客户机配置的认证协议
可以使用 sas.client.props 文件中的设置来配置安全认证服务 (z/SAS) 和公共安全互操作性 V2 (CSIv2) 客户机。
请在 app_server_root/properties/sas.client.props 文件中使用以下设置来配置 SAS 和 CSIv2 客户机。
请在
sas.client.props 文件中使用以下设置来配置 SAS 和 CSIv2 客户机。缺省情况下,sas.client.props 文件位于 WebSphere Application Server WebSphere Application Server Network Deployment 安装的 profile_root/properties 目录中。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.IPC.authenticationTarget=BasicAuthcom.ibm.IPC.loginUserid=
com.ibm.IPC.loginPassword=com.ibm.IPC.loginSource=promptcom.ibm.IPC.krb5Service=WAScom.ibm.IPC.krb5CcacheFile=com.ibm.IPC.krb5ConfigFile=
com.ibm.CORBA.securityEnabled
用于确定是否为客户机进程启用安全性。
设置 | 值 |
---|---|
数据类型 | Boolean |
缺省值 | True |
有效值 | True 或 false |
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
com.ibm.CSI.protocol
用于确定哪些认证协议是活动的。
客户机可以将 ibm、csiv2 或 both 的协议配置为活动。认证协议的仅有可能值是 ibm、csiv2 和 both。不要使用 sas 作为认证协议的值。此限制既适用于客户机配置也适用于服务器配置。下面的列表提供关于使用其中每个协议选项的信息:
- ibm
- 与 WebSphere Application Server V4.x 或之前版本的服务器进行通信时,请使用此认证协议选项。
- csiv2
- 与 WebSphere Application Server V5 或更高版本的服务器进行通信时,由于不会针对每个方法请求装入并运行 SAS 拦截器,因此请使用此认证协议选项。
- both
- 使用此认证协议选项可以在 WebSphere Application Server V4.x 或之前版本的服务器与 WebSphere Application Server V5 或更高版本的服务器之间实现互操作。通常,指定 both 可以提供与其他服务器的更高互操作性。
设置 | 值 |
---|---|
数据类型 | String |
缺省值 | 两者 |
有效值 | ibm、csiv2 和 both |
com.ibm.CORBA.authenticationTarget
用于确定将安全信息从客户机发送到服务器的认证机制类型。
如果指定基本认证,那么将用户标识和密码发送到服务器。建议将安全套接字层 (SSL) 传输与此类型的认证配合使用;否则,不会加密密码。目标服务器必须支持指定的认证目标。
设置 | 值 |
---|---|
数据类型 | String |
缺省值 | BasicAuth |
有效值 | BasicAuth 和 KRB5 |
com.ibm.CORBA.validateBasicAuth
用于确定当 authenticationTarget 属性设置为 BasicAuth 时,是否在输入登录数据后立即验证用户标识和密码。
在前发行版中,BasicAuth 登录仅对初始方法请求进行验证。在第一次请求期间,用户标识和密码被发送到服务器。因为此请求是第一次请求,所以如果用户标识或密码不正确,那么客户机可以注意到错误。指定 validateBasicAuth 方法而且用户标识和密码的验证会在安全服务器上立即发生。
![[z/OS]](../images/ngzos.gif)
出于性能原因,如果不想立即验证用户标识和密码,那么您可能要禁用此属性。如果客户机程序可以等待,那么最好使初始方法请求流到用户标识和密码。但是,由于要考虑进行错误处理,程序逻辑可能没有这样简单。
设置 | 值 |
---|---|
数据类型 | Boolean |
缺省值 | True |
有效值 | true 和 false |
com.ibm.CORBA.authenticationRetryEnabled
用于指定重试失败的登录尝试。此属性确定重试是否因为其他错误而发生,如未在服务器上找到的有状态会话,或由于到期的凭证而在服务器上发生的验证失败。
返回到客户机的异常中的次代码会确定重试哪些错误。重试尝试次数取决于 com.ibm.CORBA.authenticationRetryCount 属性。
设置 | 值 |
---|---|
数据类型 | Boolean |
缺省值 | True |
有效值 | true 和 false |
com.ibm.CORBA.authenticationRetryCount
用于指定直到成功的认证发生或达到最大重试值时才发生的重试次数。
当达到最大重试值时,将认证异常返回到客户机。
设置 | 值 |
---|---|
数据类型 | Integer |
缺省值 | 3 |
范围 | 1-10 |
com.ibm.CORBA.loginSource
用于指定如果请求拦截器找不到已设置的调用凭证,它如何尝试登录。
- com.ibm.CORBA.loginUserid
- com.ibm.CORBA.loginPassword
![[z/OS]](../images/ngzos.gif)
当您为远程方法调用 (RMI) 连接设置 com.ibm.CORBA.loginSource=none 时,不论是将使用 wsadmin 进行脚本编制还是从其他客户机进行设置,都将继承已登录用户的凭证。无需在命令行或在 sas.client.props 属性文件中指定用户和/或密码。使用 com.ibm.CORBA.loginSource=none 时,此继承的凭证行为仅在 z/OS 平台上可用。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
如果针对远程方法调用 (RMI) 连接设置 com.ibm.CORBA.loginSource=none,那么无论是通过 wsadmin 脚本编制进行此设置还是从其他客户机中进行此设置,由于不会继承登录用户的凭证,因此必须以编程方式执行登录。必须在命令行中指定用户和/或密码。
设置 | 值 |
---|---|
数据类型 | String |
缺省值 | Prompt |
有效值 | Prompt、key file、stdin、none 和 properties |
com.ibm.CORBA.loginUserid
当配置属性登录和消息层认证发生时,用于指定用户标识。
此属性仅当 com.ibm.CORBA.loginSource=properties 时才有效。并请设置 com.ibm.CORBA.loginPassword 属性。
设置 | 值 |
---|---|
数据类型 | String |
范围 | 在服务器的已配置用户注册表中适合于用作用户标识的任何字符串。 |
com.ibm.CORBA.loginPassword
当配置属性登录和消息层认证发生时,用于指定密码。
此属性仅当 com.ibm.CORBA.loginSource=properties 时才有效。并请设置 com.ibm.CORBA.loginUserid 属性。
设置 | 值 |
---|---|
数据类型 | String |
范围 | 在服务器的已配置用户注册表中适合于用作密码的任何字符串。 |
com.ibm.CORBA.keyFileName
用于指定用于登录的密钥文件。
密钥文件是包含客户机用于登录到多个领域的领域、用户标识和密码组合的列表的文件。使用的领域是在当前方法请求的互操作对象引用 (IOR) 中找到的领域。当使用 com.ibm.CORBA.loginSource=key file 时,将使用此属性的值。
设置 | 值 |
---|---|
数据类型 | String |
缺省值 | C;/WebSphere/AppServer/properties/wsserver.key |
范围 | WebSphere Application Server 密钥文件的任何标准路径和文件名。 |
com.ibm.CORBA.loginTimeout
用于指定在认为登录失败前登录提示符保持可用的时间长度。
设置 | 值 |
---|---|
数据类型 | Integer |
单位 | 秒 |
缺省值 | 300(5 分钟时间间隔) |
范围 | 0 - 600(10 分钟时间间隔) |
com.ibm.CORBA.securityEnabled
用于确定是否为客户机进程启用安全性。
设置 | 值 |
---|---|
数据类型 | Boolean |
缺省值 | True |
范围 | true 和 false |