配置公共安全互操作性 V2 入站通信

入站通信是指一项配置,此配置用于确定入站请求所接受的认证类型。在客户机从名称服务器检索的可互操作对象引用 (IOR) 中通告了此认证。

过程

  1. 启动管理控制台。
  2. 单击安全性 > 全局安全性
  3. 在“RMI/IIOP 安全性”中,单击 CSIv2 入站通信
  4. 考虑下列各层安全性:
    • 身份断言(属性层)。

      当选择时,此服务器从上游服务器接受身份令牌。如果服务器接收身份令牌,那么从原始客户机获取标识。例如,以与原始客户机的同一格式表示的标识显示给第一台服务器。上游服务器发送原始客户机的身份。身份的格式可以是主体名称、专有名称或证书链。在一些情况下,标识是匿名的。重要的是信任发送身份令牌的上游服务器,这是因为此标识是在此服务器上认证的。使用安全套接字层 (SSL) 客户机证书认证或基本认证建立上游服务器的信任。当您选择身份断言时,您必须在入站认证和出站认证中选择认证的两层之一。

      [AIX Solaris HP-UX Linux Windows][IBM i]服务器标识是在客户机认证令牌中与身份令牌一起发送的。根据可信的服务器标识列表检查服务器标识。如果服务器标识在可信服务器列表上,那么服务器标识被认证。如果服务器标识有效,那么将身份令牌放入凭证,并用于请求的授权。

      [z/OS]
      注: 如果已配置的注册表为本地操作系统,那么会通过检查上游服务器身份在下游服务器上是否具有对 CBIND 类(概要文件 CB.BIND.<optionalSAFProfilePrefix>.<cluster_short_name>)的 UPDATE 权限来建立信任。上游服务器身份是使用 SSL 客户机证书发送的。如果未使用 SSL,那么系统会针对上游服务器的已启动任务身份执行 CBIND 检查。
      避免故障 避免故障: 启用身份断言后,还应启用消息层或传输层。对于服务器间通信,除了启用传输层/客户机认证以外,还应启用身份断言或消息层。gotcha

      有关更多信息,请参阅身份断言

    • 消息层:

      基本认证 (GSSUP):

      此类型的认证是最典型的。从纯客户机或从上游服务器发送用户标识和密码或已认证的令牌。在服务器上接收到用户标识和密码时,使用下游服务器的用户注册表对其进行认证。

      轻量级第三方认证 (LTPA):

      在此情况下,LTPA 令牌是从上游服务器发送的。如果您选择 LTPA,那么两个服务器必须共享同一 LTPA 密钥

      Kerberos (KRB5):

      要选择 Kerberos,活动认证机制必须为 Kerberos。在此情况下,Kerberos 令牌是从上游服务器发送的。

      有关更多信息,请阅读有关消息层认证的信息。

    • 安全套接字层客户机证书认证(传输层)。

      使用 SSL 客户机证书来进行认证,而不是使用用户标识和密码。如果服务器将标识委派给下游服务器,该标识将来自消息层(客户机认证令牌)或属性层(身份令牌),而不是来自通过客户机证书认证的传输层。

      [AIX Solaris HP-UX Linux Windows][IBM i]客户机具有客户机配置的 SSL 客户机证书,其存储在密钥库文件中。在此服务器上启用 SSL 客户机认证时,服务器请求客户机在建立连接时发送 SSL 客户机证书。无论请求何时发送给服务器,证书链都可用于套接字。服务器请求拦截器从套接字获取证书链,并将此证书链映射至用户注册表中的用户。此类型的认证对于从客户机到服务器的直接通信是最好的。但是,当您必须进入下游时,标识通常经过消息层,或者通过身份断言。

