Common Secure Interoperability バージョン 2 アウトバウンド通信設定
このページを使用して、サーバーが、別のダウンストリーム・サーバーに対してクライアントとして動作するときに サポートする機能を指定します。
- をクリックします。
- 「認証」で、 」とクリックします。
- CSIv2 属性層。属性層には、アップストリーム・サーバーからの識別情報で、既に認証済みの識別トークンが含まれている 場合があります。 識別層の優先順位は最も高く、次にメッセージ層、トランスポート層の順で低くなります。 クライアントが 3 つの層をすべて送信する場合は、識別層だけが使用されます。 SSL クライアント証明書は、それが要求中に提示された唯一の情報である場合にのみ、識別情報として使用されます。クライアントは、 名前空間から相互運用オブジェクト参照 (IOR) を取り出し、タグ付きコンポーネントから値を読み取って、 セキュリティーに関してサーバーが何を必要とするのかを判別します。
- CSIv2 トランスポート層。トランスポート層 (一番下の層) には、識別情報として Secure Sockets Layer (SSL) クライアント 証明書を含む場合があります。
CSIv2 メッセージ層。メッセージ層には、ユーザー ID とパスワード、または有効期限を持つ認証済みトークンが含まれている場合があります。
セキュリティー属性の伝搬 (Propagate security attributes)
ログイン要求時のセキュリティー属性の伝搬をサポートするように指定します。 このオプションを選択すると、アプリケーション・サーバーは、使用する認証強度などのログイン要求についての追加情報を保存し、要求発信元の識別およびロケーションを保存します。
このオプションを選択しない場合、アプリケーション・サーバーは、 ダウンストリーム・サーバーに伝搬する追加ログイン情報を受け入れません。
通知 | 値 |
---|---|
デフォルト: | 使用可能 |
ID アサーションの使用
ID アサーションを、 ダウンストリーム Enterprise JavaBeans (EJB) の呼び出し時に、あるサーバーから別のサーバーへ ID をアサーションする方法として使用するよう指定します。
このサーバーは、その上流サーバーを信頼しているので、主張された ID を 再度認証することはありません。ID アサーションは、他のすべてのタイプの認証に優先します。
ID アサーションは、属性層で実行され、サーバーでのみ適用されます。 サーバーで決定されるプリンシパルは、優先順位のルールに基づきます。 ID アサーションが実行されると、識別は常にこの属性層から派生します。 基本認証が ID アサーションを伴わずに使用されると、 識別は常にメッセージ層から派生します。 最後に、SSL クライアント証明書認証を基本認証や ID アサーションなしで実行する場合、識別はトランスポート層から派生します。
表明される ID は、エンタープライズ Bean の RunAs モードで決定される呼び出しクレデンシャルです。 RunAs モードが「クライアント」の場合、この識別はクライアント識別です。 RunAs モードが「System」の場合、この識別はサーバー識別です。 RunAs モードが「指定」である場合、この識別は指定された識別です。 受信サーバーは、識別トークン内の識別を受信するとともに、 クライアント認証トークン内の送信サーバー識別も受信します。 受信サーバーは、「Trusted Server ID」エントリーのボックスを使用して、送信サーバー識別が信用できる識別であることを検証します。パイプ (|) で区切ったプリンシパル名のリスト (serverid1|serverid2|serverid3 など) を入力します。
すべての識別トークンのタイプは、アクティブ・ユーザー・レジストリーのユーザー ID フィールドにマップされます。 ITTPrincipal 識別トークンの場合、 このトークンがユーザー ID フィールドと 1 対 1 でマップされます。 ITTDistinguishedName 識別トークンの場合、 最初の等号の値が、ユーザー ID フィールドにマップされます。 ITTCertChain 識別トークンの場合、識別名における 最初の等号の値が、ユーザー ID フィールドにマップされます。
LDAP ユーザー・レジストリーに対して認証する場合、LDAP フィルターは ITTCertChain と ITTDistinguishedName の識別タイプのレジストリーへのマップ方法を決定します。トークン・タイプが ITTPrincipal の場合、 プリンシパルは LDAP レジストリーの UID フィールドにマップされます。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
サーバー・トラステッド ID を使用
アプリケーション・サーバーがターゲット・サーバーとのトラストの確立に使用するサーバー ID を指定します。サーバー ID は、次のメソッドのいずれかを使用して送信できます。
- レジストリー構成でサーバー・パスワードが指定されている場合、サーバー ID およびパスワード。
- 内部サーバー ID が使用されている場合、Lightweight Third Party Authentication (LTPA) トークン内のサーバー ID。
