在第一次设置安全性时,必须配置轻量级第三方认证 (LTPA) 或 Kerberos。
过程
- 打开管理控制台。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
在 Web 浏览器中输入 http://fully_qualified_host_name:port_number/ibm/console 以访问管理控制台。
在 Web 浏览器中输入 http://server_name:port_number/ibm/console 以访问管理控制台。
端口 9060 是用于访问管理控制台的缺省端口号。但是,在安装期间,您可能已指定另一个端口号。请使用适当的端口号。
- 单击安全性 > 全局安全性 > 认证机制和到期。
- 单击LTPA。
- 从密钥集组字段中选择适当的组,该组包含公用 LTPA 密钥、专用 LTPA 密钥和共享 LTPA 密钥。 这些密钥用来对服务器之间发送的数据进行加密和解密。可以使用“密钥集组”链接来访问这些密钥集组配置。在“密钥集组”配置中,可以指示是否自动生成新密钥以及何时生成。
- 在服务器之间转发的凭证的 LTPA 超时值字段中输入正整数值。
此值指的是来自另一服务器的服务器凭证在到期前的有效时间长度。缺省值为 120 分钟。服务器之间转发的凭证的 LTPA 超时值字段中的值必须大于“认证高速缓存设置”面板上高速缓存超时字段中的值。
- 在密码字段中输入密码。
此密码用于对生成的密钥进行保护,这些密钥用于对 SSO 属性文件中的 LTPA 密钥进行加密和解密。此密码并非用于生成密钥,而仅用于对其进行保护。在导入期间,此密码应该与另一 LTPA 服务器(例如另一个应用程序服务器单元或
Lotus® Domino® Server 等)上用来导出密钥的密码匹配。在导出期间,请记住此密码以便在执行导入操作时提供。
通过共享密钥和密码,可以实现跨单元的单点登录功能。要共享密钥和密码,请登录到一个单元,指定密钥文件,然后单击导出密钥。然后,登录到另一单元,指定密钥文件,然后单击导入密钥。
- 单击应用或确定。
- 可选: 查看面板上的设置。缺省情况下,认证高速缓存处于启用状态。有关这些字段和值的更多信息,请参阅关于认证高速缓存设置的文档。
结果
现在,已设置 LTPA 配置。LTPA 密钥将在第一次自动生成。不要在此步骤中生成 LTPA 密钥,这是因为他们稍后会自动生成。完成启用安全性时所需执行的余下步骤,如果需要使用单点登录 (SSO) 功能,那么首先从配置此功能入手。
下一步做什么
在配置 LTPA 后,还可以完成下列任务:
- 生成密钥文件。有关更多信息,请参阅生成轻量级第三方认证密钥。
- 导出密钥文件。有关更多信息,请参阅导出轻量级第三方认证密钥。
- 导入密钥文件。有关更多信息,请参阅导入轻量级第三方认证密钥。
- 从多个单元管理 LPTA 密钥。有关更多信息,请参阅从多个 WebSphere Application Server 单元管理 LTPA 密钥。
- 如果您正在启用安全性,那么还可以启用单点登录 (SSO)。请参阅:
- 如果您生成了一组新密钥或导入了一组新密钥,请通过单击面板顶部的保存确认将密钥保存到主配置。由于 LTPA 认证使用对时间敏感的令牌,所以,请验证时间、日期和时区在所有参与受保护域的产品服务器之间已同步。对时间、日期和时区所作的更改与 WebSphere Application Server 无关。如果服务器之间的时钟偏差过高,LTPA 令牌就会过早到期并导致认证或验证失败。