Configurando as comunicações de entrada do Common Secure Interoperability Versão 2

As Comunicações de entrada se referem à configuração que determina o tipo de autenticação aceita para os pedidos de entrada. Essa autenticação é anunciada na IOR (Interoperable Object Reference) que o cliente recupera do servidor de nomes.

Procedimento

  1. Inicie o console administrativo.
  2. Clique em Segurança > Segurança global.
  3. Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2.
  4. Considere as seguintes camadas de segurança:
    • Asserção de identidade (camada de atributo).

      Quando selecionado, esse servidor aceita tokens de identidade dos servidores de envio de dados. Se o servidor receber um token de identidade, a identidade é tomada de um cliente de origem. Por exemplo, a identidade está na mesma forma que o cliente de origem a apresentou ao primeiro servidor. Um servidor de envio de dados envia a identidade do cliente de origem. O formato da identidade pode ser um nome principal, um nome distinto ou uma cadeia de certificados. Em alguns casos, a identidade é anônima. É importante confiar no servidor de envio de dados que envia o token de identidade, porque a identidade é autenticada neste servidor. A confiança no servidor de envio de dados é estabelecida utilizando a autenticação do certificado do cliente ou a autenticação básica do SSL (Secure Sockets Layer). Você deve selecionar uma de duas camadas de autenticação na autenticação de entrada e de saída, ao escolher a declaração de identidade.

      [AIX Solaris HP-UX Linux Windows][IBM i]O ID do servidor é enviado no token de autenticação do cliente com o token de identidade. O ID do servidor é verificado contra a lista de IDs de servidores confiáveis. Se o ID do servidor estiver na lista de servidores confiáveis, o ID do servidor será autenticado. Se o ID do servidor for válido, o token de identidade será colocado em uma credencial e será utilizado para autorização do pedido.

      [z/OS]
      Nota: Se seu registro configurado for S.O. Local, a confiança será estabelecida verificando se a identidade do servidor de envio de dados está autorizada no servidor de recebimento de dados com autoridade UPDATE para a classe CBIND, perfil CB.BIND.<optionalSAFProfilePrefix>.<cluster_short_name>. A identidade do servidor de envio de dados é enviada usando um certificado de cliente SSL. Se o SSL não for usado, a verificação de CBIND será executada na identidade da tarefa iniciada do servidor de envio de dados.
      Evitar Problemas Evitar Problemas: Quando a asserção de identidade for ativada, a camada de mensagem ou a camada de transporte também deve estar ativada. Para a comunicação servidor-para-servidor, além de ativar a autenticação de cliente/camada de transporte, a asserção de identidade ou a camada de mensagem deve ser ativada também.gotcha

      Para obter informações adicionais, consulte Asserção de Identidade.

    • Camada de mensagem:

      Autenticação básica (GSSUP):

      Esse tipo de autenticação é o mais comum. O ID do usuário e senha ou o token autenticado são enviados de um cliente puro ou de um servidor de envio de dados. Quando um ID de usuário e uma senha são recebidos no servidor, eles são autenticados com o registro de usuário do servidor de recebimento de dados.

      Lightweight Third Party Authentication (LTPA):

      Nesse caso, um token de LTPA será enviado do servidor de envio de dados. Se você escolher LTPA, ambos os servidores deverão compartilhar as mesmas chaves LTPA.

      Kerberos (KRB5):

      Para selecionar o Kerberos, o mecanismo de autenticação ativo deve ser Kerberos. Nesse caso, um token do Kerberos será enviado do servidor de envio de dados.

      Para obter informações adicionais, leia sobre a Autenticação da Camada de Mensage.

    • Autenticação do certificado cliente Secure Sockets Layer (nível de transporte).

      O certificado cliente SSL será utilizado para autenticação em vez de utilizar ID de Usuário e Senha. Se um servidor delegar uma identidade para um servidor de recebimento de dados, ela será recebida a partir da camada de mensagem (token de autenticação de cliente) ou da camada de atributo (token de identidade), e não a partir da camada de transporte através da autenticação do certificado cliente.

      [AIX Solaris HP-UX Linux Windows][IBM i]Um cliente possui um certificado cliente SSL, armazenado no arquivo de armazenamento de chaves da configuração do cliente. Quando a autenticação do cliente SSL é ativada no servidor, o servidor solicita que o cliente envie o certificado do cliente SSL quando a conexão for estabelecida. A cadeia de certificados está disponível no soquete sempre que um pedido for enviado ao servidor. O interceptador do pedido do servidor recebe a cadeia de certificado a partir do soquete e mapeia esta cadeia de certificado para um usuário no registro do usuário. Esse tipo de autenticação é ótimo para comunicação direta de um cliente com um servidor. No entanto, quando você tiver que receber dados, a identidade geralmente fluirá por cima da camada de mensagem ou por meio da asserção de identidade.

      [z/OS]Um cliente possui um certificado cliente SSL armazenado no arquivo do anel de chaves da configuração do cliente. Quando a autenticação do cliente SSL é ativada no servidor, o servidor solicita que o cliente envie o certificado do cliente SSL quando a conexão for estabelecida. A cadeia de certificados está disponível no soquete sempre que um pedido for enviado ao servidor. O interceptor do pedido do servidor recebe a cadeia de certificado a partir do soquete e mapeia esta cadeia de certificado para um usuário no registro do usuário. Esse tipo de autenticação é ótimo para comunicação direta de um cliente com um servidor. No entanto, quando você tiver que receber dados, a identidade geralmente passa acima do nível de mensagem ou através da asserção de identidade.

