配置入站消息
可使用管理控制台来配置 CSIv2 的入站消息。
过程
- 在管理控制台中,单击安全性 > 全局安全性。
- 在“认证”下,展开 RMI/HOP 安全性。
- 单击 CSIv2 入站通信。
- 可选: 单击传播安全性属性或使用身份断言。 传播安全性属性选项会在执行登录请求期间启用安全性属性传播支持。选择此选项后,应用程序服务器将保留有关登录请求的其他信息(例如使用的认证强度),并保留请求发起方的标识和位置。
使用身份断言选项指定在执行下游 Enterprise JavaBeans (EJB) 调用期间,身份断言是从一台服务器向另一台服务器声明标识的方法。
- 在“CSIv2 消息层认证”下,选择支持、从不或必需。
- 从不
- 指定此服务器不可接受您在允许以如下认证机制执行客户机到服务器的认证:下选择的认证机制。
- 受支持
- 指定与此服务器进行通信的客户机可以指定您在允许以如下认证机制执行客户机到服务器的认证:下选择的认证机制。但是,可以不使用此认证类型来调用方法。例如,可能会改为使用匿名或客户机证书。
- 必需
- 指定与此服务器进行通信的客户机必须指定您在允许以如下认证机制执行客户机到服务器的认证:下选择的认证机制。
避免故障: 启用位置服务守护程序 (LSD) 时,全局安全性中的 CSIv2 入站和 CSIv2 出站消息层认证需要设置为必需或受支持。gotcha
- 在允许以如下认证机制执行客户机到服务器的认证:下,选择 Kerberos、LTPA 和/或基本认证。 可选择性地选择:
- Kerberos
- 选择此选项以启用通过 Kerberos 令牌进行认证。
- LTPA
- 选择此选项以启用通过轻量级第三方认证 (LTPA) 令牌进行认证。
- 基本认证
- 此类型的认证通常包括将用户标识和密码从客户机发送到服务器来进行认证。这也称为类属安全性服务用户名密码 (GSSUP)。
此认证还涉及对已认证凭证(例如 LTPA)的凭证令牌进行委派(如果该凭证类型是可转发的)。
如果在 CSIv2 消息层认证下选择支持,并在允许以如下认证机制执行客户机到服务器的认证:下选中 KRB5 和 LTPA,那么服务器不接受用户名和密码。
- 单击确定。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_kerb_csiv2_inbound
文件名:tsec_kerb_csiv2_inbound.html