Configurações de Comunicações de Saída do Common Secure Interoperability Versão 2

Utilize essa página para especificar os recursos que um servidor suporta ao atuar como um cliente para outro servidor de recebimento de dados.

Para visualizar essa página do console administrativo, conclua as etapas a seguir:
  1. Clique em Segurança > Segurança Global.
  2. Em Autenticação, clique em Segurança RMI/IIOP > Comunicações de Saída CSIv2.
Os recursos de autenticação incluem três camadas de autenticação que podem ser utilizadas simultaneamente:
  • Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do namespace e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
  • Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
  • [IBM i][AIX Solaris HP-UX Linux Windows]Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.

Propagar Atributos de Segurança

Especifica para suportar a propagação do atributo de segurança durante os pedidos de login. Ao selecionar essa opção, o servidor de aplicativos mantém informações adicionais sobre o pedido de login, como a força de autenticação utilizada, e mantém a identidade e o local do originador do pedido.

Se essa opção não for selecionada, o servidor de aplicativos não aceitará informações de login adicionais para propagação para servidores de recebimento de dados.

Informações Valor
Padrão: Ativada
Importante: Ao usar os serviços de replicação, certifique-se de que a opção Propagar atributos de segurança está ativada.

Utilizar Asserção de Identidade

Especifica que a asserção de identidade é uma maneira de asserir identidades de um servidor para outro durante uma chamada de recebimento de dados do EJB (Enterprise JavaBeans).

Este servidor não autenticará novamente a identidade declarada, porque ele confia no servidor de envio de dados. A asserção de identidade tem precedência sobre todos os demais tipos de autenticação.

A asserção de identidade é executada na camada de atributo e é aplicável somente nos servidores. O proprietário determinado no servidor é baseado nas regras de precedência. Se a asserção de identidade for executada, a identidade será sempre derivada da camada de atributo. Se a autenticação básica for utilizada sem a asserção de identidade, a identidade será sempre derivada da camada de mensagem. Por fim, se a autenticação de certificado de cliente SSL for executada sem autenticação básica ou asserção de identidade, a identidade será derivada da camada de transporte.

A identidade assegurada é a credencial de chamada determinada pelo modo Executar Como para o bean corporativo. Se o modo Executar Como for Cliente, a identidade será a identidade do cliente. Se o modo Executar Como for Sistema, a identidade será a identidade do servidor. Se o modo Executar Como for Especificado, a identidade será a especificada. O servidor de recepção recebe a identidade em um token de identidade e também recebe a identidade do servidor de envio em um token de autenticação do cliente. O servidor de recepção valida a identidade do servidor de envio como uma identidade confiável através da caixa de entrada IDs de Servidor Confiáveis. Digite uma lista de nomes de proprietário, separados por barras (|), por exemplo, serverid1|serverid2|serverid3.

Todos os tipos de token de identidade são mapeados para o campo ID do usuário do registro do usuário ativo. Para um token de identidade ITTPrincipal, esse token é mapeado um-a-um com campos de ID do usuário. Para um token de identidade ITTDistinguishedName, o valor do primeiro sinal de igual é mapeado para o campo ID do usuário. Para um token de identidade ITTCertChain, o valor do primeiro sinal de igual do nome distinto é mapeado para o campo de ID do usuário,

Ao autenticar para um registro de usuário LDAP, os filtros LDAP determinam como uma identidade do tipo ITTCertChain e ITTDistinguishedName é mapeada para o registro. Se o tipo do token for ITTPrincipal, o proprietário é mapeado para o campo UID no registro LDAP.

Informações Valor
Padrão: Desativada

Utilizar Identidade Confiável pelo Servidor

Especifica a identidade do servidor que o servidor de aplicativos utiliza para estabelecer confiança com o servidor de destino. A identidade do servidor pode ser enviada utilizando um dos seguintes métodos:

  • Um ID e senha de servidor quando a senha do servidor é especificada na configuração do registro.
  • Um ID de servidor em um token LTPA (Lightweight Third Party Authentication) quando o ID do servidor interno é utilizado.
Para interoperabilidade com servidores de aplicativos diferentes do WebSphere Application Server, use um dos seguintes métodos:
  • Configure o ID do servidor e a senha no registro.
  • Selecione a opção Identidade Confiável do Servidor e especifique a identidade confiável e a senha de forma que um token GSSUP (Generic Security Services Username Password) interoperável seja enviado no lugar de um token LTPA.
Informações Valor
Padrão: Desativada

Especificar uma Identidade Confiável Alternativa

Especifica um usuário alternativo como a identidade confiável que é enviada aos servidores de destino em vez de enviar a identidade do servidor.

