Paramètres de protocole d'authentification pour une configuration client

Vous pouvez utiliser les paramètres du fichier sas.client.props pour configurer les clients SAS (Security Authentication Service) et CSIv2 (Common Secure Interoperability Version 2).

[AIX Solaris HP-UX Linux Windows][z/OS]Utilisez les paramètres suivants du fichier app_server_root/properties/sas.client.props pour configurer les clients SAS et CSIv2.

[IBM i]Utilisez les paramètres suivants du fichier sas.client.props pour configurer les clients SAS et CSIv2. By default, the sas.client.props file is located in the profile_root/properties directory of your WebSphere Application Server WebSphere Application Server, Network Deployment installation.

[AIX Solaris HP-UX Linux Windows][IBM i]Important : SAS est pris en charge uniquement sur les serveurs version 6.0.x et antérieure qui ont été fédérés dans une cellule version 6.1.
[z/OS]Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.
Remarque : Le fichier sas.client.props de WebSphere Application Server Version 9.0 contient à présent de nouvelles propriétés qui prennent en charge BasicAuth et Kerberos :

com.ibm.IPC.authenticationTarget=BasicAuthcom.ibm.IPC.loginUserid=
com.ibm.IPC.loginPassword=com.ibm.IPC.loginSource=promptcom.ibm.IPC.krb5Service=WAScom.ibm.IPC.krb5CcacheFile=com.ibm.IPC.krb5ConfigFile=

com.ibm.CORBA.securityEnabled

Détermine si la sécurité est activée pour le processus client.

Tableau 1. com.ibm.CORBA.securityEnabled. Ce tableau décrit le paramètre com.ibm.CORBA.securityEnabled.
Réglage valeur
Type de données Booléenne
Valeut par défaut True
Valeurs admises True ou false
[AIX Solaris HP-UX Linux Windows][IBM i]

com.ibm.CSI.protocol

Détermine les protocoles d'authentification actifs.

Le client peut également configurer les protocoles ibm, csiv2 ou both (les deux) afin qu'ils soient actifs. Les seules valeurs possibles pour un protocole d'authentification sont ibm, csiv2 etboth (les deux). N'utilisez pas sas comme valeur de protocole d'authentification. Cette restriction s'applique aux configurations client et serveur. La liste qui suit fournit des informations concernant l'utilisation de chacune de ces options de protocole :

ibm
Cette option de protocole d'authentification est utilisée lors de la communication avec des serveurs WebSphere Application Server version 4.x ou antérieure.
csiv2
Cette option de protocole d'authentification est utilisée lors de la communication avec des serveurs WebSphere Application Server version 5 ou ultérieure car les intercepteurs SAS ne sont pas chargés et exécutés pour chaque demande de méthode.
both
Cette option de protocole d'authentification est utilisée pour l'interopérabilité entre des serveurs WebSphere Application Server version 4.x ou antérieure et des serveurs WebSphere Application Server version 5 ou ultérieure. En général, la spécification both (les deux) fournit une meilleure interopérabilité avec les autres serveurs.
Tableau 2. com.ibm.CSI.protocol. Ce tableau décrit le paramètre com.ibm.CSI.protocol.
Réglage valeur
Type de données String (chaîne)
Valeut par défaut Both (les deux)
Valeurs admises ibm, csiv2, both (les deux)

com.ibm.CORBA.authenticationTarget

Détermine le type de mécanisme d'authentification à utiliser pour l'envoi des informations de sécurité du client au serveur.

Si l'option d'authentification de base est indiquée, l'ID utilisateur et le mot de passe sont envoyés au serveur. L'utilisation du transport Secure Sockets Layer (SSL) avec ce type d'authentification est recommandée ; sinon, le mot de passe n'est pas chiffré. Le serveur cible doit prendre en charge la cible d'authentification indiquée.

Tableau 3. com.ibm.CORBA.authenticationTarget. Ce tableau décrit le paramètre com.ibm.CORBA.authenticationTarget.
Réglage valeur
Type de données String (chaîne)
Valeut par défaut BasicAuth (authentification de base)
Valeurs admises BasicAuth, KRB5

com.ibm.CORBA.validateBasicAuth

Détermine si l'ID utilisateur et le mot de passe sont immédiatement validés lorsque les données de connexion sont saisies, si la propriété authenticationTarget a la valeur BasicAuth.

