[AIX Solaris HP-UX Linux Windows][IBM i]

消息层认证

定义凭证信息并通过网络发送该信息,以便接收服务器可以解释它。

当使用令牌通过网络发送认证信息时,就认为此传输是消息层认证,这是因为数据与服务上下文中的消息一起发送。

纯 Java™ 客户机将使用 Kerberos (KRB5) 或基本认证,或类属安全性服务用户名密码 (GSSUP) 作为认证机制来建立客户机标识。

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]但是,servlet 可以使用基本认证 (GSSUP) 或者服务器的认证机制 Kerberos (KRB5) 或“轻量级第三方认证” (LTPA) 来发送消息层中的安全信息。通过认证或将基本认证凭证映射至服务器的安全性机制来使用 KRB5 或 LTPA。

基于令牌的凭证中包含的安全性令牌特定于认证机制。仅认证机制了解解释令牌的方法。因此,每个认证机制具有一个代表它的对象标识 (OID)。OID 和客户机令牌发送到服务器,因此服务器在读和验证此令牌时知道要使用哪一机制。以下列表包含每个机制的 OID:

[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

BasicAuth(GSSUP):oid:2.23.130.1.1.1
KRB5: OID: 1.2.840.113554.1.2.2
LTPA:    oid:1.3.18.0.2.30.2
SWAM:     没有 OID,因为它是不可转发的

注: 在 WebSphere® Application Server V9.0 中,不推荐使用 SWAM,在将来的发行版中将除去此认证机制。
在服务器上,认证机制可以解释令牌并创建凭证,或者它们可以认证来自客户机的基本认证数据,并创建凭证。任何一种方法,已创建的凭证是由授权检查所使用的已接收的凭证,用于确定用户是否具有调用此方法的访问权。您可以通过在客户机端上使用以下属性来指定认证机制:
  • [AIX Solaris HP-UX Linux Windows][IBM i][z/OS]com.ibm.CORBA.authenticationTarget
当前只有基本认证 (BasicAuth) 和 KRB5 是有效值。您可以通过管理控制台配置服务器。
注: 允许执行基本认证时,如果客户机未进行类似的配置(并且未传递用户标识和密码之类的凭证)。
[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

配置认证重试

如果您错误输入了用户标识和密码,或者客户机上发生了特定错误时您要重试某个方法,那么就会发生您希望再次显示提示的情况。如果您可以通过客户机端的信息更正错误,那么系统自动执行重试而客户机看不到此故障(如果适当配置系统的话)。

这些错误中的某一些包含:
  • 输入无效的用户标识和密码
  • 服务器上有到期凭证
  • 无法在服务器上找到有状态的会话
缺省情况下,启用认证重试并在将错误返回客户机前执行三次重试。使用 com.ibm.CORBA.authenticationRetryEnabled 属性(TrueFalse)启用或禁用认证重试。使用 com.ibm.CORBA.authenticationRetryCount 属性指定重试尝试次数。
[AIX Solaris HP-UX Linux Windows][IBM i][z/OS]

基本认证登录的立即验证

在 WebSphere Application Server V6.x 中,request_login 期间为 BasicAuth 登录定义行为。在 V5 之前的发行版中,BasicAuth 登录获取通过 loginSource 方法输入的用户标识和密码,并创建 BasicAuth 凭证。 如果用户标识或密码无效,那么直到尝试第一个方法请求时,才找出此客户机程序。当在提示或程序化登录期间指定用户标识或密码时,缺省情况下,使用安全服务器认证用户标识和密码,并返回结果 TrueFalse。如果为 Falseorg.omg.SecurityLevel2.LoginFailed 异常会返回给客户机,表明用户标识和密码无效。如果为 True,那么BasicAuth凭证会返回给 request_login 的调用者。要在纯客户机上禁用此功能,指定 com.ibm.CORBA.validateBasicAuth=false。缺省情况下,此功能设置为 True。在服务器端,在安全性动态属性中指定此属性。

注: 每当连接到 z/OS® 服务器时,都应设置 com.ibm.CORBA.validateBasicAuth=false。因为 SecurityServer 是使用 z/OS 系统上不接受的“UNAUTHENTICATED”主体来查找的,所以此功能当前在从分布式客户机连接到 z/OS 服务器时不起作用。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_csiv2mes
文件名:rsec_csiv2mes.html