Configurando Transportes de Entrada

Utilizando essa configuração, você pode configurar um transporte diferente para a segurança de entrada versus a segurança de saída.

Antes de Iniciar

[AIX Solaris HP-UX Linux Windows][IBM i]Transportes de entrada referem-se aos tipos de portas listeners e seus atributos que são abertos para receber pedidos para o servidor. CSIv2 (Common Secure Interoperability Specification Versão 2) e SAS (Secure Authentication Service) têm a capacidade de configurar o transporte.
Importante: SAS é suportado apenas entre servidores Versão 6.0.x e de versões anteriores que foram federados em uma célula Versão 6.1.
[z/OS]Transportes de entrada referem-se aos tipos de portas listeners e seus atributos que são abertos para receber pedidos para o servidor. O CSIv2 (Common Secure Interoperability Specification, Versão 2) e o z/SAS (z/OS Secure Authentication Service) possuem a capacidade de configurar o transporte.
Importante: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior que foram associados a uma célula Versão 6.1.
[AIX Solaris HP-UX Linux Windows][IBM i]No entanto, as diferenças a seguir existem entre os dois protocolos:
  • CSIv2 é muito mais flexível do que SAS, que requer SSL (Secure Sockets Layer); CSIv2 não requer SSL.
  • SAS não suporta a autenticação de certificado do cliente SSL, enquanto CSIv2 suporta.
  • CSIv2 pode requerer conexões SSL, enquanto SAS suporta somente conexões SSL.
  • SAS sempre tem duas portas listeners abertas: TCP/IP e SSL.
  • CSIv2 pode ter de uma porta listener até três portas listeners. É possível abrir uma porta apenas para TCP/IP ou quando o SSL for necessário. É possível abrir duas porta quando o SSL for suportado e abrir três portas quando SSL e autenticação de certificado do cliente SSL forem suportados.

[z/OS]CSIv2 e z/SAS suportam, na maioria, as mesmas funções. O CSIv2 tem a vantagem da interoperabilidade com outros produtos WebSphere Application Server e com qualquer outras plataforma que suporte o protocolo CSIv2.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar os painéis de Transporte de Entrada no console administrativo:

Procedimento

  1. Clique em Segurança > Segurança global.
  2. Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2.
  3. Sob Transporte, selecione necessário para SSL. É possível optar por utilizar SSL (Secure Sockets Layer), TCP/IP ou ambos como o transporte de entrada que um servidor suporta. Se você especificar TCP/IP, o servidor suportará somente TCP/IP e não poderá aceitar conexões SSL. Se você especificar Suportado pelo SSL, o servidor poderá suportar conexões TCP/IP ou SSL. Se você especificar requerido por SSL, qualquer servidor que esteja se comunicando com este deverá usar SSL.
  4. Clique em Aplicar.
  5. Leve em consideração fixar as portas listeners configuradas.
    Essa ação é completada em um painel diferente, mas pense sobre essa ação agora. A maioria dos nós de extremidade é gerenciada em um único local e, por isso, não aparece nos painéis Transporte de Entrada. Gerenciar os nós de extremidade em um único local ajuda a diminuir o número de conflitos na configuração quando os nós de extremidade forem designados. A localização dos nós de extremidade SSL é em cada servidor. Os nomes de portas a seguir são definidos no painel Nós de Extremidade e são utilizados para a segurança de ORB (Object Request Broker):
    • [AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS - Porta SSL de Autenticação do Cliente CSIv2
    • [AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS - Porta SSL CSIv2
    • [AIX Solaris HP-UX Linux Windows][IBM i]SAS_SSL_SERVERAUTH_LISTENER_ADDRESS - Porta SSL SAS
    • [z/OS]ORB_SSL_LISTENER_ADDRESS - Porta SSL
    • [AIX Solaris HP-UX Linux Windows][IBM i]ORB_LISTENER_PORT - Porta TCP/IP
    • [z/OS] ORB_LISTENER_ADDRESS - Porta IIOP

    Para um servidor de aplicativos, clique em Servidores > Servidores de Aplicativos > server_name. Em Comunicações, clique em Portas. O painel Portas é exibido para o servidor especificado.

    [AIX Solaris HP-UX Linux Windows]Para um agente de nó, vá para Administração do Sistema > Agentes de Nó > node_name. Em Propriedades Adicionais, clique em Portas. O painel Portas para o agente de nó e o gerenciador de implementação já é fixo, mas é possível considerar a redesignação das portas. Para o gerenciador de implementação, clique em Administração do Sistema > Gerenciador de Implementação. Em Propriedades Adicionais, clique em Portas.

    O Object Request Broker (ORB) no WebSphere Application Server usa uma porta listener para Chamada de Método Remoto sobre as comunicações Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) e é estaticamente especificado usando diálogos de configuração ou durante a migração. [z/OS]O ORB_LISTENER_ADDRESS e o BOOTSTRAP_ADDRESS devem especificar a mesma porta. Se você estiver trabalhando com um firewall, você deve especificar uma porta estática para o listener ORB e abrir essa porta no firewall, para que a comunicação possa transmitir através da porta especificada. A propriedade endPoint para definir a porta listener ORB é: ORB_LISTENER_ADDRESS.

