使用脚本来配置公共安全互操作性认证
使用本主题,通过 wsadmin 工具,以利用公共安全互操作性协议来配置入站和出站通信。公共安全互操作性 V2 (CSIv2) 支持增强的供应商互操作性及其他功能。
开始之前
在配置本地操作系统用户注册表前,必须满足以下要求:
- 您必须具有管理员角色或新的 admin 角色。
- 在环境中启用全局安全性。
- 在环境中使用安全域 (domain) 来配置多个域 (realm)。
过程
- 配置 CSI 入站通信认证。
入站认证指的是确定用于入站请求的接受认证类型的配置。在客户机从名称服务器检索的可互操作对象引用 (IOR) 中通告了此认证。
- 通过使用 Jython 脚本编制语言,启动 wsadmin 脚本编制工具。请参阅“启动 wsadmin 脚本编制客户机”一文,以了解更多信息。
- 确定要对 CSI 入站通信指定的设置。 configureCSIInbound 命令会配置 CSI 入站通信的各种设置。
表 1. 命令参数. 复审以下可选参数列表,以确定要在配置中设置的属性: 参数 描述 -securityDomainName 指定安全性配置的名称。如果未指定安全域名,那么此命令会修改全局安全性配置。(字符串) -messageLevelAuth 指定客户机在连接到此服务器时是否必须指定用户标识和密码。指定 Never 以不要求指定用户标识和密码。指定 Supported 以接受用户标识和密码。指定 Required 以要求指定用户标识和密码。(字符串) -supportedAuthMechList 指定要使用的认证机制。指定 KRB5 以使用 Kerberos 认证、LTPA 以使用轻量级第三方认证、BasicAuth 以使用基本认证,以及 custom 以使用您自己的认证令牌实现。您可以指定多种认证机制,认证机制之间以管道字符 (|) 分隔。(字符串) -clientCertAuth 指定客户机在连接到此服务器时是否必须使用 SSL 证书。指定 Never 以允许客户机在没有 SSL 证书的情况下进行连接。指定 Supported 以接受客户机连接,而不管是否使用 SSL 证书。指定 Required 以要求客户机使用 SSL 证书。(字符串) -transportLayer 指定传输层支持级别。指定 Never 以禁用传输层支持。指定 Supported 以启用传输层支持。指定 Required 以要求使用传输层支持。(字符串) -sslConfiguration 指定要用于入站传输的 SSL 配置别名。(字符串) -enableIdentityAssertion 指定是否要启用身份断言。当使用身份断言认证方法时,生成的安全性令牌是包含一个 <wsse:Username> 元素的 <wsse:UsernameToken> 元素。对 -enableIdentityAssertion 参数指定 true 以启用身份断言。(布尔值) -trustedIdentities 指定信任服务器标识的列表,用管道字符 (|) 分隔。要指定空值,请将 -trustedIdentities 参数的值设为空字符串 ("")。(字符串) -statefulSession 指定是否要启用有状态会话。指定 true 以启用有状态会话。(布尔值) -enableAttributePropagation 指定是否要启用安全性属性传播。安全性属性传播允许应用程序服务器在配置中的两个服务器之间传输已认证的主体集内容和安全上下文信息。指定 true 以启用安全性属性传播。(布尔) - 配置 CSI 入站通信认证。
configureCSIInbound 命令会在安全域或全局安全性配置中配置 CSIv2 入站认证。首次在安全域中配置 CSI 入站认证时,会从全局安全性配置中复制 CSI 对象。然后,会将更改应用到配置。
使用 configureCSIInbound 命令来配置安全域或全局安全性配置的 CSI 入站认证,如以下 Jython 示例所示:AdminTask.configureCSIInbound('-securityDomainName testDomain -messageLevelAuth Supported -supportedAuthMechList KRB5|LTPA -clientCertAuth Supported -statefulSession true')
- 保存配置更改。 请使用以下命令示例来保存配置更改:
AdminConfig.save()
- 配置 CSI 出站通信认证。
出站认证指的是确定认证(针对发往下游服务器的出站请求执行)的类型的配置。
- 启动 wsadmin 脚本编制工具。
- 确定要对 CSI 出站通信指定的设置。 configureCSIOutbound 命令会配置 CSI 出站通信的各种设置。
