Paramètres des communications sortantes CSIv2 (Common Secure Interoperability Version 2)
Cette page permet de définir les fonctionnalités prises en charge par un serveur lorsque ce dernier est client d'un autre serveur en aval.
- Cliquez sur .
- Dans Authentification, cliquez sur .
- Couche d'attributs CSIv2. La couche d'attributs peut contenir un jeton d'identité, qui est une identité provenant d'un serveur en amont déjà authentifié. La couche de vérification d'identité possède la priorité la plus élevée, suivie de la couche de messages, puis enfin, de la couche de transport. Si un client envoie les trois couches, seule celle d'identité est employée. Le certificat client SSL peut uniquement être employé comme identité s'il s'agit de la seule information présentée lors de la demande. Le client extrait l'IOR (Interoperable Object Reference) de l'espace de noms et lit les valeurs du composant référencé pour déterminer ce dont le serveur a besoin en matière de sécurité.
- Couche de transport CSIv2. La couche de transport, couche inférieure, peut contenir un certificat client SSL (Secure Sockets Layer) comme identité.
Couche de messages CSIv2. La couche de messages peut contenir un ID utilisateur et un mot de passe ou un jeton d'authentification avec délai d'expiration.
Propager les attributs de sécurité
Indique la prise en charge de la propagation des attributs de sécurité pendant les demandes de connexion. Si vous sélectionnez cette option, le serveur d'applications conserve des informations supplémentaires sur la demande de connexion, telles que la puissance d'authentification utilisée, et conserve l'identité et l'emplacement de l'émetteur de la demande.
Si vous ne sélectionnez pas cette option, le serveur d'applications n'accepte pas d'autres informations de connexion à propager vers les serveurs en aval.
Information | valeur |
---|---|
Valeur par défaut | Activé |
Utiliser la vérification d'identité
Indique que la vérification d'identité est un moyen permettant de vérifier les identités d'un serveur à un autre au cours d'un appel d'EJB (Enterprise JavaBeans) en aval.
Ce serveur n'authentifie pas une nouvelle fois l'identité vérifiée car il fait confiance au serveur en amont. La vérification d'identité prévaut sur tous les autres types d'authentification.
La vérification de l'identité est effectuée dans la couche des attributs et ne s'applique qu'aux serveurs. Le principal déterminé sur le serveur se base sur les règles de préséance. Si la vérification de l'identité est effectuée, l'identité est toujours dérivée de la couche des attributs. Si l'authentification de base est utilisée sans la vérification d'identité, l'identité est toujours dérivée de la couche messages. Enfin, si l'authentification par certificat client SSL est effectuée sans authentification de base ou vérification de l'identité, l'identité est dérivée de la couche de transport.
L'identité vérifiée constitue le justificatif d'appel déterminé par le mode d'exécution pour le bean enterprise. Si le mode d'exécution est Client, l'identité est celle du client. Si le mode d'exécution est Système, l'identité est celle du serveur. Si le mode d'exécution est Spécifié, l'identité est celle indiquée. Le serveur récepteur reçoit l'identité dans un jeton d'identité, ainsi que celle du serveur émetteur dans un jeton d'authentification client. Le serveur récepteur vérifie si l'identité du serveur émetteur est sécurisée à l'aide de la zone d'entrée ID serveur sécurisés. Entrez une liste de noms de principaux séparés par un signe (|), par exemple, idserveur1|idserveur2|idserveur3.
Tous les types de jeton d'identité sont mappés à la zone d'ID utilisateur du registre d'utilisateurs actif. Pour un jeton d'identité ITTPrincipal, celui-ci est mappé un-à-un aux zones ID utilisateur. Pour un jeton d'identité ITTDistinguishedName, la valeur du premier signe égal est mappée à zone ID utilisateur. Pour un jeton d'identité ITTCertChain, la valeur du premier signe égal du nom distinctif est mappée à la zone ID utilisateur.
Lors de l'authentification par rapport à un registre d'utilisateurs LDAP, les filtres LDAP déterminent comment des identités de type ITTCertChain et ITTDistinguishedName sont mappées au registre. Si le jeton est de type ITTPrincipal, le principal est mappé à la zone d'UID dans le registre LDAP.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Utiliser l'identité sécurisée du serveur
Indique l'identité de serveur que le serveur d'applications emploie pour établir une relation de confiance avec le serveur cible. L'identité de serveur peut être envoyée de l'une des façons suivantes :
- un identificateur et un mot de passe serveur sont indiqués dans la configuration du registre ;
- un identificateur serveur dans un jeton LTPA (Lightweight Third Party Authentication) que l'ID de serveur interne est employé.