      [z/OS]客户机具有客户机配置的 SSL 客户机证书,它存储在密钥环文件中。在此服务器上启用 SSL 客户机认证时,服务器请求客户机在建立连接时发送 SSL 客户机证书。无论请求何时发送给服务器,证书链都可用于套接字。服务器请求拦截器从套接字获取证书链,并将此证书链映射至用户注册表中的用户。此类型的认证对于从客户机到服务器的直接通信是最好的。但是,当您必须下游时,标识通常在消息层上,或通过身份断言流动。

  5. 当决定接受哪种类型的认证时,考虑下列几点:
    • 服务器可同时接收多个层,因此,优先权规则的顺序确定要使用哪个身份。身份断言层的优先级最高。消息层的优先级稍低,而传输层的优先级最低。当 SSL 客户机证书认证是唯一提供的层时,使用此认证。如果提供消息层和传输层,那么消息层用于建立授权的标识。提供的身份断言层用于建立优先权。
    • 此服务器经常从客户机或服务器或这两者接收请求吗?如果服务器总是从客户机接收请求,那么不需要身份断言。然后,您可选择消息层和/或传输层。而且,您可以确定何时需要认证,或者何时受支持。要按需要选择层,发送客户机必须提供此层,或者拒绝请求。但是,如果层仅仅是支持的,那么有可能不提供层。
    • 已提供哪种类型的客户机标识?如果客户机标识是客户机证书认证,而且您要证书链下游流动,以便它映射至下游服务器用户注册表,那么身份断言是适当的选项。身份断言将保存原始客户机的格式。如果使用用户标识和密码认证原始客户机,那么将发送主体标识。如果使用证书认证,那么将发送证书链。

      [AIX Solaris HP-UX Linux Windows][IBM i]在某些情况下,如果使用令牌和轻量级目录访问协议 (LDAP) 服务器认证的客户机是用户注册表,那么发送专有名称 (DN)。

  6. 配置可信服务器列表。 当为入站请求选择身份断言时,将以竖线 (|) 分隔的服务器管理员标识的列表插入此服务器可以支持身份令牌提交。出于向后兼容性的考虑,您仍可使用以逗号分隔的列表。但是,如果服务器标识是专有名称 (DN),那么必须使用以竖线 (|)分隔的列表,这是因为逗号定界符不起作用。如果您选择支持任何服务器发送身份令牌,那么可以在此字段中输入星号 (*)。此操作称为假定信任。在这种情况下,在服务器之间使用 SSL 客户机证书认证来建立信任。
    支持的配置 支持的配置: 如果您正在使用轻量级目录访问协议 (LDAP) 或定制用户注册表,那么此步骤适用。但是,如果您正在使用本地操作系统用户注册表或系统授权工具 (SAF) 用户注册表,那么此步骤不适用。sptcfg
  7. 配置会话管理。 您可以选择有状态的无状态的安全性。当选择有状态会话时,性能最好。认证客户机和服务器之间的第一个方法请求。所有后续请求(或直到凭证令牌到期为止)复用包含凭证的会话信息。客户机为后续请求发送上下文标识。出于唯一性原因,此上下文标识作用于连接。

结果

当您完成此面板的配置,那么您已配置了客户机在确定发送给此服务器的内容时将收集的大多数信息。客户机或服务器出站配置连同此服务器入站配置确定将应用的安全性。当您知道客户机发送的内容时,配置是简单的。但是,如果您有具有不同的安全性需求的不同的客户机集合,您的服务器将考虑各种认证层。

对于 Java Platform Enterprise Edition 应用程序服务器,认证选项通常是身份断言或消息层,这是因为您要委派原始客户机的标识为下游。您无法简单地使用 SSL 连接委派客户机证书。启用传输层是可以接受的,这是因为附加的服务器安全性(作为 SSL 握手的附加客户机证书部分),添加一些开销到整个 SSL 连接建立。

下一步做什么

在您确定此服务器可能接收的认证数据类型后,您可以确定为出站安全性选择的内容。有关更多信息,请参阅配置公共安全互操作性 V2 出站认证

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csiv2inbound
文件名:tsec_csiv2inbound.html