Essa opção é recomendada para asserção de identidade. A identidade é automaticamente confiável quando é enviada na mesma célula e não precisa estar na lista de identidades confiáveis na mesma célula. Entretanto, essa identidade deve estar no registro dos servidores de destino em uma célula externa e o ID do usuário deve estar na lista de identidades confiáveis ou a identidade será rejeitada durante a avaliação de confiança.

Nota: Você deve selecionar a Autenticação Básica na seção de autenticação Camada de Mensagem para enviar uma identidade confiável alternativa. Se você não selecionar Autenticação Básica, escolha a Identidade do Servidor no lugar.
Informações Valor
Padrão: Desativada

Identidade Confiável

Especifica a identidade confiável que é enviada do servidor de envio para o servidor receptor.

Se você especificar uma identidade nesse campo, ela pode ser selecionada no painel para seu repositório de conta de usuário configurado. Se você não especificar uma identidade, um token LTPA (Lightweight Third Party Authentication) é enviado entre os servidores.

[z/OS]Especifica uma lista de IDs de servidores confiáveis separada por pontos e vírgulas (;) ou separada por vírgulas (,) que são confiáveis para executar a asserção de identidade neste servidor. Por exemplo, serverid1;serverid2;serverid3 ou serverid1,serverid2,serverid3.

Utilize esta lista para decidir se um servidor é confiável. Mesmo se o servidor estiver na lista, o servidor de envio ainda precisa ser autenticado com o servidor de recepção para aceitar o token de identidade do servidor de envio.

Senha

Especifica a senha associada à identidade confiável.

Informações Valor
Tipo de Dados: Text

Confirmar senha

Confirma a senha associada à identidade confiável.

Informações Valor
Tipo de Dados: Text

Autenticação de camada de mensagem

As opções a seguir estão disponíveis para autenticação da camada de mensagem:
Nunca
Especifica que esse servidor não pode aceitar a autenticação usando nenhum dos mecanismos selecionados abaixo.
Suportado
Especifica que um cliente que se comunica com esse servidor pode autenticar usando qualquer um dos mecanismos selecionados abaixo. No entanto, um método pode ser chamado sem este tipo de autenticação. Por exemplo, um certificado anônimo ou cliente pode então ser utilizado.
Required
Especifica que os clientes que se comunicam com esse servidor devem especificar as informações de autenticação usando os mecanismos selecionados abaixo para qualquer solicitação de método.

Permitir autenticação entre cliente e servidor com:

Especifica a autenticação entre cliente e servidor utilizando a autenticação Kerberos, LTPA ou Básica.

As opções a seguir estão disponíveis para autenticação entre cliente e servidor:
Kerberos (KRB5)
Selecione para especificar Kerberos como o mecanismo de autenticação. Você deve primeiro configurar o mecanismo de autenticação Kerberos. Leia Configurando Kerberos como o Mecanismo de Autenticação Utilizando o Console Administrativo para obter mais informações.
LTPA
Selecione para configurar e ativar a autenticação de token LTPA (Lightweight Third-Party Authentication).
Autenticação Básica
A autenticação básica é GSSUP (Generic Security Services Username Password). Esse tipo de autenticação normalmente envolve o envio de um ID do usuário e uma senha do cliente para o servidor para autenticação.

Se você selecionar Autenticação Básica e LTPA, e o mecanismo de autenticação ativo for LTPA, o servidor combinará um servidor de recebimento de dados com um nome de usuário, senha ou token LTPA.

Se você selecionar Autenticação Básica e KRB5, e o mecanismo de autenticação ativo for KRB5, o servidor combinará um servidor de recebimento de dados com um nome de usuário, senha, token Kerberos ou token LTPA.

Se você não selecionar Autenticação Básica, o servidor não combinará um servidor de recebimento de dados com um nome de usuário e senha.

Transporte

Especifica se os processos do cliente são conectados ao servidor utilizando um dos transportes conectados do servidor.

