配置管理认证

认证机制定义有关安全性信息的规则(例如,是否可以将凭证转发到另一个 Java™ 进程),以及安全性信息采用哪种格式存储在凭证和令牌中。

开始之前

Rivest Shamir Adleman (RSA) 令牌认证机制简化了安全性环境以实现灵活的管理拓扑,即,在该拓扑中,您可以通过管理应用程序的作业管理器以本地方式或远程方式提交管理作业及对其进行管理,执行产品维护,修改配置以及控制应用程序服务器运行时。使用管理控制台来配置管理认证,这涉及配置 Rivest Shamir Adleman (RSA) 令牌认证机制。

避免故障 避免故障: 在缺省情况下,管理认证设置为 RSA(对于在 Base 环境中运行的服务器)和 LTPA(对于在 Network Deployment 环境中运行的服务器)。gotcha

以下密钥库、信任库和根库描述可让了解证书的存储位置及如何配置进程之间的信任关系。

NodeRSATokenKeyStore 包含用于此进程的 Rivest Shamir Adleman (RSA) 令牌个人证书。此证书中的公用/专用密钥不仅用于创建 RSA 令牌,而且公用密钥还供其他进程用于创建令牌。RSA 个人证书是由 RSA 根证书签署。

NodeRSATokenTrustStore 包含其他可将 RSA 令牌发送到此进程的可信进程中的所有 RSA 签署者证书。在注册过程中,会自动将此信任库中的签署者放置到那里。然而,本任务允许管理员配置通常不包括在同一管理域中的进程之间的信任关系。如果是在两个服务器基本部件之间进行管理通信,那么可能存在一些要求。使用 RSA 令牌认证机制时,如果是进行双向管理通信,那么服务器基本部件需要共享 RSA 签署者。

NodeRSATokenRootStore 包含用于创建新 RSA 个人证书的根个人证书。请不要使用根证书来创建 RSA 令牌,因为此用法会使生命周期较长的密钥泄密。请仅使用根证书来签署其他证书。

不需要对这些密钥库执行手动步骤,并且这允许处于不同管理域中的进程之间建立非常规信任关系。如果需要,您也可以将 RSA 个人证书替换为从认证中心 (CA) 获取的个人证书。在这种情况下,确保将 CA 根证书放入相同管理域的所有 RSA 信任库中。

过程

  1. 单击安全性 > SSL 证书和密钥管理
  2. 相关项下,单击密钥库和证书
  3. 密钥库用法下,选择 RSA 令牌密钥库
  4. 选择要管理的 RSA 令牌密钥库。
  5. 根据需要修改描述。
  6. 根据需要修改路径。
  7. 根据需要选择只读和/或在设置时初始化
  8. 输入正确的密码以进行这些修改。
  9. 单击应用,然后单击保存

结果

已配置管理认证。

下一步做什么

如果进程是后备级别,或无法获取目标 RSA 证书,那么回退机制是轻量级第三方认证 (LTPA),所有前发行版都支持使用此机制进行管理通信。会自动进行回退。如果未共享 LTPA 密钥,但发生了回退,那么 LTPA 也将失败。然而,此情况通常是 RSA 机制中的错误情况,且不应该经常发生。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7config_admin_auth
文件名:tsec_7config_admin_auth.html