Configurações de Comunicações de Entrada do Common Secure Interoperability Versão 2

Utilize essa página para especificar os recursos que um servidor suporta para um cliente que esteja acessando seus recursos.

Para visualizar essa página do console administrativo, conclua as etapas a seguir:
  1. Clique em Segurança > Segurança Global.
  2. Em Autenticação, clique em Segurança RMI/IIOP > Comunicações de entrada CSIv2.

Utilize as definições de comunicações de entrada CSI (Common Secure Interoperability) para configurar o tipo de informações de autenticação que estão contidas em um transporte ou pedido que chega.

Os recursos de autenticação incluem três camadas de autenticação que podem ser utilizadas simultaneamente:
  • Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
  • Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
  • [IBM i][AIX Solaris HP-UX Linux Windows]Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.

Propagar Atributos de Segurança

Especifica o suporte para a propagação do atributo de segurança durante os pedidos de login. Ao selecionar essa opção, o servidor de aplicativos mantém informações adicionais sobre o pedido de login, como a força de autenticação utilizada, e mantém a identidade e o local do originador do pedido.

Se essa opção não for selecionada, o servidor de aplicativos não aceitará informações de login adicionais para propagação para servidores de recebimento de dados.

Informações Valor
Padrão: Enabled
Importante: Ao usar os serviços de replicação, certifique-se de que a opção Propagar atributos de segurança está ativada.

Utilizar Asserção de Identidade

Especifica que a asserção de identidade é uma maneira de asserir identidades de um servidor para outro durante uma chamada de recebimento de dados do EJB (Enterprise JavaBeans).

Este servidor não autenticará novamente a identidade declarada, porque ele confia no servidor de envio de dados. A asserção de identidade tem precedência sobre todos os demais tipos de autenticação.

A asserção de identidade é executada na camada de atributo e é aplicável somente nos servidores. O proprietário determinado no servidor é baseado nas regras de precedência. Se a asserção de identidade for utilizada, a identidade será sempre derivada da camada de atributo. Se a autenticação básica for utilizada sem a asserção de identidade, a identidade será sempre derivada da camada de mensagem. Por fim, se a autenticação de certificado de cliente SSL for executada sem autenticação básica ou asserção de identidade, a identidade será derivada da camada de transporte.

A identidade assegurada é a credencial de chamada determinada pelo modo Executar Como para o bean corporativo. Se o modo Executar Como for Cliente, a identidade será a identidade do cliente. Se o modo Executar Como for Sistema, a identidade será a identidade do servidor. Se o modo Executar Como for Especificado, a identidade será a especificada. O servidor de recepção recebe a identidade em um token de identidade e também recebe a identidade do servidor de envio em um token de autenticação do cliente. O servidor de recepção valida a identidade do servidor de envio como uma identidade confiável através da caixa de entrada IDs de Servidor Confiáveis. Insira uma lista de nomes de principais separados por barras verticais (|), por exemplo, serverid1|serverid2|serverid3.

Todos os tipos de token de identidade são mapeados para o campo ID do usuário do registro do usuário ativo. Para um token de identidade ITTPrincipal, esse token é mapeado um-a-um com campos de ID do usuário. Para um token de identidade ITTDistinguishedName, o valor do primeiro sinal de igual é mapeado para o campo ID do usuário. Para um token de identidade ITTCertChain, o valor do primeiro sinal de igual do nome distinto é mapeado para o campo de ID do usuário,

Ao autenticar para um registro de usuário LDAP, os filtros LDAP determinam como uma identidade do tipo ITTCertChain e ITTDistinguishedName é mapeada para o registro. Se o tipo do token for ITTPrincipal, o proprietário é mapeado para o campo UID no registro LDAP.

Informações Valor
Padrão: Desativada
[z/OS]A opção a seguir é ativada quando o registro do usuário ativo é um registro de usuário do sistema operacional local, sua versão de segurança do z/OS está na versão adequada que suporta o mapeamento de identidade distribuído e não há nós anteriores ao WebSphere Application Server Versão 8.0:
Mapear o certificado e o DN usando o mapeamento de identidade distribuído SAF
Selecionar essa opção mapeará um certificado declarado e um nome distinto para uma identidade do usuário SAF usando um filtro RACMAP.

O valor padrão é não verificado. Quando marcada, a propriedade customizada de segurança, com.ibm.websphere.security.certdn.useRACMAPMappingToSAF, é configurada como boolean: yes.

Nota: Esta opção está visível quando o registro do usuário ativo for S.O, Local, a célula não for de versão mista (sem nós anteriores ao WebSphere Application Server Versão 8.0) e o produto de segurança z/OS suportar o mapeamento de identidade SAF (para RACF, isso significa z/OS versão 1.11 ou posterior).
Nota: Se seu nome DN tiver um espaço em branco entre os atributos, você deverá aplicar o RACF APAR OA34258 ou o PTF UA59873 e o SAF APAR OA34259 ou PTF UA59871 para analisar corretamente os espaços em branco.