表 2. 命令参数. 复审以下可选参数列表,以确定要在配置中设置的属性: 参数 描述 -securityDomainName 指定安全性配置的名称。如果未指定安全域名,那么此命令会修改全局安全性配置。(字符串) -enableAttributePropagation 指定是否要启用安全性属性传播。安全性属性传播允许应用程序服务器在配置中的两个服务器之间传输已认证的主体集内容和安全上下文信息。指定 true 以启用安全性属性传播。(布尔) -enableIdentityAssertion 指定是否要启用身份断言。当使用身份断言认证方法时,生成的安全性令牌是包含一个 <wsse:Username> 元素的 <wsse:UsernameToken> 元素。对 -enableIdentityAssertion 参数指定 true 以启用身份断言。(布尔值) -useServerIdentity 指定是否要使用服务器标识来建立与目标服务器的信任关系。指定 true 以使用服务器标识。(布尔) -trustedId 指定应用程序服务器用来建立与目标服务器的信任关系的可信标识。(字符串) -trustedIdentityPassword 指定可信服务器标识的密码。(字符串) -messageLevelAuth 指定客户机在连接到此服务器时是否必须指定用户标识和密码。指定 Never 以不要求指定用户标识和密码。指定 Supported 以接受用户标识和密码。指定 Required 以要求指定用户标识和密码。(字符串) -supportedAuthMechList 指定要使用的认证机制。指定 KRB5 以使用 Kerberos 认证、LTPA 以使用轻量级第三方认证、BasicAuth 以使用基本认证,以及 custom 以使用您自己的认证令牌实现。您可以指定多种认证机制,认证机制之间以管道字符 (|) 分隔。(字符串) -clientCertAuth 指定客户机在连接到此服务器时是否必须使用 SSL 证书。指定 Never 以允许客户机在没有 SSL 证书的情况下进行连接。指定 Supported 以接受客户机连接,而不管是否使用 SSL 证书。指定 Required 以要求客户机使用 SSL 证书。(字符串) -transportLayer 指定传输层支持级别。指定 Never 以禁用传输层支持。指定 Supported 以启用传输层支持。指定 Required 以要求使用传输层支持。(字符串) -sslConfiguration 指定要用于入站传输的 SSL 配置别名。(字符串) -statefulSession 指定是否要启用有状态会话。指定 true 以启用有状态会话。(布尔值) -enableCacheLimit 指定是否限制 CSIv2 会话高速缓存的大小。如果您指定 true 值,那么将限制高速缓存大小。限制值由您使用 -maxCacheSize 和 -idleSessionTimeout 参数设置的值确定。如果您指定 false 值(这是缺省值),那么不会限制高速缓存大小。如果您的环境使用 Kerberos 认证并且所配置的密钥分发中心 (KDC) 的时钟偏差较小,请考虑对此参数添加 true 值。较小的时钟偏差已定义为小于 20 分钟。仅当您将 -statefulSession 参数设置为 true 时,才会应用此参数。(布尔) -maxCacheSize 指定会话高速缓存的最大大小,在达到此大小后,将从高速缓存中删除已到期的会话。已到期的会话是空闲时间超过您对 -idleSessionTimeout 参数指定的时间的会话。如果您的环境使用 Kerberos 认证并且所配置的密钥分发中心 (KDC) 的时钟偏差较小,请考虑对此参数指定一个值。较小的时钟偏差已定义为小于 20 分钟。如果较小的高速缓存大小导致垃圾回收运行过于频繁,以至于影响到应用程序服务器的性能,请考虑增大此参数的值。仅当您将 -statefulSession 和 -enableCacheLimit 参数设置为 true 并且为 -idleSessionTimeout 参数设置了值时,才会应用此参数。此参数的值的有效范围是 100 到 1000。(整数) -idleSessionTimeout 指定 CSIv2 会话在被删除之前可以保持空闲的时间(以毫秒计)。如果将 -enableCacheLimit 参数设置为 true,并且超过了 -maxCacheSize 参数的值,那么将删除该会话。如果您的环境使用 Kerberos 认证并且 KDC 的时钟偏差较小,请考虑减小此参数的值。较小的时钟偏差会导致拒绝大量的 CSIv2 会话。但是,此参数的值越小,应用程序服务器就可以更频繁地清除已拒绝的会话,从而减少出现资源短缺的可能性。此参数的值的有效范围是 60,000 到 86,400,000 毫秒。(整数) -enableOutboundMapping 指定是否要启用定制出站标识映射。指定 true 以启用定制出站标识映射。(布尔值) -trustedTargetRealms 指定要信任的目标域的列表。请使用管道字符 (|) 分隔每个域名。(字符串) - 配置 CSI 出站通信认证。
configureCSIOutbound 命令会在安全域或全局安全性配置中配置 CSIv2 出站认证。首次在安全域中配置 CSI 出站认证时,应用程序服务器会从全局安全性配置中复制 CSI 对象。然后,应用程序服务器会将更改应用到该配置。
使用 configureCSIOutbound 命令来配置安全域或全局安全性配置的 CSI 出站认证,如以下 Jython 示例所示:AdminTask.configureCSIOutbound('-securityDomainName testDomain -enableIdentityAssertion true -trustedId myID -trustedIdentityPassword myPassword123 -messageLevelAuth Required -trustedTargetRealms realm1|realm2|realm3')
- 保存配置更改。 请使用以下命令示例来保存配置更改:
AdminConfig.save()
相关概念:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7configcsi
文件名:txml_7configcsi.html