    [AIX Solaris HP-UX Linux Windows][IBM i]No ambiente do WebSphere Application Server, Network Deployment, o terminal ORB_LISTENER_ADDRESS é especificado no agente do nó. O daemon do serviço de localização reside no agente de nó e acessa sem permissão a porta do listener ORB, o que resulta na necessidade da porta ser fixa. Além disso, você deve incluir ORB_LISTENER_ADDRESS em outros servidores de aplicativos para definir porta listener ORB. Cada ORB possui uma porta listener distinta. No WebSphere Application Server, Network Deployment, você deve especificar uma porta listener diferente. Por exemplo, é possível especificar as seguintes portas:
    • Agente de nó: ORB_LISTENER_ADDRESS=9000
    • Server1: ORB_LISTENER_ADDRESS=9811
    • Server2: ORB_LISTENER_ADDRESS=9812
    [AIX Solaris HP-UX Linux Windows][IBM i]Os servidores federados podem ser executados sem a execução do agente do nó. Quando ORB_LISTENER_ADDRESS é configurado com um valor igual a (0) ou maior, o servidor não depende do daemon do serviço de localização para redirecionar conexões ao servidor. Quando se define ORB_LISTENER_ADDRESS, todas as referências de objetos no namespace especificam a conexão com o servidor, não o daemon do serviço de localização. Quando o servidor estiver em execução sem o agente de nó, todos os aplicativos deverão ser acessados através do servidor de nomes em execução no servidor de aplicativos. O cliente deve alterar a referência do JNDI (Java™ Naming Directory Interface) para utilizar o host e a porta do servidor de aplicativos.
    Tabela 1. ORB_LISTENER_ADDRESS. Essa tabela descreve ORB_LISTENER_ADDRESS.
    ORB_LISTENER_ADDRESS  
    valor = 0 O servidor é iniciado em qualquer porta disponível e não utiliza o daemon do serviço de localização.
    valor > 0 O servidor é iniciado na porta especificada pelo valor digitado. O daemon do serviço de localização não é utilizado.
    Nota: O gerenciamento da carga de trabalho pode não funcionar sem a execução do agente de nó.

    [z/OS]Conclua as etapas a seguir usando o console administrativo para especificar a porta ou portas ORB_LISTENER_ADDRESS.

    [AIX Solaris HP-UX Linux Windows][IBM i]Conclua as etapas a seguir para o agente do nó e o gerenciador de implementação.

    1. Clique em Servidores > Servidores de Aplicativos > server_name. Em Comunicações, clique em Portas > Nova.
    2. Selecione ORB_LISTENER_ADDRESS no campo Nome da Porta no painel Configuração.
    3. [AIX Solaris HP-UX Linux Windows][IBM i]Insira o endereço IP, o nome do host DNS (Domain Name System) completo ou o nome do host DNS sozinho no campo Host. Por exemplo, se o nome do host for myhost, o nome de DNS completo pode ser myhost.myco.com e o endereço IP pode ser 155.123.88.201.
    4. [z/OS]Insira o endereço IP ou "*" no campo de Host. Por exemplo, o endereço IP pode ser 155.123.88.201.
      Importante: Nomes do host DNS não são suportados para o valor ORB_LISTENER_ADDRESS.
    5. Insira o número da porta no campo Porta. O número da porta especifica a porta para qual o serviço está configurado para aceitar solicitações de clientes. O valor da porta é utilizado com o nome do host. Utilizando o exemplo anterior, o número da porta poderia ser 9000.
  6. [AIX Solaris HP-UX Linux Windows][IBM i]Clique em Segurança > Segurança Global. Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2. Selecione as configurações de SSL utilizadas para os pedidos de entrada dos clientes CSIv2, e clique em Aplicar. O protocolo CSIv2 é usado para interoperar com liberações anteriores. Ao configurar os arquivos de armazenamento confiável e de keystore na configuração de SSL, esses arquivos precisam das informações corretas para interoperar com releases anteriores do WebSphere Application Server.
  7. [z/OS]Clique em Segurança > Segurança Global. Em Segurança de RMI/IIOP, clique em Autenticação de z/SAS para selecionar as configurações de SSL que são usadas para solicitações de entrada a partir de clientes z/SAS.

Resultados

A configuração do transporte de entrada está concluída. Com essa configuração, você pode configurar um transporte diferente para a segurança de entrada versus a segurança de transmissão. Por exemplo, se o servidor de aplicativos for o primeiro servidor utilizado pelos usuários, a configuração de segurança poderá ser mais protegida. Quando os pedidos vão para os servidores de enterprise beans de backend, você pode diminuir a segurança por questões de desempenho quando for efetuar transmissão. Com esta flexibilidade, é possível projetar a infraestrutura de transporte correta para atender suas necessidades.

O que Fazer Depois

Ao concluir a configuração da segurança, execute as seguintes etapas para salvar, sincronizar e reiniciar os servidores:
  1. Clique em Salvar no console administrativo para salvar as modificações na configuração.
  2. [AIX Solaris HP-UX Linux Windows]Sincronize a configuração com todos os agentes de nós.
  3. Pare e reinicie todos os servidores, quando sincronizados.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_inboundtransport
Nome do arquivo: tsec_inboundtransport.html