É possível optar por utilizar SSL, TCP/IP ou Ambos como o transporte de saída que um servidor suporta. Se você especificar TCP/IP, o servidor suportará apenas o TCP/IP e não poderá iniciar conexões SSL com servidores de recebimento de dados. Se você especificar Suportado por SSL, este servidor poderá iniciar conexões TCP/IP ou SSL. Se você especificar Requerido por SSL, este servidor deverá utilizar SSL para iniciar conexões com servidores de recebimento de dados. Ao especificar SSL, decida qual conjunto de definições de configuração SSL você deseja utilizar para a configuração de transmissão.

[AIX Solaris HP-UX Linux Windows][IBM i]Esta decisão determina qual arquivo de chave e arquivo confiável utilizar para conexões de saída para servidores de recebimento de dados.

Considere as seguintes opções:
TCP/IP
Se você selecionar esta opção, o servidor abrirá conexões TCP/IP apenas com servidores de recebimento de dados.
Requerido pelo SSL
Se você selecionar esta opção, o servidor abrirá conexões SSL com servidores de recebimento de dados.
Suportado pelo SSL
Se você selecionar esta opção, o servidor abrirá conexões SSL com qualquer servidor de recebimento de dados que as suporta e abrirá conexões TCP/IP com qualquer servidor de recebimento de dados que não suporte SSL.
Padrão: Suportado pelo SSL
Intervalo: TCP/IP, Requerido pelo SSL, Suportado pelo SSL

Definições do SSL

Especifica uma lista de configurações SSL predefinidas dentre as quais escolher para conexão de entrada.

Informações Valor
Tipo de Dados: String
[AIX Solaris HP-UX Linux Windows][IBM i]Padrão: DefaultSSLSettings
[z/OS]Padrão: DefaultIIOPSSL
Intervalo: Quaisquer definições SSL configuradas no Repertório de Configuração SSL

Autenticação do certificado de cliente

Especifica se um certificado cliente do armazenamento de chaves configurado é utilizado para autenticar o servidor quando a conexão SSL é feita entre esse servidor e um servidor de recebimento de dados, desde que o servidor de recebimento de dados suporte autenticação de certificado cliente.

Geralmente, a autenticação do certificado cliente possui um desempenho mais alto do que a autenticação da camada de mensagem, mas requer alguma configuração adicional. Essas etapas adicionais incluem verificar se esse servidor possui um certificado pessoal e se o servidor de recebimento de dados possui o certificado de assinante desse servidor.

Se você selecionar autenticação do certificado cliente, as seguintes opções estarão disponíveis:
Nunca
Especifica que esse servidor não tenta a autenticação do certificado cliente SSL (Secure Sockets Layer) com os servidores de recebimento de dados.
Suportado
Especifica que esse servidor pode utilizar certificados clientes SSL para autenticação com servidores de recebimento de dados. No entanto, é possível chamar um método sem este tipo de autenticação. Por exemplo, o servidor pode utilizar no lugar autenticação anônima ou básica.
Required
Especifica que esse servidor deve utilizar certificados clientes SSL para autenticação com servidores de recebimento de dados.
Informações Valor
Padrão: Enabled

Configuração de Login

Especifica o tipo de configuração de login do sistema a ser utilizado para a autenticação de entrada.

É possível incluir módulos de login customizado, clicando em Segurança > Segurança Global. Em Autenticação, clique em Java Authentication and Authorization Service > Logins do Sistema.

Sessões com Preservação de Estado

Selecione essa opção para ativar sessões com preservação de estado, que são utilizadas principalmente para aprimoramentos de desempenho.

O primeiro contato entre um cliente e um servidor deve fazer a autenticação completa. No entanto, todos os contatos subsequentes com sessões válidas reutilizam as informações sobre segurança. O cliente transmite um ID de contexto para o servidor e o ID é utilizado para consultar a sessão. É feito o escopo do ID de contexto para a conexão, o que garante exclusividade. Sempre que a sessão de segurança não for válida e a nova tentativa de autenticação estiver ativada, que é o padrão, o interceptador de segurança do lado cliente invalida a sessão do lado cliente e envia o pedido novamente, sem que o usuário saiba. Essa situação poderá ocorrer se a sessão não existir no servidor, por exemplo, o servidor falhou e retomou a operação. Quando esse valor for desativado, cada chamada de método precisará ser autenticada novamente.

Ativar o Limite de Cache de Sessão CSIv2

Especifica se deve ser limitado o tamanho do cache de sessão CSIv2.