- Configurez l'ID et le mot de passe serveur dans le registre.
- Sélectionnez l'option Identité digne de confiance de serveur et indiquez l'identité et le mot de passe dignes de confiance pour qu'un jeton GSSUP (Generic Security Services Username Password) soit envoyé au lieu d'un jeton LTPA.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Indiquer une identité sécurisée alternative
Désigne un autre utilisateur comme identité digne de confiance envoyée aux serveurs cible au lieu de l'identité du serveur.
Cette option est conseillée pour la vérification d'identité. L'identité est automatiquement digne de confiance lorsqu'elle est envoyée dans la même cellule et n'a pas besoin de figurer dans la liste d'identités dignes de confiance de cette cellule. Toutefois, cette identité doit se trouver dans le registre des serveurs cible d'une cellule externe et l'ID utilisateur doit figurer dans la liste d'identités sécurisées ; sinon, l'identité est refusée lors de l'évaluation de la sécurité.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Identité digne de confiance
Spécifie l'identité digne de confiance envoyée par le serveur émetteur au serveur récepteur.
Si vous indiquez une identité dans cette zone, elle peut être sélectionnée dans le panneau pour le référentiel de comptes utilisateur configuré. Si vous ne précisez pas d'identité en revanche, un jeton LTPA (Lightweight Third Party Authentication) est envoyé entre les serveurs.
Permet d'indiquer une liste d'ID de
serveur, séparés par des points-virgules (;) ou des virgules (,), reconnus
comme étant dignes de confiance et pouvant être utilisés pour effectuer
les vérifications d'identité sur ce serveur. Par exemple, idserveur1;idserveur2;idserveur3 ou idserveur1,idserveur2,idserveur3.
Utilisez cette liste pour déterminer si un serveur est digne de confiance. Même si le serveur se trouve dans la liste, le serveur émetteur doit s'authentifier auprès du serveur récepteur pour accepter le jeton d'identité du serveur émetteur.
Mot de passe
Indique le mot de passe associé à l'identité digne de confiance.
Information | valeur |
---|---|
Type de données : | Texte |
Confirmation du mot de passe
Confirme le mot de passe associé à l'identité digne de confiance.
Information | valeur |
---|---|
Type de données : | Texte |
Authentification par couche de messages
- Jamais
- Indique que ce serveur ne peut pas accepter l'authentification à l'aide des mécanismes sélectionnés.
- Prises en charge
- Indique qu'un client communiquant avec ce serveur peut procéder à l'authentification à l'aide des mécanismes sélectionnés. Cependant, une méthode peut être appelée sans ce type d'authentification. Par exemple, il est possible d'utiliser une authentification anonyme ou une authentification à l'aide d'un certificat client à la place.
- Obligatoire
- Indique que les clients communiquant avec ce serveur doivent spécifier des informations d'authentification à l'aide des mécanismes sélectionnés pour n'importe quelle demande de méthode.
Autoriser l'authentification client sur le serveur avec :
Indique l'authentification client-serveur à l'aide de l'authentification de base, Kerberos ou LTPA.
- Kerberos (KRB5)
- Permet d'indiquer Kerberos comme mécanisme d'authentification. Vous devez commencer par configurer le mécanisme d'authentification Kerberos. Pour plus d'informations, voir Configuration de Kerberos comme un mécanisme d'authentification utilisant la console d'administration.
- LTPA
- Sélectionnez cette option pour configurer et activer l'authentification de jeton LTPA (Lightweight Third-Party Authentication).
- Authentification de base
- L'authentification de base est de type GSSUP (Generic Security Services Username Password). Ce type d'authentification nécessite généralement l'envoi d'un ID utilisateur et d'un mot de passe à partir du client au serveur pour authentification.
Si vous sélectionnez Authentification de base et LTPA et que le mécanisme d'authentification actif est LTPA, le serveur est associé à un serveur en aval à un nom d'utilisateur, un mot de passe ou un jeton LTPA.
Si vous sélectionnez Authentification de base et KRB5 et que le mécanisme d'authentification actif est KRB5, le serveur est associé à un serveur en aval à un nom d'utilisateur, un mot de passe, un jeton Kerberos ou LTPA.