Identidades Confiáveis

Especifica a identidade confiável que é enviada do servidor de envio para o servidor receptor.

Especifica uma lista separada por barras verticais (|) de IDs de usuários administradores de servidores confiáveis, que são confiáveis para executar asserção de identidade para o servidor. Por exemplo, serverid1|serverid2|serverid3. O servidor de aplicativos suporta o caractere vírgula (,) como o delimitador de lista para compatibilidade com versões anteriores. O servidor de aplicativos verifica o caractere vírgula quando o caractere barra vertical (|) não localiza um ID de servidor confiável válido.

Utilize esta lista para decidir se um servidor é confiável. Mesmo se o servidor estiver na lista, o servidor de envio ainda precisa ser autenticado com o servidor de recepção para aceitar o token de identidade do servidor de envio.

Informações Valor
Tipo de Dados: String

Autenticação do Certificado Cliente

Especifica que a autenticação ocorre quando a conexão inicial é feita entre o cliente e o servidor durante um pedido de método.

Na camada de transporte, ocorre a autenticação do certificado cliente SSL (Secure Sockets Layer). Na camada de mensagem, a autenticação básica (ID do usuário e senha) é utilizada. A autenticação do certificado cliente geralmente é melhor executada do que a autenticação de camada de mensagem, mas requer alguma configuração adicional. Essas etapas adicionais envolvem a verificação de que o servidor confia no certificado signatário de cada cliente ao qual está conectado. Se o cliente utilizar uma CA (Autoridade de Certificação) para criar seu certificado pessoal, você precisará somente do certificado raiz da CA na seção de assinante do servidor do arquivo confiável SSL.

[AIX Solaris HP-UX Linux Windows][IBM i]Quando o certificado for autenticado para um registro do usuário LDAP (Lightweight Directory Access Protocol), o DN (Nome Distinto) será mapeado com base no filtro especificado na configuração do LDAP. Quando o certificado é autenticado para um registro do usuário de S.O. Local, o primeiro atributo do DN (Nome Distinto) no certificado, que geralmente é o nome comum, é mapeado para o ID do usuário no registro.

[z/OS]Quando o certificado é autenticado para um registro do usuário do S.O. Local, ele é mapeado para o ID do usuário no registro.

A identidade dos certificados de cliente é utilizada somente se nenhuma outra camada de autenticação for apresentada para o servidor.

Nunca
Especifica que os clientes não podem tentar a autenticação do certificado cliente SSL (Secure Sockets Layer) com esse servidor.
Suportado
Especifica que os clientes que se conectam a esse servidor podem autenticar utilizando certificados clientes SSL. No entanto, o servidor pode chamar um método sem este tipo de autenticação. Por exemplo, pode ser utilizada no lugar uma autenticação anônima ou básica.
[z/OS]Nota: Quando "Suportado" estiver definido para Autenticação de Entrada CSIv2 no servidor, o certificado de cliente é usado para a autenticação.
Required
Especifica que os clientes que se conectam a esse servidor devem autenticar utilizando certificados clientes SSL antes de chamar o método.
[z/OS]A opção a seguir é ativada quando o registro do usuário ativo é um registro de usuário do sistema operacional local, sua versão de segurança do z/OS está na versão adequada que suporta o mapeamento de identidade distribuído e não há nós anteriores ao WebSphere Application Server Versão 8.0:
Mapear o certificado usando o mapeamento de identidade distribuído SAF
Selecionar essa opção mapeará um certificado recebido na camada de transporte CSIv2 para uma identidade do usuário SAF que usa um filtro RACMAP.

O valor padrão é não verificado. Quando marcado, a propriedade customizada de segurança, com.ibm.websphere.security.certificate.useRACMAPMappingToSAF, é configurada como true.

Nota: Esta opção está visível quando o registro do usuário ativo for S.O, Local, a célula não for de versão mista (sem nós anteriores ao WebSphere Application Server Versão 8.0) e o produto de segurança z/OS suportar o mapeamento de identidade SAF (para RACF, isso significa z/OS versão 1.11 ou posterior).

Transporte

Especifica se os processos do cliente conectam-se ao servidor utilizando um de seus transportes conectados.

É possível escolher SSL (Secure Sockets Layer), TCP/IP ou ambos como o transporte de entrada suportado por um servidor. Se você especificar TCP/IP, o servidor suportará somente TCP/IP e não poderá aceitar conexões SSL. Se você especificar Suportado pelo SSL, o servidor poderá suportar conexões TCP/IP ou SSL. Se você especificar Requerido pelo SSL, todos os servidores que se comunicam com este deverão utilizar SSL.