  5. Considere os seguintes pontos ao decidir que tipo de autenticação aceitar:
    • Um servidor pode receber vários níveis simultaneamente, portanto, uma regra de ordem de precedência decide qual identidade utilizar. A camada de asserção de identidade possui a prioridade mais alta. A camada de mensagem segue e a camada de transporte possui a prioridade mais baixa. A autenticação de certificado do cliente SSL é utilizada quando é a única camada fornecida. Se a camada de mensagem e a camada de transporte forem fornecidas, a camada de mensagem será utilizada para estabelecer a identidade para autorização. A camada de asserção de identidade é utilizada para estabelecer precedência, quando fornecida.
    • Esse servidor geralmente recebe pedidos de um cliente, de um servidor ou de ambos? Se o servidor sempre receber pedidos de um cliente, a asserção de identidade não é necessária. É possível escolher o nível de mensagem, o nível de transporte ou ambos. Também é possível decidir quando a autenticação é necessária ou suportada. Para selecionar um nível como requerido, o cliente emissor deve fornecer esse nível, caso contrário, o pedido será rejeitado. No entanto, se o nível for apenas suportado, o nível pode não ser fornecido.
    • Que tipo de identidade de cliente é fornecida? Se a identidade do cliente for a autenticação dos certificados clientes e você quiser que a cadeia de certificados flua para recebimento de dados para mapear para os registros de usuários do servidor de recebimento de dados, a asserção de identidade será a opção apropriada. A asserção de identidade preserva o formato do cliente de origem. Se o cliente de origem for autenticado com um ID do usuário e senha, uma identidade de proprietário é enviada. Se a autenticação for feita com um certificado, a cadeia de certificados é enviada.

      [AIX Solaris HP-UX Linux Windows][IBM i]Em alguns casos, se o cliente autenticado com um token e um servidor LDAP (Lightweight Directory Access Protocol) for o registro de usuário, então, um DN (nome distinto) será enviado.

  6. Configure uma lista de servidores confiáveis. Quando a asserção de identidade for selecionada para os pedidos de entrada, insira uma lista separada por barras (|) de IDs de administradores de servidor, aos quais esse servidor pode suportar a submissão de token de identidade. Para obter a compatibilidade contrária, ainda é possível utilizar uma lista delimitada por vírgulas. No entanto, se o ID do servidor for um DN (Nome Distinto), será preciso utilizar uma lista delimitada por barras (|), porque um delimitador de vírgula não funciona. Se você optar por suportar qualquer servidor que envie um token de identidade, poderá digitar um asterisco (*) nesse campo. Essa ação é chamada de confiança presumida. Nesse caso, utilize a autenticação de certificado de cliente SSL entre servidores para estabelecer a confiança.
    Configurações suportadas Configurações suportadas: Esta etapa se aplica se você estiver utilizando um protocolo LDAP ou registro do usuário customizado. Entretanto, ela não se aplica quando você está utilizando o registro do usuário do sistema operacional local ou um registro do usuário do System Authorization Facility (SAF).sptcfg
  7. Configure o gerenciamento de sessão. É possível escolher segurança com informação de estado ou sem informação de estado. O desempenho será ótimo quando sessões com informação de estado forem escolhidas. O primeiro pedido de método entre um cliente e um servidor é autenticado. Todos os demais pedidos (ou até o token da credencial expirar) reutilizarão as informações da sessão, incluindo a credencial. Um cliente envia um ID de contexto para pedidos subseqüentes. O ID do contexto será exclusivo no escopo da conexão.

Resultados

Após concluir a configuração deste painel, você terá configurado a maior parte das informações coletadas por um cliente ao determinar o que enviar para este servidor. A configuração de transmissão de um cliente ou servidor com a configuração de transmissão desse servidor determina a segurança que será aplicada. Quando você sabe o que clientes enviam, a configuração é simples. No entanto, se você tiver um conjunto diverso de clientes com diferentes requisitos de segurança, seu servidor considera os vários níveis de autenticação.

Para um servidor de aplicativos Java Platform, Enterprise Edition, a opção de autenticação geralmente é a asserção de identidade ou a camada de mensagem, porque você deseja que a identidade do cliente de originem seja delegada no recebimento de dados. Você não pode delegar facilmente um certificado de cliente utilizando uma conexão SSL. É aceitável ativar o nível de transporte, porque a segurança adicional do servidor, como a parte adicional do certificado de cliente do protocolo de reconhecimento SSL, adiciona algum suplemento ao estabelecimento geral da conexão SSL.

O que Fazer Depois

Depois que determinar o tipo de dados de autenticação que o servidor recebe, é possível determinar o que selecionar para a segurança de transmissão. Para obter informações adicionais, consulte Configurando a autenticação de saída do Common Secure Interoperability Versão 2.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csiv2inbound
Nome do arquivo: tsec_csiv2inbound.html