- レジストリー内でサーバー ID およびパスワードを構成します。
- 「サーバー・トラステッド ID (Server-trusted identity)」オプションを選択し、 LTPA トークンではなく、相互運用が可能な Generic Security Services Username Password (GSSUP) トークンが送信されるように、トラステッド ID およびパスワードを指定します。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
代替的トラステッド ID の指定
サーバー ID を送信する代わりにターゲット・サーバーに送信されるトラステッド ID として、代替ユーザーを指定します。
ID アサーションには、このオプションが推奨されます。 ID は、同じセル内で送信されて同じセル内のトラステッド ID リストに入れる必要がない場合には、自動的に信頼されます。ただし、この ID は 外部セルのターゲット・サーバーのレジストリーに入っている必要があり、 ユーザー ID はトラステッド ID リストに入っている必要があります。 そのようになっていない場合、ID はトラスト評価中に拒否されます。
通知 | 値 |
---|---|
デフォルト: | 使用不可 |
Trusted identity
送信サーバーから受信サーバーへ送信されるトラステッド ID を指定します。
このフィールドで ID を指定すると、 構成済みユーザー・アカウント・リポジトリーのパネルで選択できます。ID を指定しない場合、 サーバー間で Lightweight Third Party Authentication (LTPA) トークンが送信されます。
セミコロン (;) またはコンマ (,) で区切られたトラステッド・サーバー ID のリストを指定します。
この ID は、このサーバーに対する ID アサーションの実行に関して信頼されています。
例えば、serverid1;serverid2;serverid3 や serverid1,serverid2,serverid3 です。
このリストを使用して、サーバーが信頼できるか否かを判断します。受信サーバーが送信サーバーの識別トークンを受け入れるには、送信サーバーがリストに載っている場合でも、受信サーバーで送信サーバーを認証する必要があります。
Password
トラステッド ID に関連付けられているパスワードを指定します。
通知 | 値 |
---|---|
データ型: | テキスト |
確認パスワード
トラステッド ID に関連付けられているパスワードを確認します。
通知 | 値 |
---|---|
データ型: | テキスト |
メッセージ層認証
- 常になし
- このサーバーでは、選択されるいずれのメカニズムを使用した認証も受け入れることができないことを指定します。
- サポートされる
- このサーバーと通信するクライアントが、選択した任意のメカニズムを使用して認証できることを指定します。 ただし、 このような認証なしでメソッドを呼び出すこともできます。例えば、 代わりに匿名またはクライアント証明書を使用することができます。
- 必須
- このサーバーと通信するクライアントが、すべてのメソッド要求に対して、選択したメカニズムを使用して認証情報を指定する必要があることを指定します。
クライアントからサーバーへの認証を許可 (Allow client to server authentication with):
Kerberos、LTPA、または基本認証を使用した、 クライアントからサーバーへの認証を指定します。
- Kerberos (KRB5)
- Kerberos を認証メカニズムとして指定する場合に選択します。最初に Kerberos 認証メカニズムを構成する必要があります。詳しくは、管理コンソールを使用した認証メカニズムとしての Kerberos の構成を参照してください。
- LTPA
- これを選択すると、Lightweight Third-Party Authentication (LTPA) トークン認証が構成され、使用可能になります。
- 基本認証
- 基本認証は Generic Security Services Username Password (GSSUP) です。通常、このタイプの認証では、認証のためにユーザー ID とパスワードがクライアントから サーバーへ送信されます。
「基本認証」および「LTPA」を選択し、 アクティブな認証メカニズムが LTPA である場合、サーバーは、ユーザー名、パスワード、または LTPA トークンを使用してダウンストリーム・サーバーに接続します。
「基本認証」および「KRB5」を選択し、 アクティブな認証メカニズムが KRB5 である場合、サーバーは、ユーザー名、パスワード、Kerberos トークン、 または LTPA トークンを使用してダウンストリーム・サーバーに接続します。
「基本認証」を選択していない場合、サーバーは、ユーザー名とパスワードを使用してダウンストリーム・サーバーに接続しません。
トランスポート
クライアント・プロセスが、サーバーの接続済みトランスポートの 1 つを使用して サーバーに接続するかどうかを指定します。