Nota: Essa opção não fica disponível na plataforma z/OS a menos que existam na célula nós da Versão 6.1 e de versões anteriores.
TCP/IP
Se você selecionar TCP/IP, o servidor apenas abrirá uma porta listener TCP/IP e todos os pedidos de entrada não terão proteção SSL.
Requerido pelo SSL
Se você selecionar Requerido pelo SSL, o servidor apenas abrirá uma porta listener TCP/IP e todos os pedidos de entrada serão recebidos utilizando o SSL.
Suportado pelo SSL
Se você selecionar Suportado pelo SSL, o servidor abre uma porta listener TCP/IP e uma SSL e a maioria dos pedidos de entrada são recebidos utilizando o SSL.
Forneça um número de porta fixa para as seguintes portas. Um número de porta igual a zero indica que uma atribuição dinâmica é feita no tempo de execução.

[AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]ORB_SSL_LISTENER_ADDRESS

Informações Valor
Padrão: Requerido pelo SSL
Intervalo: TCP/IP, SSL-Requerido, SSL-Suportado

Definições do SSL

Especifica uma lista de configurações SSL predefinidas dentre as quais escolher para conexão de entrada.

[z/OS]Nota: Essa opção não fica disponível na plataforma z/OS a menos que existam na célula nós da Versão 6.1 e de versões anteriores.
Informações Valor
Tipo de Dados: String
[AIX Solaris HP-UX Linux Windows][IBM i]Padrão: DefaultSSLSettings
[z/OS]Padrão: DefaultIIOPSSL
Intervalo: Quaisquer definições SSL configuradas no Repertório de Configuração SSL

Autenticação de camada de mensagem

As opções a seguir estão disponíveis para autenticação da camada de mensagem:
Nunca
Especifica que este servidor não pode aceitar a autenticação usando qualquer um dos mecanismos selecionados a seguir.
Suportado
Especifica que um cliente que se comunica com este servidor pode se autenticar usando qualquer um dos mecanismos selecionados a seguir. No entanto, um método pode ser chamado sem este tipo de autenticação. Por exemplo, um certificado anônimo ou cliente pode então ser utilizado.
Required
Especifica que os clientes que se comunicam com este servidor devem especificar informações sobre autenticação usando um dos mecanismos selecionados a seguir para qualquer solicitação de método.

Permitir autenticação entre cliente e servidor com:

Especifica a autenticação entre cliente e servidor utilizando a autenticação Kerberos, LTPA ou Básica.

As opções a seguir estão disponíveis para autenticação entre cliente e servidor:
Kerberos (KRB5)
Selecione para especificar Kerberos como o mecanismo de autenticação. Você deve primeiro configurar o mecanismo de autenticação Kerberos. Leia Configurando Kerberos como o Mecanismo de Autenticação Utilizando o Console Administrativo para obter mais informações.
LTPA
Selecione para especificar a autenticação de token LTPA
Autenticação Básica
A autenticação básica é GSSUP (Generic Security Services Username Password). Esse tipo de autenticação normalmente envolve o envio de um ID do usuário e uma senha do cliente para o servidor para autenticação.

Se você selecionar Autenticação Básica e LTPA, e o mecanismo de autenticação ativo for LTPA, um nome de usuário, uma senha e tokens LTPA serão aceitos.

Se você selecionar Autenticação Básica e KRB5, e o mecanismo de autenticação ativo for KRB5, um nome de usuário, uma senha, um token Kerberos e tokens LTPA serão aceitos.

Se você não selecionar Autenticação Básica, um nome de usuário e uma senha não serão aceitos pelo servidor.

Configuração de Login

Especifica o tipo de configuração de login do sistema a ser utilizado para a autenticação de entrada.

É possível incluir módulos de login customizado, clicando em Segurança > Segurança Global. Em Autenticação, clique em Java Authentication and Authorization Service > Logins do Sistema.

Sessões com Preservação de Estado

Selecione essa opção para ativar sessões com preservação de estado, que são utilizadas principalmente para aprimoramentos de desempenho.

O primeiro contato entre um cliente e um servidor deve fazer a autenticação completa. No entanto, todos os contatos subseqüentes com sessões válidas reutilizam as informações sobre segurança. O cliente transmite um ID de contexto para o servidor e o ID é utilizado para consultar a sessão. É feito o escopo do ID de contexto para a conexão, o que garante exclusividade. Sempre que a sessão de segurança não for válida e a nova tentativa de autenticação estiver ativada, que é o padrão, o interceptador de segurança do lado cliente invalida a sessão do lado cliente e envia o pedido novamente, sem que o usuário saiba. Essa situação poderá ocorrer se a sessão não existir no servidor; por exemplo, o servidor falhou e retomou a operação. Quando esse valor for desativado, cada solicitação de método deverá ser autenticada novamente.

Informações Valor
Padrão: Enabled

Regiões de Autenticação Confiável - Entrada

Selecione este link para estabelecer confiança de entrada para regiões. As configurações da região de autenticação de entrada não são específicas do CSIv2; também é possível configurar para quais regiões a confiança de entrada será concedida para múltiplos domínios de segurança.

Autenticação de entrada refere-se à configuração que determina o tipo de autenticação aceito para pedidos de entrada. Essa autenticação é anunciada na IOR (Interoperable Object Reference) que o cliente recupera do servidor de nomes.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_inbound
Nome do arquivo: usec_inbound.html