配置 LTPA 并使用密钥

首次设置安全性时,必须配置轻量级第三方认证 (LTPA)。LTPA 是 WebSphere® Application Server 的缺省认证机制。配置 LTPA 后,可手动或自动生成 LTPA 密钥。

过程

  1. 配置 LTPA 并生成第一批 LTPA 密钥。
    1. 第一次设置安全性时,使用管理控制台配置 LTPA 或 Kerberos。LTPA 密钥将在第一次自动生成。有关更多信息,请参阅“配置轻量级第三方认证机制”。 分布在多个节点和单元中的应用程序服务器可以使用 LTPA 协议来安全地进行通信。密钥集合组包含密钥集和 LTPA 认证密钥生成安排列表。每个密钥集都包含对密钥库中密钥的密钥引用。要自动生成密钥,每个密钥集必须是密钥集组的成员。

      有关更多信息,请参阅“轻量级第三方认证密钥集合和密钥集合组”一文。

      必须同时生成某些密钥配置的密钥。将在一个密钥集中引用 LTPA 密钥对,而密钥或专用密钥位于不同的密钥集中。当创建了密钥集组时,会添加两个密钥集作为密钥集组的成员。密钥集组设置确定是自动还是手动同时生成这两个密钥集的密钥。

      密钥集组包含下列属性:
      • 成员密钥集
      • 选择在成员密钥集中手动或自动生成密钥
      • 安排自动生成密钥
  2. 手动或自动生成密钥,并控制生效密钥数。
    1. WebSphere Application Server 在首次启动期间将生成轻量级第三方认证 (LTPA) 密钥。可以根据需要在“认证机制和到期”面板中生成其他密钥。 可对属于密钥集合组的密钥集合禁止自动生成新 LTPA 密钥。自动生成按您配置密钥集组(它管理一个或多个密钥集)时指定的时间表创建新密钥。WebSphere Application Server 使用密钥集组自动生成密钥或多个同步的密钥集。

      手动生成密钥或禁止生成密钥的任务要求您重新启动 Node Agent 和应用程序服务器以接受新密钥。如果有任何的 Node Agent 关闭了,那么从 Node Agent 机器手动运行文件同步实用程序,以同步 Deployment Manager 的安全性配置。

      密钥集合管理基于密钥别名前缀的密钥库中的 LTPA 密钥。当您生成新密钥并将它存储在密钥库中时,会自动生成密钥别名前缀。密钥库可以包含任何给定密钥别名前缀的密钥的多个版本。您可以指定密钥集配置中的最大活动密钥数。

      有关更多信息,请参阅“生成轻量级第三方认证密钥”一文。

  3. 导入和导出密钥。
    1. 要在多个 WebSphere Application Server 域或单元间支持 在 WebSphere® Application Server 中进行单点登录 (SSO),必须在这些域间共享 LTPA 密钥和密码。可从其他域导入 LTPA 密钥,也可将密钥导出到其他域。
      注: 如果要将密钥导入至另一个单元或从中导出,应该禁用自动生成密钥。随着时间的推移,此禁用操作会导致所导入密钥丢失,并且所导出密钥不再与此单元互操作

      必须重新启动 Node Agent 和应用程序服务器以接受新密钥。如果有任何的 Node Agent 关闭了,那么从 Node Agent 机器手动运行文件同步实用程序,以同步 Deployment Manager 的安全性配置。

      有关更多信息,请参阅“导入轻量级第三方认证密钥”一文和“导出轻量级第三方认证密钥”一文。

  4. 管理多个单元中的密钥。
    1. 可以指定共享密钥并配置相应的认证机制,以便在跨多个 WebSphere® Application Server 单元导入和导出 LTPA 密钥时通过该机制在服务器之间交换信息。 必须重新启动服务器以使您所作的任何更改生效。

      有关更多信息,请参阅“管理多个 WebSphere Application Server 单元中的 LTPA 密钥”一文。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ltpa_and_keys
文件名:tsec_ltpa_and_keys.html