Dans les versions précédentes, les connexions BasicAuth étaient validées uniquement avec la demande de méthode initiale. Au cours de la première demande, l'ID utilisateur et le mot de passe sont envoyés au serveur. Si l'ID utilisateur ou le mot de passe est incorrect, c'est la première fois que le client peut remarquer une erreur. Avec validateBasicAuth, la validation de l'ID utilisateur et du mot de passe saisis est immédiatement effectuée sur le serveur de sécurité.

[z/OS]Remarque : Définissez com.ibm.CORBA.validateBasicAuth=false chaque fois que vous vous connectez à un serveur z/OS. Cette fonction ne fonctionne pour l'instant pas d'un client réparti vers un serveur z/OS car le serveur de sécurité est recherché à l'aide du principal "UNAUTHENTICATED", qui n'est pas accepté sur les systèmes z/OS.

Pour de meilleures performances, vous pouvez désactiver cette propriété si vous ne souhaitez pas vérifier immédiatement l'ID utilisateur et le mot de passe saisis. Si le programme client peut attendre, il est préférable de laisser la demande de méthode initiale acheminer l'ID utilisateur et le mot de passe. Toutefois, la logique du programme risque de n'être pas aussi simple à réaliser car le traitement des erreurs doit être pris en comptes.

Tableau 4. com.ibm.CORBA.validateBasicAuth. Ce tableau décrit le paramètre com.ibm.CORBA.validateBasicAuth.
Réglage valeur
Type de données Booléenne
Valeut par défaut True
Valeurs admises True, False

com.ibm.CORBA.authenticationRetryEnabled

Indique qu'une nouvelle tentative est effectuée après l'échec d'une connexion. Cette propriété détermine si une nouvelle tentative est effectuée pour d'autres erreurs, telles que des sessions avec état introuvables sur le serveur ou des erreurs de validation sur le serveur en raison de l'expiration d'un justificatif.

Le code mineur contenu dans l'exception renvoyée au client détermine les erreurs qui entraînent l'exécution d'une nouvelle tentative. Le nombre de nouvelles tentatives dépend de la propriété com.ibm.CORBA.authenticationRetryCount.

Tableau 5. com.ibm.CORBA.authenticationRetryEnabled. Ce tableau décrit le paramètre com.ibm.CORBA.authenticationRetryEnabled.
Réglage valeur
Type de données Booléenne
Valeut par défaut True
Valeurs admises True, False

com.ibm.CORBA.authenticationRetryCount

Indique le nombre de tentatives lancées jusqu'à ce l'authentification aboutisse ou que le nombre maximal de tentatives soit atteint.

Lorsque la valeur maximale est atteinte, une exception d'authentification est renvoyée au client.

Tableau 6. com.ibm.CORBA.authenticationRetryCount. Ce tableau décrit le paramètre com.ibm.CORBA.authenticationRetryCount.
Réglage valeur
Type de données Entierr
Valeut par défaut 3
Intervalle 1 à 10

com.ibm.CORBA.loginSource

Indique comment un intercepteur de demande tente de se connecter s'il ne trouve pas de justificatif d'appel déjà défini.

Cette propriété n'est valable que si l'authentification par couche de messages a lieu. Si seule l'authentification de la couche transport est effectuée, cette propriété est ignorée. Lors de la spécification des propriétés, les deux propriétés supplémentaires suivantes doivent être définies :
  • com.ibm.CORBA.loginUserid
  • com.ibm.CORBA.loginPassword
Lors de l'établissement d'une connexion par programme, il n'est pas nécessaire de spécifier aucune comme source de connexion. La requête échoue si un justificatif est défini comme justificatif d'appel lors d'une requête de méthodes.
[z/OS]Important : Pour la plateforme z/OS, vous pouvez éditer le fichier de propriétés sas.client.props, et définir la propriété loginSource ainsi : com.ibm.CORBA.loginSource=none

Lorsque vous définissez com.ibm.CORBA.loginSource=none pour une connexion d'appel à une méthode distante (RMI), que vous utilisez des scripts wsadmin ou d'autres clients, les justificatifs de l'utilisateur connecté sont hérités. Il n'est pas nécessaire de spécifier un utilisateur et/ou un mot de passe à la ligne de commande ou dans le fichier sas.client.props. L'héritage des accréditations lors de l'utilisation de com.ibm.CORBA.loginSource=none n'est disponible que pour la plateforme z/OS.

