Utilizando essa configuração, você pode configurar um transporte diferente para a segurança de entrada versus a segurança de saída.
Antes de Iniciar
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Transportes de entrada referem-se aos tipos de portas listeners e seus atributos que são abertos para receber pedidos para o servidor. CSIv2 (Common Secure Interoperability Specification
Versão 2) e SAS (Secure Authentication Service) têm a capacidade
de configurar o transporte.
Importante: SAS é suportado apenas entre servidores Versão 6.0.x e de versões anteriores que foram federados em uma
célula Versão 6.1.
Transportes de entrada referem-se aos tipos de portas listeners e seus atributos que são abertos para receber pedidos para o servidor. O CSIv2 (Common Secure Interoperability Specification, Versão
2) e o z/SAS (z/OS Secure
Authentication Service) possuem a capacidade de configurar o transporte.
Importante: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior
que foram associados a uma célula Versão 6.1.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
No entanto, as diferenças a seguir existem entre os dois protocolos:
- CSIv2 é muito mais flexível do que SAS, que requer SSL (Secure Sockets Layer);
CSIv2 não requer SSL.
- SAS não suporta a autenticação de certificado do cliente SSL, enquanto CSIv2 suporta.
- CSIv2 pode requerer conexões SSL, enquanto SAS suporta somente conexões SSL.
- SAS sempre tem duas portas listeners abertas: TCP/IP e SSL.
- CSIv2 pode ter de uma porta listener até três portas listeners. É possível abrir uma porta apenas para TCP/IP ou quando o SSL for necessário. É possível abrir duas porta quando o SSL for suportado e abrir três portas quando SSL e
autenticação de certificado do cliente SSL forem suportados.
CSIv2 e z/SAS suportam,
na maioria, as mesmas funções. O CSIv2 tem a vantagem da interoperabilidade com outros produtos WebSphere Application Server e com qualquer outras plataforma que suporte o protocolo CSIv2.
Sobre Esta Tarefa
Execute as etapas a seguir para configurar os painéis de Transporte de Entrada no
console administrativo:
Procedimento
- Clique em Segurança > Segurança global.
- Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2.
- Sob Transporte, selecione necessário para SSL. É possível optar por utilizar SSL (Secure Sockets Layer), TCP/IP ou
ambos como o transporte de entrada que um servidor suporta. Se você especificar TCP/IP,
o servidor suportará somente TCP/IP e não poderá aceitar conexões SSL.
Se você especificar
Suportado pelo SSL, o servidor poderá suportar conexões TCP/IP ou SSL. Se você especificar requerido por SSL, qualquer servidor que
esteja se comunicando com este deverá usar SSL.
- Clique em Aplicar.
- Leve em consideração fixar as portas listeners configuradas.
Para um servidor de aplicativos,
clique em Servidores > Servidores de Aplicativos > server_name.
Em Comunicações, clique em Portas. O painel Portas é exibido para o
servidor especificado.
Para um agente de nó,
vá para Administração do Sistema > Agentes de Nó > node_name.
Em
Propriedades Adicionais, clique em Portas. O painel Portas para o agente de nó
e o gerenciador de implementação já é fixo, mas é possível considerar a redesignação
das portas. Para o gerenciador de implementação, clique em Administração do Sistema > Gerenciador
de Implementação.
Em Propriedades Adicionais, clique em Portas.
O Object Request Broker (ORB) no WebSphere Application Server usa uma porta listener para Chamada de Método Remoto sobre as comunicações Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) e é estaticamente especificado usando diálogos de configuração ou durante a migração.
O ORB_LISTENER_ADDRESS e o BOOTSTRAP_ADDRESS devem especificar a mesma porta. Se você estiver trabalhando com um firewall, você deve especificar uma porta estática para o listener ORB e abrir essa porta no firewall, para que a comunicação possa transmitir através da porta especificada.
A propriedade endPoint para definir a porta listener ORB é: ORB_LISTENER_ADDRESS.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
No ambiente do
WebSphere Application Server, Network Deployment, o terminal ORB_LISTENER_ADDRESS é especificado no agente do nó.
O daemon do serviço de localização reside
no agente de nó e acessa sem permissão a porta do listener ORB, o que resulta na necessidade
da porta ser fixa.
