客户机配置的认证协议

可以使用 sas.client.props 文件中的设置来配置安全认证服务 (z/SAS) 和公共安全互操作性 V2 (CSIv2) 客户机。

[AIX Solaris HP-UX Linux Windows][z/OS]请在 app_server_root/properties/sas.client.props 文件中使用以下设置来配置 SAS 和 CSIv2 客户机。

[IBM i]请在 sas.client.props 文件中使用以下设置来配置 SAS 和 CSIv2 客户机。缺省情况下,sas.client.props 文件位于 WebSphere Application Server WebSphere Application Server Network Deployment 安装的 profile_root/properties 目录中。

[AIX Solaris HP-UX Linux Windows][IBM i]要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 SAS。
[z/OS]要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。
注: WebSphere Application Server V9.0sas.client.props 文件包含一些支持 BasicAuth 和 Kerberos 的新属性,例如:

com.ibm.IPC.authenticationTarget=BasicAuthcom.ibm.IPC.loginUserid=
com.ibm.IPC.loginPassword=com.ibm.IPC.loginSource=promptcom.ibm.IPC.krb5Service=WAScom.ibm.IPC.krb5CcacheFile=com.ibm.IPC.krb5ConfigFile=

com.ibm.CORBA.securityEnabled

用于确定是否为客户机进程启用安全性。

表 1. com.ibm.CORBA.securityEnabled. 下表描述 com.ibm.CORBA.securityEnabled 的设置。
设置
数据类型 Boolean
缺省值 True
有效值 True 或 false
[AIX Solaris HP-UX Linux Windows][IBM i]

com.ibm.CSI.protocol

用于确定哪些认证协议是活动的。

客户机可以将 ibmcsiv2both 的协议配置为活动。认证协议的仅有可能值是 ibmcsiv2both。不要使用 sas 作为认证协议的值。此限制既适用于客户机配置也适用于服务器配置。下面的列表提供关于使用其中每个协议选项的信息:

ibm
WebSphere Application Server V4.x 或之前版本的服务器进行通信时,请使用此认证协议选项。
csiv2
WebSphere Application Server V5 或更高版本的服务器进行通信时,由于不会针对每个方法请求装入并运行 SAS 拦截器,因此请使用此认证协议选项。
both
使用此认证协议选项可以在 WebSphere Application Server V4.x 或之前版本的服务器与 WebSphere Application Server V5 或更高版本的服务器之间实现互操作。通常,指定 both 可以提供与其他服务器的更高互操作性。
表 2. com.ibm.CSI.protocol. 下表描述 com.ibm.CSI.protocol 的设置。
设置
数据类型 String
缺省值 两者
有效值 ibm、csiv2 和 both

com.ibm.CORBA.authenticationTarget

用于确定将安全信息从客户机发送到服务器的认证机制类型。

如果指定基本认证,那么将用户标识和密码发送到服务器。建议将安全套接字层 (SSL) 传输与此类型的认证配合使用;否则,不会加密密码。目标服务器必须支持指定的认证目标。

表 3. com.ibm.CORBA.authenticationTarget. 下表描述 com.ibm.CORBA.authenticationTarget 的设置。
设置
数据类型 String
缺省值 BasicAuth
有效值 BasicAuth 和 KRB5

com.ibm.CORBA.validateBasicAuth

用于确定当 authenticationTarget 属性设置为 BasicAuth 时,是否在输入登录数据后立即验证用户标识和密码。

在前发行版中,BasicAuth 登录仅对初始方法请求进行验证。在第一次请求期间,用户标识和密码被发送到服务器。因为此请求是第一次请求,所以如果用户标识或密码不正确,那么客户机可以注意到错误。指定 validateBasicAuth 方法而且用户标识和密码的验证会在安全服务器上立即发生。