サーバーがサポートするアウトバウンド・トランスポートとして、「SSL」、「TCP/IP」、 または「Both」のいずれかを選択し、使用できます。 「TCP/IP」を指定すると、 サーバーは TCP/IP のみをサポートし、ダウンストリーム・サーバーとの SSL 接続は開始できません。 「SSL サポート」を指定すると、このサーバーは、TCP/IP 接続または SSL 接続を開始できます。「SSL 必須」を 指定すると、このサーバーは、ダウンストリーム・サーバーへの接続を開始する際に SSL を使用する必要があります。 「SSL」を指定する場合、SSL 構成設定のどのセットをアウトバウンド構成に使用するかを決定する必要があります。
この決定により、
ダウンストリーム・サーバーへのアウトバウンド接続で使用する鍵ファイルとトラスト・ファイルが決まります。
- TCP/IP
- このオプションを選択すると、サーバーはダウンストリーム・サーバーとの TCP/IP 接続のみをオープンします。
- SSL 必須
- このオプションを選択すると、サーバーはダウンストリーム・サーバーとの SSL 接続をオープンします。
- SSL サポート
- このオプションを選択すると、サーバーは、SSL をサポートしているダウンストリーム・サーバーとの接続では SSL 接続を、 SSL をサポートしていないダウンストリーム・サーバーとの接続では TCP/IP 接続をオープンします。
通知 | 値 |
---|---|
デフォルト: | SSL サポート |
範囲: | TCP/IP、SSL 必須、SSL サポート |
SSL 設定
インバウンド接続用に選択する事前定義された SSL 設定のリストを 指定します。
通知 | 値 |
---|---|
データ型: | ストリング |
![]() ![]() |
DefaultSSLSettings |
![]() |
DefaultIIOPSSL |
範囲: | 「SSL 構成レパートリー」で構成された任意の SSL 設定 |
クライアント証明書認証
サーバーとダウンストリーム・サーバー間で SSL 接続を行う場合に、ダウンストリーム・サーバーがクライアント証明書認証をサポートするとき、このサーバーに対する認証を、構成されている鍵ストアにあるクライアント証明書を使用して行うかどうかを指定します。
通常、クライアント証明書認証はメッセージ層認証よりもパフォーマンスの面で優れていますが、 追加のセットアップをいくつか行う必要があります。この追加ステップには、このサーバーが個人証明書を保有すること、およびダウンストリーム・サーバーがこのサーバーの署名者証明書を保有することについての検証も含まれます。
- 常になし
- このサーバーが、 ダウンストリーム・サーバーとの Secure Sockets Layer (SSL) クライアント証明書認証を試行しないように指定します。
- サポートされる
- このサーバーが、 SSL クライアント証明書を使用して、ダウンストリーム・サーバーの認証を行うことができるように指定します。ただし、 このような認証なしでメソッドを呼び出すこともできます。例えば、サーバーでは、 代わりに匿名の認証や基本認証を使用することができます。
- 必須
- このサーバーが、SSL クライアント証明書を使用して、ダウンストリーム・サーバーとの認証を行う必要があることを指定します。
通知 | 値 |
---|---|
デフォルト: | 使用可能 |
ログイン構成
インバウンド認証に使用するシステム・ログイン構成のタイプを指定します。
とクリックして、カスタム・ログイン・モジュールを追加できます。「認証」から、 をクリックします。
ステートフル・セッション
このオプションを選択して、主にパフォーマンス向上のために使用されるステートフル・セッションを使用可能にします。
クライアントとサーバーが最初に接続するときには、認証を完全に実行する必要があります。 しかし、それ以後のすべての接続では、セッションが引き続き有効である間は、セキュリティー情報を再利用します。 クライアントはコンテキスト ID をサーバーに渡し、その ID を使用してセッションが検索されます。 コンテキスト ID の有効範囲は各接続であり、これにより一意性が保証されます。 認証の再試行が使用可能になっている場合 (デフォルトで) は、セキュリティー・セッションが無効になるごとに クライアント側のセキュリティー・インターセプターは、ユーザーにそれを認識させずにクライアント側のセッションを無効にし、 要求を再度実行依頼します。こうした状況は、セッションがサーバー上に存在しない場合に 発生する可能性があります (例: サーバーに障害が発生した後、オペレーションを再開した場合など)。この値が使用不可の場合、すべてのメソッド起動を再認証する必要があります。
CSIv2 セッション・キャッシュ限度を使用可能にする
CSIv2 セッション・キャッシュのサイズを制限するかどうかを指定します。
このオプションを使用可能にした場合には、 「最大キャッシュ・サイズ」と「アイドル・セッション・タイムアウト (Idle session timeout)」のオプションに値を設定する必要があります。 このオプションを使用可能にしないと、CSIv2 セッション・キャッシュは制限されません。
