入站通信是指一项配置,此配置用于确定入站请求所接受的认证类型。在客户机从名称服务器检索的可互操作对象引用 (IOR) 中通告了此认证。
过程
- 启动管理控制台。
- 单击安全性 > 全局安全性。
- 在“RMI/IIOP 安全性”中,单击 CSIv2 入站通信。
- 考虑下列各层安全性:
- 身份断言(属性层)。
当选择时,此服务器从上游服务器接受身份令牌。如果服务器接收身份令牌,那么从原始客户机获取标识。例如,以与原始客户机的同一格式表示的标识显示给第一台服务器。上游服务器发送原始客户机的身份。身份的格式可以是主体名称、专有名称或证书链。在一些情况下,标识是匿名的。重要的是信任发送身份令牌的上游服务器,这是因为此标识是在此服务器上认证的。使用安全套接字层 (SSL) 客户机证书认证或基本认证建立上游服务器的信任。当您选择身份断言时,您必须在入站认证和出站认证中选择认证的两层之一。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
服务器标识是在客户机认证令牌中与身份令牌一起发送的。根据可信的服务器标识列表检查服务器标识。如果服务器标识在可信服务器列表上,那么服务器标识被认证。如果服务器标识有效,那么将身份令牌放入凭证,并用于请求的授权。
![[z/OS]](../images/ngzos.gif)
注: 如果已配置的注册表为本地操作系统,那么会通过检查上游服务器身份在下游服务器上是否具有对 CBIND 类(概要文件 CB.BIND.<optionalSAFProfilePrefix>.<cluster_short_name>)的 UPDATE 权限来建立信任。上游服务器身份是使用 SSL 客户机证书发送的。如果未使用 SSL,那么系统会针对上游服务器的已启动任务身份执行 CBIND 检查。
避免故障: 启用身份断言后,还应启用消息层或传输层。对于服务器间通信,除了启用传输层/客户机认证以外,还应启用身份断言或消息层。
gotcha
有关更多信息,请参阅身份断言。
- 消息层:
基本认证 (GSSUP):
此类型的认证是最典型的。从纯客户机或从上游服务器发送用户标识和密码或已认证的令牌。在服务器上接收到用户标识和密码时,使用下游服务器的用户注册表对其进行认证。
轻量级第三方认证 (LTPA):
在此情况下,LTPA 令牌是从上游服务器发送的。如果您选择 LTPA,那么两个服务器必须共享同一 LTPA 密钥
Kerberos (KRB5):
要选择 Kerberos,活动认证机制必须为 Kerberos。在此情况下,Kerberos 令牌是从上游服务器发送的。
有关更多信息,请阅读有关消息层认证的信息。
- 安全套接字层客户机证书认证(传输层)。
使用 SSL 客户机证书来进行认证,而不是使用用户标识和密码。如果服务器将标识委派给下游服务器,该标识将来自消息层(客户机认证令牌)或属性层(身份令牌),而不是来自通过客户机证书认证的传输层。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
客户机具有客户机配置的 SSL 客户机证书,其存储在密钥库文件中。在此服务器上启用 SSL 客户机认证时,服务器请求客户机在建立连接时发送 SSL 客户机证书。无论请求何时发送给服务器,证书链都可用于套接字。服务器请求拦截器从套接字获取证书链,并将此证书链映射至用户注册表中的用户。此类型的认证对于从客户机到服务器的直接通信是最好的。但是,当您必须进入下游时,标识通常经过消息层,或者通过身份断言。
客户机具有客户机配置的 SSL 客户机证书,它存储在密钥环文件中。在此服务器上启用 SSL 客户机认证时,服务器请求客户机在建立连接时发送 SSL 客户机证书。无论请求何时发送给服务器,证书链都可用于套接字。服务器请求拦截器从套接字获取证书链,并将此证书链映射至用户注册表中的用户。此类型的认证对于从客户机到服务器的直接通信是最好的。但是,当您必须下游时,标识通常在消息层上,或通过身份断言流动。
- 当决定接受哪种类型的认证时,考虑下列几点:
- 配置可信服务器列表。 当为入站请求选择身份断言时,将以竖线 (|) 分隔的服务器管理员标识的列表插入此服务器可以支持身份令牌提交。出于向后兼容性的考虑,您仍可使用以逗号分隔的列表。但是,如果服务器标识是专有名称 (DN),那么必须使用以竖线 (|)分隔的列表,这是因为逗号定界符不起作用。如果您选择支持任何服务器发送身份令牌,那么可以在此字段中输入星号 (*)。此操作称为假定信任。在这种情况下,在服务器之间使用 SSL 客户机证书认证来建立信任。
支持的配置: 如果您正在使用轻量级目录访问协议 (LDAP) 或定制用户注册表,那么此步骤适用。但是,如果您正在使用本地操作系统用户注册表或系统授权工具 (SAF) 用户注册表,那么此步骤不适用。
sptcfg
- 配置会话管理。 您可以选择有状态的或无状态的安全性。当选择有状态会话时,性能最好。认证客户机和服务器之间的第一个方法请求。所有后续请求(或直到凭证令牌到期为止)复用包含凭证的会话信息。客户机为后续请求发送上下文标识。出于唯一性原因,此上下文标识作用于连接。
结果
当您完成此面板的配置,那么您已配置了客户机在确定发送给此服务器的内容时将收集的大多数信息。客户机或服务器出站配置连同此服务器入站配置确定将应用的安全性。当您知道客户机发送的内容时,配置是简单的。但是,如果您有具有不同的安全性需求的不同的客户机集合,您的服务器将考虑各种认证层。
对于 Java Platform Enterprise Edition 应用程序服务器,认证选项通常是身份断言或消息层,这是因为您要委派原始客户机的标识为下游。您无法简单地使用 SSL 连接委派客户机证书。启用传输层是可以接受的,这是因为附加的服务器安全性(作为 SSL 握手的附加客户机证书部分),添加一些开销到整个 SSL 连接建立。
下一步做什么
在您确定此服务器可能接收的认证数据类型后,您可以确定为出站安全性选择的内容。有关更多信息,请参阅
配置公共安全互操作性 V2 出站认证。