通过使用此配置,可以为入站安全性与出站安全性配置不同的传输。
开始之前
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
入站传输指的是为接收此服务器的请求打开的侦听器端口的类型及其属性。Common Secure Interoperability Specification V2 (CSIv2) 和安全认证服务 (SAS) 都有配置传输的能力。
要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 SAS。
入站传输指的是为接收此服务器的请求打开的侦听器端口的类型及其属性。公共安全互操作性规范 V2 (CSIv2) 和 z/OS® 安全认证服务 (z/SAS) 都有配置传输的能力。
要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
但是,这两个协议之间存在以下差异:
- CSIv2 比 SAS 灵活得多,其需要安全套接字层 (SSL);而 CSIv2 却不需要 SSL。
- SAS 不支持 SSL 客户机证书认证,而 CSIv2 支持。
- CSIv2 可以需要 SSL 连接,而 SAS 仅支持 SSL 连接。
- SAS 总是打开两个侦听器端口:TCP/IP 和 SSL。
- CSIv2 可最有少至一个侦听器端口,多至三个侦听器端口。可以仅为 TCP/IP 或需要 SSL 时,打开一个端口。当支持 SSL 时您可以打开两个端口,而当支持 SSL 和 SSL 客户机证书认证时,可以打开三个端口。
CSIv2 和 z/SAS 支持大多数相同的功能。 CSIv2 具有可与其他 WebSphere® Application Server 产品和任何其他支持 CSIv2 协议的平台进行互操作的优点。
关于此任务
完成以下步骤在管理控制台中配置“入站传输”面板:
过程
- 单击安全性 > 全局安全性。
- 在“RMI/IIOP 安全性”下,单击 CSIv2 入站通信。
- 在“传输”下面,选择需要 SSL。 您可以选择使用安全套接字层 (SSL) 和/或 TCP/IP 作为服务器支持的入站传输。如果您指定 TCP/IP,服务器仅支持 TCP/IP 而不能接受 SSL 连接。如果您指定支持 SSL,此服务器可以支持 TCP/IP 连接或 SSL 连接。如果您指定需要 SSL,那么与它通信的任何服务器都必须使用 SSL。
- 单击应用。
- 考虑固定您配置的侦听器端口。
对于应用程序服务器,请单击服务器 > 应用程序服务器 > server_name。在“通信”下面,单击端口。为指定服务器显示“端口”面板。
对于 Node Agent,请转至系统管理 > Node Agent > node_name。在“其他属性”下面,单击端口。Node Agent 和 Deployment Manager 的“端口”面板已修改,但是您可能要考虑重新指定这些端口。对于 Deployment Manager,请单击系统管理 > Deployment Manager。在其他属性下面,单击端口。
WebSphere Application Server
上的对象请求代理 (ORB) 使用侦听器端口来进行“基于因特网 ORB 间协议的远程方法调用”(RMI/IIOP) 通信,这是使用配置对话框以静态方式指定的,或者是在迁移期间静态指定的。
ORB_LISTENER_ADDRESS
和 BOOTSTRAP_ADDRESS 必须指定同一个端口。如果您使用防火墙,那么您必须为 ORB 侦听器指定静态端口,并在防火墙上打开该端口,以使通信可以通过指定端口传递。设置 ORB 侦听器端口的 endPoint 属性是:ORB_LISTENER_ADDRESS。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
在
WebSphere Application Server Network Deployment
环境中,针对 Node Agent 指定 ORB_LISTENER_ADDRESS 端点。位置服务守护程序驻留在 Node Agent 上并在 ORB 侦听器端口上进行全双工通信,这导致需要固定的端口。同样,您必须将 ORB_LISTENER_ADDRESS 添加到其他应用程序服务器以设置他们的 ORB 侦听器端口。每个 ORB 有不同的侦听器端口。在
WebSphere Application Server Network Deployment 中,您必须指定不同的侦听器端口。例如,您可以指定以下端口:
- Node Agent:ORB_LISTENER_ADDRESS=9000
- Server1:ORB_LISTENER_ADDRESS=9811
- Server2:ORB_LISTENER_ADDRESS=9812
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
联合服务器可以无需运行 Node Agent 而运行。当 ORB_LISTENER_ADDRESS 设置为 0 或者更大值时,服务器不依靠位置服务守护程序将连接重定向到服务器。当您设置 ORB_LISTENER_ADDRESS 时,名称空间中的所有对象引用将指定到服务器的连接,而不是位置服务守护程序。当服务器无需 Node Agent 而运行时,必须通过运行在应用程序服务器上的名称服务器访问所有应用程序。客户机必须更改 Java™ 命名目录接口 (JNDI) 引用以使用应用程序服务器的主机和端口。
表 1. ORB_LISTENER_ADDRESS. 此表描述 ORB_LISTENER_ADDRESS。ORB_LISTENER_ADDRESS |
|
值 = 0 |
服务器在任何可用端口上启动,且不使用位置服务守护程序。 |
值 > 0 |
服务器在您输入的值指定的端口上启动。未使用位置服务守护程序。 |
注: 如果 Node Agent 没有正在运行,工作负载管理可能不起作用。
使用管理控制台完成下列步骤来指定一个或多个 ORB_LISTENER_ADDRESS 端口。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
对节点代理程序和 Deployment Manager 完成以下步骤。
- 单击服务器 > 应用程序服务器 > server_name。在“通信”下,单击端口 > 新建。
- 从“配置”面板中的端口名字段选择 ORB_LISTENER_ADDRESS。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
将 IP 地址、标准域名系统 (DNS) 主机名或 DNS 主机名本身输入到主机字段中。 例如,如果主机名为 myhost,那么标准 DNS 名可以是 myhost.myco.com,IP 地址可以是 155.123.88.201。
在主机字段中输入 IP 地址或“*”。 例如,IP 地址可以是 155.123.88.201。要点: ORB_LISTENER_ADDRESS 值不支持 DNS 主机名。
- 在端口字段中输入端口号。 端口号指定配置服务接受客户机请求的端口。端口值与主机名配合使用。使用前一个示例,端口号可能是 9000。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 CSIv2 入站通信。
选择用于来自 CSIv2 客户机的入站请求的 SSL 设置,然后单击应用。 CSIv2 协议用来与先前发行版进行互操作。在 SSL 配置中配置密钥库和信任库文件时,这些文件需要用于与 WebSphere Application Server 的前发行版互操作的正确信息。
单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 z/SAS 认证以选择用于来自 z/SAS 客户机的入站请求的 SSL 设置。
结果
完成入站传输配置。使用此配置,您可以为入站安全性对出站安全性配置不同的传输。例如,如果应用程序服务器是用户使用的第一个服务器,那么安全性配置可能更安全。当请求转至后端企业 Bean 服务器时,在您出站时可能出于性能原因而降低安全性。利用此灵活性,您可以设计满足您的需要的正确传输基础结构。
下一步做什么
完成安全性配置后,请执行以下步骤,保存、同步和重新启动服务器:
- 在管理控制台中单击保存,以保存对配置的任何修改。
同步所有节点代理程序的配置。
- 同步后,停止并重新启动所有服务器。