option d'authentification de base est indiquée, l'ID utilisateur et le mot de passe sont envoyés au serveur. L'utilisation du transport Secure Sockets Layer (SSL) avec ce type d'authentification est recommandée ; sinon, le mot de passe n'est pas chiffré. Le serveur cible doit prendre en charge la cible d'authentification indiquée.
Réglage | valeur |
---|---|
Type de données | String (chaîne) |
Valeut par défaut | BasicAuth (authentification de base) |
Valeurs admises | BasicAuth, KRB5 |
com.ibm.CORBA.validateBasicAuth
Détermine si l'ID utilisateur et le mot de passe sont immédiatement validés lorsque les données de connexion sont saisies, si la propriété authenticationTarget a la valeur BasicAuth.
Dans les versions précédentes, les connexions BasicAuth étaient validées uniquement avec la demande de méthode initiale. Au cours de la première demande, l'ID utilisateur et le mot de passe sont envoyés au serveur. Si l'ID utilisateur ou le mot de passe est incorrect, c'est la première fois que le client peut remarquer une erreur. Avec validateBasicAuth, la validation de l'ID utilisateur et du mot de passe saisis est immédiatement effectuée sur le serveur de sécurité.
![[z/OS]](../images/ngzos.gif)
Pour de meilleures performances, vous pouvez désactiver cette propriété si vous ne souhaitez pas vérifier immédiatement l'ID utilisateur et le mot de passe saisis. Si le programme client peut attendre, il est préférable de laisser la demande de méthode initiale acheminer l'ID utilisateur et le mot de passe. Toutefois, la logique du programme risque de n'être pas aussi simple à réaliser car le traitement des erreurs doit être pris en comptes.
Réglage | valeur |
---|---|
Type de données | Booléenne |
Valeut par défaut | True |
Valeurs admises | True, False |
com.ibm.CORBA.authenticationRetryEnabled
Indique qu'une nouvelle tentative est effectuée après l'échec d'une connexion. Cette propriété détermine si une nouvelle tentative est effectuée pour d'autres erreurs, telles que des sessions avec état introuvables sur le serveur ou des erreurs de validation sur le serveur en raison de l'expiration d'un justificatif.
Le code mineur contenu dans l'exception renvoyée au client détermine les erreurs qui entraînent l'exécution d'une nouvelle tentative. Le nombre de nouvelles tentatives dépend de la propriété com.ibm.CORBA.authenticationRetryCount.
Réglage | valeur |
---|---|
Type de données | Booléenne |
Valeut par défaut | True |
Valeurs admises | True, False |
com.ibm.CORBA.authenticationRetryCount
Indique le nombre de tentatives lancées jusqu'à ce l'authentification aboutisse ou que le nombre maximal de tentatives soit atteint.
Lorsque la valeur maximale est atteinte, une exception d'authentification est renvoyée au client.
Réglage | valeur |
---|---|
Type de données | Entierr |
Valeut par défaut | 3 |
Intervalle | 1 à 10 |
com.ibm.CORBA.loginSource
Indique comment un intercepteur de demande tente de se connecter s'il ne trouve pas de justificatif d'appel déjà défini.
- com.ibm.CORBA.loginUserid
- com.ibm.CORBA.loginPassword
![[z/OS]](../images/ngzos.gif)
Lorsque vous définissez com.ibm.CORBA.loginSource=none pour une connexion d'appel à une méthode distante (RMI), que vous utilisez des scripts wsadmin ou d'autres clients, les justificatifs de l'utilisateur connecté sont hérités. Il n'est pas nécessaire de spécifier un utilisateur et/ou un mot de passe à la ligne de commande ou dans le fichier sas.client.props. L'héritage des accréditations lors de l'utilisation de com.ibm.CORBA.loginSource=none n'est disponible que pour la plateforme z/OS.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Lorsque vous définissez com.ibm.CORBA.loginSource=none pour une connexion RMI (Remote Method Invocation), vous devez exécuter une connexion à l'aide d'un programme, car les données d'identification de l'utilisateur connecté ne sont pas héritées, que vous utilisiez le scriptage avec wsadmin ou depuis d'autres clients. Vous devrez spécifier un utilisateur et/ou un mot de passe à la ligne de commande.
Réglage | valeur |
---|---|
Type de données | String (chaîne) |
Valeut par défaut | Prompt |
Valeurs admises | Prompt, key file, stdin, none, properties |
com.ibm.CORBA.loginUserid
Spécifie l'ID utilisateur lorsqu'une connexion de propriétés est configurée et qu'une authentification par couche de messages est réalisée.
Cette propriété n'est valide que si com.ibm.CORBA.loginSource=properties. Définissez également la propriété com.ibm.CORBA.loginPassword.
Réglage | valeur |
---|---|
Type de données | String (chaîne) |
Intervalle | Toute chaîne appropriée pour un ID utilisateur dans le registre d'utilisateurs configuré du serveur. |
com.ibm.CORBA.loginPassword
Spécifie le mot de passe lorsqu'une connexion de propriétés est configurée et qu'une authentification par couche de messages est réalisée.
Cette propriété n'est valide que si com.ibm.CORBA.loginSource=properties. Définissez également la propriété com.ibm.CORBA.loginUserid.
Réglage | valeur |
---|---|
Type de données | String (chaîne) |
Intervalle | Toute chaîne appropriée pour un mot de passe dans le registre d'utilisateurs configuré sur le serveur. |
com.ibm.CORBA.keyFileName
Indique le fichier de clés à utiliser pour se connecter.
Un fichier de clés est un fichier qui contient une liste de combinaisons domaine/ID utilisateur/mot de passe permettant à un client de se connecter à plusieurs domaines. Le domaine utilisé est celui trouvé dans l'IOR (interoperable object reference) pour la demande de méthode en cours. La valeur de cette propriété est utilisée lorsque com.ibm.CORBA.loginSource=key file est utilisée.
Réglage | valeur |
---|---|
Type de données | String (chaîne) |
Valeut par défaut | C;/WebSphere/AppServer/properties/wsserver.key |
Intervalle | Chemin d'accès complet et nom d'un fichier de clés de WebSphere Application Server. |
com.ibm.CORBA.loginTimeout
Spécifie la durée pendant laquelle l'invite de connexion demeure disponible avant que l'on considère que la connexion a échoué.
Réglage | valeur |
---|---|
Type de données | Entierr |
Unité | Valeur par défaut |
Valeut par défaut | 300 (intervalle de 5 minutes) |
Intervalle | 0 à 600 (intervalles de 10 minutes) |
com.ibm.CORBA.securityEnabled
Détermine si la sécurité est activée pour le processus client.
Réglage | valeur |
---|---|
Type de données | Booléenne |
Valeut par défaut | True |
Intervalle | True, False |