Quando você ativa essa opção, deve configurar valores para as opções de Tamanho Máximo de Cache e de Tempo Limite da Sessão. Quando você não ativa essa opção, o cache de sessão CSIv2 não é limitado.

Em versões anteriores do servidor de aplicativos, esse valor poderá ter sido configurado como a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheLimitEnabled. Nessa versão do produto, é aconselhável configurar esse valor utilizando o painel do console administrativo e não como uma propriedade customizada.

Informações Valor
Padrão: falso

Tamanho Máximo de Cache

Especifique o tamanho máximo do cache de sessão após o qual as sessões expiradas são excluídas do cache.

Sessões expiradas são definidas como sessões que estão inativas além do tempo especificado no campo Tempo de espera da sessão inativa. Ao especificar um valor para o campo Tamanho máximo do cache, considere configurar seu valor entre 100 e 1000 entradas.

Considere especificar um valor para esse campo se o seu ambiente usar autenticação do Kerberos e tiver um clock skew curto para o key distribution center (KDC) configurado. Nesse cenário, um clock skew curto é definido como inferior a 20 minutos. Considere aumentar o valor desse campo se o tamanho do cache pequeno fizer a coleta de lixo ser executada tão frequentemente que impacta o desempenho do servidor de aplicativos.

Em versões anteriores do servidor de aplicativos, esse valor poderá ter sido configurado como a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheMaxSize. Nessa versão do produto, é aconselhável configurar esse valor utilizando o painel do console administrativo e não como uma propriedade customizada.

Esse campo somente se aplica se você ativar ambas as opções Sessão Stateful e Ativar Limite do Cache de Sessão CSIv2.

Informações Valor
Padrão: Por padrão, um valor não é configurado.
Intervalo: 100 a 1000 entradas

Tempo de Espera da Sessão Inativa

Essa propriedade especifica o tempo em milissegundos que uma sessão CSIv2 pode permanecer inativa antes de ser excluída. A sessão é excluída se você selecionar a opção Ativar Limite do Cache de Sessão CSIv2 e o valor do campo de Tamanho Máximo do Cache for excedido.

Esse valor de tempo limite somente se aplica se você ativar ambas as opções Sessão Stateful e Ativar Limite do Cache de Sessão CSIv2. Considere diminuir o valor para esse campo se o seu ambiente usar autenticação do Kerberos e tiver um clock skew curto para o key distribution center (KDC) configurado. Nesse cenário, um clock skew curto é definido como inferior a 20 minutos. Uma distorção de clock pequena pode resultar em um número maior de sessões CSIv2 rejeitadas. No entanto, com um valor menor para o campo Tempo de espera da sessão inativa, o servidor de aplicativos pode esvaziar essas sessões rejeitadas mais frequentemente e reduzir potencialmente as faltas de recurso.

Em versões anteriores do WebSphere Application Server, é possível ter configurado esse valor como a propriedade customizada com.ibm.websphere.security.util.csiv2SessionCacheIdleTime. Nessa versão do produto, é aconselhável configurar esse valor utilizando o painel do console administrativo e não como uma propriedade customizada. Se você o configurou anteriormente como uma propriedade customizada, o valor foi configurado em milissegundos e convertido nesse painel do console administrativo para segundos. Nesse painel do console administrativo, você deve especificar o valor em segundos.

Informações Valor
Padrão: Por padrão, um valor não é configurado.
Intervalo: 60 a 86.400 segundos

Mapeamento de Saída Customizado

Ativa a utilização de módulos de login de saída customizados RMI (Remote Method Invocation).

O módulo de login customizado mapeia ou conclui outras funções antes da chamada de saída RMI predefinida.

Para declarar um mapeamento de saída customizado, execute as seguintes etapas:
  1. Clique em Segurança > Segurança Global.
  2. Em Autenticação, clique em Java Authentication and Authorization Service > Logins do Sistema > Novo.

Regiões de Autenticação Confiável - Saída

Se a comunicação RMI/IIOP ocorrer em regiões diferentes, utilize esse link para incluir regiões confiáveis de saída.

Os tokens de credencial são enviados apenas para as regiões que são confiáveis. Além disso, o servidor de recebimento deve confiar nessa região utilizando a configuração das regiões confiáveis de entrada para validar o token LTPA.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_outbound
Nome do arquivo: usec_outbound.html