Si vous ne sélectionnez pas Authentification de base, le serveur ne correspond pas à un serveur en aval avec un nom d'utilisateur et un mot de passe.
Transport
Indique si les processus client se connectent au serveur à l'aide de l'un des transports connectés au serveur.
Vous pouvez choisir d'utiliser SSL, TCP/IP ou Les deux en tant que protocole de transport des communications sortantes pris en charge par un serveur. Si vous indiquez TCP/IP, le serveur prend en charge uniquement TCP/IP et ne peut pas initialiser les connexions SSL avec les serveurs en aval. Si vous indiquez SSL-supported, ce serveur peut initier des connexions TCP/IP ou SSL. Si vous indiquez SSL-required, ce serveur doit utiliser SSL pour initier des connexions vers les serveurs en aval. Lorsque vous spécifiez SSL, choisissez l'ensemble de paramètres de configuration SSL à utiliser pour la configuration des communications sortantes.
Ce choix détermine le fichier de clés à utiliser pour les connexions sortantes vers des serveurs en aval.
- TCP/IP
- Si vous sélectionnez l'option, le serveur établit des connexions TCP/IP uniquement avec les serveurs en aval.
- SSL requis
- Si vous sélectionnez l'option, le serveur établit des connexions SSL uniquement avec les serveurs en aval.
- SSL pris en charge
- Si vous sélectionnez cette option, le serveur ouvre des connexions SSL pour le serveur en aval qui les prend en charge et des connexions TCP/IP pour les serveurs en aval qui ne prennent pas en charge SSL.
Informations | Value |
---|---|
Valeur par défaut | SSL pris en charge |
Portée | TCP/IP, SSL requis, SSL pris en charge |
Paramètres SSL
Indique une liste de paramètres SSL prédéfinis parmi lesquels effectuer une sélection pour les connexions de communications entrantes.
Informations | Value |
---|---|
Type de données : | String (chaîne) |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
Portée | Tous les paramètres SSL configurés dans le répertoire de configuration SSL. |
Authentification du certificat client
Indique si un certificat client du magasin de clés configuré est utilisé pour l'authentification sur le serveur lorsque la connexion SSL est établie entre ce serveur et un serveur en aval, à condition que le serveur en aval prenne en charge l'authentification par certificat client.
En général l'authentification par certificat client permet d'obtenir de meilleures performances que l'authentification par couche messages, mais elle requiert des étapes de configuration supplémentaires. Ces étapes supplémentaires permettent notamment de vérifier que ce serveur dispose d'un certificat personnel et que le serveur en amont possède le certificat signataire de ce serveur.
- Jamais
- Indique que ce serveur ne tente pas de procéder à l'authentification à l'aide de certificats client SSL (Secure Sockets Layer) auprès des serveurs en aval.
- Prises en charge
- Indique que ce serveur peut utiliser des certificats client SSL pour s'authentifier auprès des serveurs en aval. Cependant, une méthode peut être appelée sans ce type d'authentification. Par exemple, le serveur peut utiliser une authentification anonyme ou une authentification de base à la place.
- Obligatoire
- Indique que ce serveur doit utiliser des certificats client SSL pour s'authentifier auprès des serveurs en aval.
Informations | Value |
---|---|
Valeur par défaut | Activé |
Configuration de la connexion
Indique le type de configuration de connexion système à utiliser pour l'authentification des communications entrantes.
Vous pouvez ajouter des modules de connexion personnalisés en cliquant sur
. Sous Authentification, cliquez sur .Sessions avec état
Sélectionnez cette option pour activer les sessions avec état utilisées principalement pour améliorer les performances.
Le premier contact entre un client et un serveur doit être totalement authentifié. Toutefois, tous les contacts suivants avec des sessions valides réutilisent les informations de sécurité. Le client transmet un ID de contexte au serveur ; cet ID permet de rechercher la session. L'ID de contexte est sectorisé à la connexion, garantissant son unicité. Lorsque la session de sécurité n'est pas valide et que les nouvelles tentatives d'authentification sont autorisées (valeur par défaut), l'intercepteur de sécurité côté client invalide la session côté client et soumet à nouveau la demande. Ces opérations sont invisibles au niveau utilisateur. Cela peut se produire si la session n'existe pas sur le serveur (par exemple échec du serveur et opération de reprise). Lorsque cette valeur est désactivée, tous les appels de méthode doivent être à nouveau authentifiés.
