配置 LTPA 并使用密钥
首次设置安全性时,必须配置轻量级第三方认证 (LTPA)。LTPA 是 WebSphere® Application Server 的缺省认证机制。配置 LTPA 后,可手动或自动生成 LTPA 密钥。
过程
- 配置 LTPA 并生成第一批 LTPA 密钥。
- 第一次设置安全性时,使用管理控制台配置 LTPA 或 Kerberos。LTPA 密钥将在第一次自动生成。有关更多信息,请参阅“配置轻量级第三方认证机制”。 分布在多个节点和单元中的应用程序服务器可以使用 LTPA 协议来安全地进行通信。密钥集合组包含密钥集和 LTPA 认证密钥生成安排列表。每个密钥集都包含对密钥库中密钥的密钥引用。要自动生成密钥,每个密钥集必须是密钥集组的成员。
有关更多信息,请参阅“轻量级第三方认证密钥集合和密钥集合组”一文。
必须同时生成某些密钥配置的密钥。将在一个密钥集中引用 LTPA 密钥对,而密钥或专用密钥位于不同的密钥集中。当创建了密钥集组时,会添加两个密钥集作为密钥集组的成员。密钥集组设置确定是自动还是手动同时生成这两个密钥集的密钥。
密钥集组包含下列属性:- 成员密钥集
- 选择在成员密钥集中手动或自动生成密钥
- 安排自动生成密钥
- 第一次设置安全性时,使用管理控制台配置 LTPA 或 Kerberos。LTPA 密钥将在第一次自动生成。有关更多信息,请参阅“配置轻量级第三方认证机制”。 分布在多个节点和单元中的应用程序服务器可以使用 LTPA 协议来安全地进行通信。密钥集合组包含密钥集和 LTPA 认证密钥生成安排列表。每个密钥集都包含对密钥库中密钥的密钥引用。要自动生成密钥,每个密钥集必须是密钥集组的成员。
- 手动或自动生成密钥,并控制生效密钥数。
- WebSphere Application Server 在首次启动期间将生成轻量级第三方认证 (LTPA) 密钥。可以根据需要在“认证机制和到期”面板中生成其他密钥。 可对属于密钥集合组的密钥集合禁止自动生成新 LTPA 密钥。自动生成按您配置密钥集组(它管理一个或多个密钥集)时指定的时间表创建新密钥。WebSphere Application
Server 使用密钥集组自动生成密钥或多个同步的密钥集。
手动生成密钥或禁止生成密钥的任务要求您重新启动 Node Agent 和应用程序服务器以接受新密钥。如果有任何的 Node Agent 关闭了,那么从 Node Agent 机器手动运行文件同步实用程序,以同步 Deployment Manager 的安全性配置。
密钥集合管理基于密钥别名前缀的密钥库中的 LTPA 密钥。当您生成新密钥并将它存储在密钥库中时,会自动生成密钥别名前缀。密钥库可以包含任何给定密钥别名前缀的密钥的多个版本。您可以指定密钥集配置中的最大活动密钥数。
有关更多信息,请参阅“生成轻量级第三方认证密钥”一文。
- WebSphere Application Server 在首次启动期间将生成轻量级第三方认证 (LTPA) 密钥。可以根据需要在“认证机制和到期”面板中生成其他密钥。 可对属于密钥集合组的密钥集合禁止自动生成新 LTPA 密钥。自动生成按您配置密钥集组(它管理一个或多个密钥集)时指定的时间表创建新密钥。WebSphere Application
Server 使用密钥集组自动生成密钥或多个同步的密钥集。
- 导入和导出密钥。
- 要在多个 WebSphere Application Server 域或单元间支持
在 WebSphere® Application Server 中进行单点登录 (SSO),必须在这些域间共享 LTPA 密钥和密码。可从其他域导入 LTPA 密钥,也可将密钥导出到其他域。 注: 如果要将密钥导入至另一个单元或从中导出,应该禁用自动生成密钥。随着时间的推移,此禁用操作会导致所导入密钥丢失,并且所导出密钥不再与此单元互操作
必须重新启动 Node Agent 和应用程序服务器以接受新密钥。如果有任何的 Node Agent 关闭了,那么从 Node Agent 机器手动运行文件同步实用程序,以同步 Deployment Manager 的安全性配置。
有关更多信息,请参阅“导入轻量级第三方认证密钥”一文和“导出轻量级第三方认证密钥”一文。
- 要在多个 WebSphere Application Server 域或单元间支持
在 WebSphere® Application Server 中进行单点登录 (SSO),必须在这些域间共享 LTPA 密钥和密码。可从其他域导入 LTPA 密钥,也可将密钥导出到其他域。
- 管理多个单元中的密钥。
- 可以指定共享密钥并配置相应的认证机制,以便在跨多个
WebSphere® Application Server 单元导入和导出 LTPA 密钥时通过该机制在服务器之间交换信息。 必须重新启动服务器以使您所作的任何更改生效。
有关更多信息,请参阅“管理多个 WebSphere Application Server 单元中的 LTPA 密钥”一文。
- 可以指定共享密钥并配置相应的认证机制,以便在跨多个
WebSphere® Application Server 单元导入和导出 LTPA 密钥时通过该机制在服务器之间交换信息。 必须重新启动服务器以使您所作的任何更改生效。
相关概念:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ltpa_and_keys
文件名:tsec_ltpa_and_keys.html