As Comunicações de entrada se referem à configuração que
determina o tipo de autenticação aceita para os pedidos de entrada.
Essa autenticação
é anunciada na IOR (Interoperable Object Reference)
que o cliente recupera do servidor de nomes.
Procedimento
- Inicie o console administrativo.
- Clique em Segurança > Segurança global.
- Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2.
- Considere as seguintes camadas de segurança:
- Asserção de identidade (camada de atributo).
Quando selecionado, esse servidor aceita tokens de identidade dos servidores de envio de dados. Se o servidor receber um token de identidade, a identidade é tomada de um cliente de origem. Por exemplo, a identidade está na mesma forma que o cliente de origem a apresentou ao
primeiro servidor. Um servidor de envio de dados envia a identidade do cliente de origem. O formato da identidade pode ser um nome principal, um nome distinto ou uma cadeia de certificados. Em alguns casos, a identidade é anônima. É importante confiar no servidor de envio de dados
que envia o token de identidade, porque a identidade é autenticada
neste servidor. A confiança no servidor de envio de dados é estabelecida utilizando a autenticação do certificado do cliente ou a autenticação básica do SSL (Secure Sockets Layer). Você deve selecionar uma de duas camadas de autenticação na autenticação de entrada e de
saída, ao escolher a declaração de identidade.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
O ID do servidor é enviado no token de autenticação do cliente com o token de identidade. O ID do servidor é verificado contra a lista de IDs de servidores confiáveis. Se o ID do servidor estiver na lista de servidores confiáveis, o ID do servidor será autenticado. Se o ID do servidor for válido, o token de identidade será colocado
em uma credencial e será utilizado para autorização do pedido.
![[z/OS]](../images/ngzos.gif)
Nota: Se seu registro configurado
for S.O. Local, a confiança será estabelecida verificando se a identidade do
servidor de envio de dados está autorizada no servidor de recebimento de dados com autoridade UPDATE
para a classe CBIND, perfil CB.BIND.<optionalSAFProfilePrefix>.<cluster_short_name>. A identidade do servidor de envio de dados é enviada usando um certificado de cliente SSL. Se o SSL não for usado, a verificação de CBIND será executada na identidade da tarefa iniciada do servidor de envio de dados.
Evitar Problemas: Quando a asserção de identidade for ativada, a camada de mensagem ou a camada de transporte também deve estar ativada. Para a comunicação servidor-para-servidor,
além de ativar a autenticação de cliente/camada de transporte, a asserção de identidade
ou a camada de mensagem deve ser ativada também.
gotcha
Para obter informações adicionais, consulte Asserção de Identidade.
- Camada de mensagem:
Autenticação básica (GSSUP):
Esse tipo de autenticação é o mais comum. O ID do usuário e senha ou o token autenticado são enviados de um cliente puro ou de um servidor de envio de dados. Quando um ID de usuário e uma senha são recebidos no servidor, eles são autenticados com o registro de usuário do servidor de recebimento de dados.
Lightweight
Third Party Authentication (LTPA):
Nesse caso, um token de LTPA será enviado do servidor de envio de dados. Se você escolher LTPA, ambos os servidores
deverão compartilhar as mesmas chaves LTPA.
Kerberos (KRB5):
Para selecionar o Kerberos, o mecanismo de autenticação ativo deve ser Kerberos. Nesse caso, um token do Kerberos será enviado do servidor de envio de dados.
Para obter informações adicionais, leia sobre a Autenticação da Camada de Mensage.
- Autenticação do certificado cliente Secure Sockets Layer (nível de transporte).
O certificado cliente SSL
será utilizado para autenticação em vez de utilizar ID de Usuário e Senha. Se um servidor
delegar uma identidade para um servidor de recebimento de dados, ela será recebida a partir
da camada de mensagem (token de autenticação de cliente) ou da camada de atributo (token de
identidade), e não a partir da camada de transporte através da autenticação do certificado
cliente.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Um cliente possui um certificado cliente SSL,
armazenado no arquivo de armazenamento de chaves da configuração do cliente. Quando
a autenticação do cliente SSL é ativada no servidor, o servidor solicita que o cliente
envie o certificado do cliente SSL quando a conexão for estabelecida. A cadeia de certificados está disponível no soquete sempre que um pedido for enviado ao servidor. O interceptador do pedido do servidor recebe a cadeia de certificado a partir do
soquete e mapeia esta cadeia de certificado para um usuário no registro do usuário. Esse tipo de autenticação é ótimo para comunicação direta de um cliente com um servidor. No entanto, quando
você tiver que receber dados, a identidade geralmente fluirá por cima da camada de mensagem
ou por meio da asserção de identidade.
Um cliente possui um certificado cliente SSL armazenado no
arquivo do anel de chaves da configuração do cliente. Quando
a autenticação do cliente SSL é ativada no servidor, o servidor solicita que o cliente
envie o certificado do cliente SSL quando a conexão for estabelecida. A cadeia de certificados está disponível no soquete sempre que um pedido for enviado ao servidor. O interceptor do pedido do servidor recebe a cadeia de certificado a partir do
soquete e mapeia esta cadeia de certificado para um usuário no registro do usuário. Esse tipo de autenticação é ótimo para comunicação direta de um cliente com um servidor. No entanto, quando você tiver que receber dados, a identidade geralmente passa acima do nível de mensagem ou através da asserção de identidade.