アプリケーション・サーバーの以前の各バージョンでは、この値を com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled カスタム・プロパティーとして設定している可能性があります。本製品バージョンでは、この値をカスタム・プロパティーとして設定するのではなく、管理コンソール・パネルを使用して設定することをお勧めします。
通知 | 値 |
---|---|
デフォルト: | false |
最大キャッシュ・サイズ
セッション・キャッシュの最大サイズを指定します。これを超えると、期限切れセッションをキャッシュから削除します。
有効期限切れセッションとは、「アイドル・セッション・タイムアウト (Idle session timeout)」フィールドに指定された時間よりも長い時間アイドル状態にあるセッションとして定義されます。 「最大キャッシュ・サイズ」フィールドに値を指定する場合には、100 エントリーから 1000 エントリーでその値を設定するように検討します。
ご使用の環境で Kerberos 認証を使用していて、 構成されている鍵配布センター (KDC) のクロック・スキューが短い場合に、このフィールド値の指定を検討してください。 このシナリオでは、短いクロック・スキューは 20 分未満に定義されています。キャッシュ・サイズが小さいためにガーベッジ・コレクションが頻繁に実行されて、アプリケーション・サーバーのパフォーマンスに影響する場合には、 このフィールドの値を増やすことを検討してください。
アプリケーション・サーバーの以前の各バージョンでは、この値を com.ibm.websphere.security.util.csiv2SessionCacheMaxSize カスタム・プロパティーとして設定している可能性があります。本製品バージョンでは、この値をカスタム・プロパティーとして設定するのではなく、管理コンソール・パネルを使用して設定することをお勧めします。
「ステートフル・セッション」と「CSIv2 セッション・キャッシュ制限を使用可能にする (Enable CSIv2 session cache limit)」の両方のオプションを 使用可能にした場合にのみ、このフィールドが適用されます。
通知 | 値 |
---|---|
デフォルト: | デフォルトでは、値は設定されていません。 |
範囲: | 100 エントリーから 1000 エントリー |
アイドル・セッションのタイムアウト
このプロパティーでは、CSIv2 セッションが削除されずにアイドルであることが可能な時間をミリ秒単位で指定します。「CSIv2 セッション・キャッシュ制限を使用可能にする (Enable CSIv2 session cache limit)」オプションを選択していて、「最大キャッシュ・サイズ」フィールドの値を超えた場合、セッションは削除されます。
「ステートフル・セッション」と「CSIv2 セッション・キャッシュ制限を使用可能にする (Enable CSIv2 session cache limit)」の両方のオプションを 使用可能にした場合にのみ、このタイムアウト値が適用されます。 ご使用の環境で Kerberos 認証を利用していて、構成された鍵配布センター (KDC) のクロック・スキューが短い場合は、このフィールドの値を減らすことを検討してくださいこのシナリオでは、短いクロック・スキューは 20 分未満に定義されています。クロック・スキューが小さいと、拒否される CSIv2 セッションの数が増える可能性があります。 ただし、「アイドル・セッション・タイムアウト (Idle session timeout)」フィールドの値が小さいと、 アプリケーション・サーバーは、拒否されたこれらのセッションをより頻繁にクリーンアップして、リソース不足を削減できる可能性があります。
WebSphere Application Server の以前の各バージョンでは、この値を com.ibm.websphere.security.util.csiv2SessionCacheIdleTime カスタム・プロパティーとして設定している可能性があります。本製品バージョンでは、この値をカスタム・プロパティーとして設定するのではなく、管理コンソール・パネルを使用して設定することをお勧めします。この値を前にカスタム・プロパティーとして設定した場合、この値はミリ秒単位で設定され、この管理コンソール・パネル上で秒に変換されていました。この管理コンソール・パネルでは、秒単位で値を指定してください。
通知 | 値 |
---|---|
デフォルト: | デフォルトでは、値は設定されていません。 |
範囲: | 60 秒から 86,400 秒まで |
カスタム・アウトバウンド・マッピング
カスタム Remote Method Invocation (RMI) アウトバウンド・ログイン・モジュールを使用可能にします。
カスタム・ログイン・モジュールは、事前定義された RMI アウトバウンド呼び出しの前に、 他の関数をマップまたは完了します。
- をクリックします。
- 「認証」から、 をクリックします。
トラステッド認証レルム - アウトバウンド
RMI/IIOP 通信が複数のレルムにわたっている場合、このリンクを使用してアウトバウンド・トラステッド・レルムを追加します。
クレデンシャル・トークンは、信頼されたレルムにしか送信されません。 また、受信側のサーバーは、インバウンドのトラステッド・レルム構成を使用して LTPA トークンの検証を行い、このレルムを信頼する必要があります。