Além disso, você deve incluir ORB_LISTENER_ADDRESS em outros servidores de aplicativos para definir porta listener ORB. Cada ORB
possui uma porta listener distinta. No
WebSphere Application Server, Network Deployment, você deve especificar uma porta listener diferente. Por exemplo, é possível especificar as seguintes portas:
- Agente de nó: ORB_LISTENER_ADDRESS=9000
- Server1: ORB_LISTENER_ADDRESS=9811
- Server2: ORB_LISTENER_ADDRESS=9812
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Os servidores federados podem ser executados sem a execução do agente do nó. Quando ORB_LISTENER_ADDRESS
é configurado com um valor igual a (0) ou maior, o servidor não depende
do daemon do serviço de localização para redirecionar conexões ao servidor.
Quando se define ORB_LISTENER_ADDRESS, todas as referências de objetos no
namespace especificam a conexão com o servidor, não o daemon do serviço de localização.
Quando o servidor estiver em execução sem o agente de nó, todos os aplicativos deverão ser
acessados através do servidor de nomes em execução no servidor de aplicativos. O cliente deve alterar a referência do JNDI (Java™ Naming
Directory Interface) para utilizar o host e a porta do servidor de
aplicativos.
Tabela 1. ORB_LISTENER_ADDRESS. Essa tabela descreve ORB_LISTENER_ADDRESS.ORB_LISTENER_ADDRESS |
|
valor = 0 |
O servidor é iniciado em qualquer porta disponível e não utiliza o daemon do serviço de localização. |
valor > 0 |
O servidor é iniciado na porta especificada pelo valor
digitado. O daemon do serviço de localização não é utilizado. |
Nota: O gerenciamento da carga de trabalho pode não funcionar sem a execução
do agente de nó.
Conclua as etapas a seguir usando o console
administrativo para especificar a porta ou portas ORB_LISTENER_ADDRESS.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Conclua as etapas a seguir para o agente do nó e o gerenciador de implementação.
- Clique em Servidores > Servidores de Aplicativos > server_name.
Em Comunicações, clique em Portas > Nova.
- Selecione ORB_LISTENER_ADDRESS no campo Nome da Porta
no painel Configuração.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Insira o endereço IP, o nome do host DNS (Domain Name System) completo
ou o nome do host DNS sozinho no campo Host. Por exemplo, se o nome do host for myhost, o nome de DNS completo pode ser
myhost.myco.com e o endereço IP pode ser 155.123.88.201.
Insira o endereço IP ou "*" no campo de Host. Por exemplo, o endereço IP pode ser 155.123.88.201.
Importante: Nomes do host DNS não são suportados para o valor ORB_LISTENER_ADDRESS.
- Insira o número da porta no campo Porta. O número da porta especifica a porta para qual o serviço está configurado para aceitar solicitações de clientes. O valor da porta é utilizado com o nome do host. Utilizando o exemplo anterior, o número da porta poderia ser 9000.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Clique em Segurança > Segurança Global.
Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2.
Selecione as configurações de SSL utilizadas para os pedidos de entrada dos clientes CSIv2,
e clique em Aplicar. O protocolo CSIv2
é usado para interoperar com liberações anteriores. Ao configurar os arquivos de armazenamento confiável e de keystore na configuração de SSL, esses arquivos precisam das informações corretas para interoperar com releases anteriores do WebSphere Application Server.
Clique em Segurança > Segurança Global.
Em Segurança de RMI/IIOP, clique em Autenticação de z/SAS para selecionar
as configurações de SSL que são usadas para solicitações de entrada a partir de clientes z/SAS.
Resultados
A configuração do transporte de entrada está concluída. Com essa configuração, você pode configurar um transporte diferente para a segurança de entrada versus a segurança de transmissão. Por exemplo,
se o servidor de aplicativos for o primeiro servidor utilizado pelos usuários,
a configuração de segurança poderá ser mais protegida. Quando os pedidos vão para os
servidores de enterprise beans de backend, você pode diminuir a segurança por
questões de desempenho quando for efetuar transmissão. Com esta flexibilidade, é possível projetar a
infraestrutura de transporte correta para atender suas necessidades.
O que Fazer Depois
Ao concluir a configuração da segurança, execute as seguintes etapas para
salvar, sincronizar e reiniciar os servidores:
- Clique em Salvar no console administrativo para salvar as modificações na configuração.
Sincronize a configuração com todos os agentes de nós.
- Pare e reinicie todos os servidores, quando sincronizados.