- Considere os seguintes pontos ao decidir que tipo de autenticação aceitar:
- Um servidor pode receber vários níveis simultaneamente, portanto, uma regra de ordem de precedência decide qual identidade utilizar. A camada de asserção de identidade
possui a prioridade mais alta. A camada de mensagem segue e a
camada de transporte possui a prioridade mais baixa. A autenticação de certificado do cliente SSL é utilizada quando é a única camada
fornecida. Se a camada de mensagem e a camada de transporte forem fornecidas, a camada de
mensagem será utilizada para estabelecer a identidade para autorização. A camada de
asserção de identidade é utilizada para estabelecer precedência, quando fornecida.
- Esse servidor geralmente recebe pedidos de um cliente, de um servidor ou de ambos? Se o servidor sempre receber pedidos de um cliente, a asserção de identidade não é necessária. É possível escolher o nível de mensagem, o nível de transporte ou ambos. Também é possível decidir quando a autenticação
é necessária ou suportada. Para selecionar um nível como requerido, o cliente emissor deve fornecer esse nível, caso contrário, o pedido será rejeitado. No entanto, se o nível for apenas suportado, o nível pode não ser fornecido.
- Que tipo de identidade de cliente é fornecida? Se a identidade do cliente for a autenticação dos certificados clientes e você quiser que a cadeia de certificados flua para recebimento de dados para mapear para os registros de usuários do servidor de recebimento de dados, a asserção de identidade será a opção apropriada. A asserção de identidade preserva o formato do cliente de origem. Se o cliente de origem for autenticado com um ID do usuário e senha, uma identidade de proprietário é enviada. Se a autenticação for feita com um certificado, a cadeia de certificados é enviada.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Em alguns casos, se o cliente autenticado com um token e um servidor LDAP
(Lightweight Directory Access Protocol) for o registro de usuário, então, um DN (nome distinto) será enviado.
- Configure uma lista de servidores
confiáveis. Quando a asserção de identidade for selecionada para
os pedidos de entrada, insira uma lista separada por barras (|) de
IDs de administradores de servidor, aos quais esse servidor pode suportar a submissão de token de identidade. Para obter a compatibilidade contrária, ainda é possível utilizar uma lista delimitada por vírgulas. No entanto,
se o ID do servidor for um DN (Nome Distinto), será preciso utilizar uma lista delimitada por barras (|),
porque um delimitador de vírgula não funciona. Se
você optar por suportar qualquer servidor que envie um token de identidade, poderá
digitar um asterisco (*) nesse campo. Essa ação é chamada de confiança presumida. Nesse caso, utilize a autenticação de certificado de cliente SSL entre servidores para estabelecer a confiança.
Configurações suportadas: Esta etapa se aplica se você estiver utilizando um protocolo LDAP ou registro do usuário customizado.
Entretanto, ela não se aplica quando você está utilizando o registro do usuário do sistema operacional local ou um registro do usuário do System Authorization Facility (SAF).
sptcfg
- Configure o gerenciamento de sessão. É possível escolher segurança com informação de estado ou sem informação de estado.
O desempenho será ótimo quando sessões com informação de estado forem escolhidas. O primeiro pedido de método entre um cliente e um servidor é autenticado. Todos os demais pedidos (ou até o token da credencial expirar) reutilizarão as informações da sessão, incluindo a credencial. Um cliente envia um ID de contexto para pedidos subseqüentes. O ID do contexto será exclusivo no escopo da conexão.
Resultados
Após concluir a configuração deste painel, você terá configurado a maior parte
das informações coletadas por um cliente ao determinar o que enviar para este
servidor. A configuração de transmissão de um cliente ou servidor com a configuração de transmissão desse servidor determina a segurança que será aplicada. Quando você sabe o que clientes enviam, a configuração é simples. No entanto, se você tiver um conjunto diverso de clientes com diferentes requisitos de segurança, seu servidor considera os vários níveis de autenticação.
Para
um servidor de aplicativos Java Platform, Enterprise Edition, a opção de
autenticação geralmente é a asserção de identidade ou a camada de mensagem, porque
você deseja que a identidade do cliente de originem seja delegada no recebimento de dados.
Você não pode delegar facilmente um certificado de cliente utilizando uma conexão SSL. É aceitável ativar o nível de transporte, porque a segurança adicional do servidor, como a parte adicional do certificado de cliente do protocolo de reconhecimento SSL, adiciona algum suplemento ao estabelecimento geral da conexão SSL.
O que Fazer Depois
Depois que determinar o tipo de dados de autenticação que o servidor recebe,
é possível determinar o que selecionar para a segurança de transmissão. Para
obter informações adicionais, consulte
Configurando
a autenticação de saída do Common Secure Interoperability Versão 2.