Activer la limite de cache des sessions CSIv2
Indiquez si la taille du cache des sessions CSIv2 doit être limitée.
Lorsque vous activez cette option, vous devez définir une taille maximale de cache et un délai d'expiration des sessions inactives. Si vous n'activez pas cette option, le cache de session CSIv2 n'est pas limité.
Dans les versions précédentes du serveur d'applications, vous pouvez avoir défini cette option comme propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. Dans cette version du produit, il est recommandé de définir cette valeur dans la console d'administration et non pas sous la forme d'une propriété personnalisée.
Informations | Value |
---|---|
Valeur par défaut | false |
Taille maximale de la mémoire cache
Définissez la taille maximale de la mémoire cache de session au-delà de laquelle les sessions ayant expiré sont supprimées.
Les sessions ayant expiré sont des sessions qui restent inactives plus longtemps que le délai défini dans la zone Délai d'expiration des sessions inactives. Si vous entrez une valeur dans la zone de taille maximale du cache, définissez une valeur comprise entre 100 et 1 000.
Définissez une valeur dans cette zone si l'environnement utilise l'authentification Kerberos et que le décalage de son horloge est minime pour le centre KDC (Key Distribution Center) configurée. Dans ce scénario, un faible décalage d'horloge est inférieur à 20 minutes. Augmentez la valeur dans cette zone si une petite taille de cache amène la récupération d'espace à s'exécuter fréquemment et affecte alors les performances du serveur d'applications.
Dans les versions précédentes du serveur d'applications, vous pouvez avoir défini cette option comme propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Dans cette version du produit, il est recommandé de définir cette valeur dans la console d'administration et non pas sous la forme d'une propriété personnalisée.
Cette zone s'applique uniquement si vous activez les options Sessions sans état et Activer la limite du cache des sessions CSIv2.
Informations | Value |
---|---|
Valeur par défaut | Aucune valeur n'est définie par défaut. |
Portée | 100 à 1 000 entrées |
Délai d'expiration des sessions inactives
Cette propriété définit le délai d'inactivité en millisecondes d'une session CSIv2 avant sa suppression. La session est supprimée si vous sélectionnez l'option Activer la limite du cache des sessions CSIv2 et que la taille maximale du cache est dépassée.
Cette valeur d'expiration s'applique uniquement si vous activez les options Session sans état et Activer la limite du cache des sessions CSIv2. Diminuez la valeur de cette zone si l'environnement utilise l'authentification Kerberos et que le décalage de son horloge est minime pour le centre KDC (Key Distribution Center) configuré. Dans ce scénario, un faible décalage d'horloge est inférieur à 20 minutes. Si le décalage d'horloge est faible, un grand nombre de sessions CSIv2 peuvent être rejetées. Toutefois, si vous entrez une petite valeur dans la zone Délai d'expiration des sessions inactives, le serveur d'applications peut effacer les sessions rejetées plus fréquemment et réduire potentiellement le manque de ressources.
Dans les versions précédentes de WebSphere Application Server, vous pouvez avoir défini cette option comme propriété personnalisée com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. Dans cette version du produit, il est recommandé de définir cette valeur en utilisant la console d'administration et non pas comme propriété personnalisée. Si vous l'avez définie sous la forme d'une propriété, la valeur a été définie en millisecondes et convertie en secondes dans la console d'administration. Dans le panneau de la console d'administration, vous devez définir un nombre de secondes.
Informations | Value |
---|---|
Valeur par défaut | Aucune valeur n'est définie par défaut. |
Portée | Entre 60 et 86 400 secondes |
Mappage sortant personnalisé
Permet l'utilisation des modules de connexions sortantes RMI (Remote Method Invocation).
Le module de connexion personnalisé effectue un mappage ou d'autres fonctions avant l'appel sortant RMI prédéfini.
- Cliquez sur .
- Sous Authentification, cliquez sur .
Domaines d'authentification sécurisés - sortants
Si la communication RMI/IIOP se fait via différents domaines, utilisez ce lien pour ajouter des domaines sécurisés sortants.
Les jetons de justificatif sont uniquement envoyés aux domaines sécurisés. De plus, le serveur récepteur doit sécuriser ce domaine via la configuration des domaines sécurisés entrants pour valider le jeton LTPA.