[AIX Solaris HP-UX Linux Windows]Important : Dans le cas d'une plateforme distribuée, vous pouvez choisir de NE PAS EDITER le fichier sas.client.props de propriétés mais définissez la propriété loginSource comme suit : com.ibm.CORBA.loginSource=none

Lorsque vous définissez com.ibm.CORBA.loginSource=none pour une connexion RMI (Remote Method Invocation), vous devez exécuter une connexion à l'aide d'un programme, car les données d'identification de l'utilisateur connecté ne sont pas héritées, que vous utilisiez le scriptage avec wsadmin ou depuis d'autres clients. Vous devrez spécifier un utilisateur et/ou un mot de passe à la ligne de commande.

Tableau 7. com.ibm.CORBA.loginSource. Ce tableau décrit le paramètre com.ibm.CORBA.loginSource.
Réglage valeur
Type de données String (chaîne)
Valeut par défaut Prompt
Valeurs admises Prompt, key file, stdin, none, properties

com.ibm.CORBA.loginUserid

Spécifie l'ID utilisateur lorsqu'une connexion de propriétés est configurée et qu'une authentification par couche de messages est réalisée.

Cette propriété n'est valide que si com.ibm.CORBA.loginSource=properties. Définissez également la propriété com.ibm.CORBA.loginPassword.

Tableau 8. com.ibm.CORBA.loginUserid. Ce tableau décrit le paramètre com.ibm.CORBA.loginUserid.
Réglage valeur
Type de données String (chaîne)
Intervalle Toute chaîne appropriée pour un ID utilisateur dans le registre d'utilisateurs configuré du serveur.

com.ibm.CORBA.loginPassword

Spécifie le mot de passe lorsqu'une connexion de propriétés est configurée et qu'une authentification par couche de messages est réalisée.

Cette propriété n'est valide que si com.ibm.CORBA.loginSource=properties. Définissez également la propriété com.ibm.CORBA.loginUserid.

Tableau 9. com.ibm.CORBA.loginPassword. Ce tableau décrit le paramètre com.ibm.CORBA.loginPassword.
Réglage valeur
Type de données String (chaîne)
Intervalle Toute chaîne appropriée pour un mot de passe dans le registre d'utilisateurs configuré sur le serveur.

com.ibm.CORBA.keyFileName

Indique le fichier de clés à utiliser pour se connecter.

Un fichier de clés est un fichier qui contient une liste de combinaisons domaine/ID utilisateur/mot de passe permettant à un client de se connecter à plusieurs domaines. Le domaine utilisé est celui trouvé dans l'IOR (interoperable object reference) pour la demande de méthode en cours. La valeur de cette propriété est utilisée lorsque com.ibm.CORBA.loginSource=key file est utilisée.

Tableau 10. com.ibm.CORBA.keyFileName. Ce tableau décrit le paramètre com.ibm.CORBA.keyFileName.
Réglage valeur
Type de données String (chaîne)
Valeut par défaut C;/WebSphere/AppServer/properties/wsserver.key
Intervalle Chemin d'accès complet et nom d'un fichier de clés de WebSphere Application Server.

com.ibm.CORBA.loginTimeout

Spécifie la durée pendant laquelle l'invite de connexion demeure disponible avant que l'on considère que la connexion a échoué.

Tableau 11. com.ibm.CORBA.loginTimeout. Ce tableau décrit le paramètre com.ibm.CORBA.loginTimeout.
Réglage valeur
Type de données Entierr
Unité Valeur par défaut
Valeut par défaut 300 (intervalle de 5 minutes)
Intervalle 0 à 600 (intervalles de 10 minutes)

com.ibm.CORBA.securityEnabled

Détermine si la sécurité est activée pour le processus client.

Tableau 12. com.ibm.CORBA.securityEnabled. Ce tableau décrit le paramètre com.ibm.CORBA.securityEnabled.
Réglage valeur
Type de données Booléenne
Valeut par défaut True
Intervalle True, False

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_csiv2copo
Nom du fichier : rsec_csiv2copo.html