[z/OS]注: 每当连接到 z/OS® 服务器时,应设置 com.ibm.CORBA.validateBasicAuth=false。因为 SecurityServer 是使用 z/OS 系统上不接受的“UNAUTHENTICATED”主体来查找的,所以此功能当前在从分布式客户机连接到 z/OS 服务器时不起作用。

出于性能原因,如果不想立即验证用户标识和密码,那么您可能要禁用此属性。如果客户机程序可以等待,那么最好使初始方法请求流到用户标识和密码。但是,由于要考虑进行错误处理,程序逻辑可能没有这样简单。

表 4. com.ibm.CORBA.validateBasicAuth. 下表描述 com.ibm.CORBA.validateBasicAuth 的设置。
设置
数据类型 Boolean
缺省值 True
有效值 true 和 false

com.ibm.CORBA.authenticationRetryEnabled

用于指定重试失败的登录尝试。此属性确定重试是否因为其他错误而发生,如未在服务器上找到的有状态会话,或由于到期的凭证而在服务器上发生的验证失败。

返回到客户机的异常中的次代码会确定重试哪些错误。重试尝试次数取决于 com.ibm.CORBA.authenticationRetryCount 属性。

表 5. com.ibm.CORBA.authenticationRetryEnabled. 下表描述 com.ibm.CORBA.authenticationRetryEnabled 的设置。
设置
数据类型 Boolean
缺省值 True
有效值 true 和 false

com.ibm.CORBA.authenticationRetryCount

用于指定直到成功的认证发生或达到最大重试值时才发生的重试次数。

当达到最大重试值时,将认证异常返回到客户机。

表 6. com.ibm.CORBA.authenticationRetryCount. 下表描述 com.ibm.CORBA.authenticationRetryCount 的设置。
设置
数据类型 Integer
缺省值 3
范围 1-10

com.ibm.CORBA.loginSource

用于指定如果请求拦截器找不到已设置的调用凭证,它如何尝试登录。

此属性仅当消息层认证发生时才有效。如果仅发生传输层认证,将忽略此属性。当指定属性时,还必须定义以下两个属性:
  • com.ibm.CORBA.loginUserid
  • com.ibm.CORBA.loginPassword
当执行程序化的登录时,不必将 none 指定为登录源。如果在方法请求期间凭证被设置为调用凭证,那么请求会失败。
[z/OS]要点: 对于 z/OS 平台,您可以编辑属性文件 sas.client.props,并对 loginSource 属性进行如下设置:com.ibm.CORBA.loginSource=none

当您为远程方法调用 (RMI) 连接设置 com.ibm.CORBA.loginSource=none 时,不论是将使用 wsadmin 进行脚本编制还是从其他客户机进行设置,都将继承已登录用户的凭证。无需在命令行或在 sas.client.props 属性文件中指定用户和/或密码。使用 com.ibm.CORBA.loginSource=none 时,此继承的凭证行为仅在 z/OS 平台上可用。

[AIX Solaris HP-UX Linux Windows]要点: 对于分布式平台,您可以选择不编辑属性文件 sas.client.props,而对 loginSource 属性进行如下设置:com.ibm.CORBA.loginSource=none

如果针对远程方法调用 (RMI) 连接设置 com.ibm.CORBA.loginSource=none,那么无论是通过 wsadmin 脚本编制进行此设置还是从其他客户机中进行此设置,由于不会继承登录用户的凭证,因此必须以编程方式执行登录。必须在命令行中指定用户和/或密码。

表 7. com.ibm.CORBA.loginSource. 下表描述 com.ibm.CORBA.loginSource 的设置。
设置
数据类型 String
缺省值 Prompt
有效值 Prompt、key file、stdin、none 和 properties

com.ibm.CORBA.loginUserid

当配置属性登录和消息层认证发生时,用于指定用户标识。

此属性仅当 com.ibm.CORBA.loginSource=properties 时才有效。并请设置 com.ibm.CORBA.loginPassword 属性。

表 8. com.ibm.CORBA.loginUserid. 下表描述 com.ibm.CORBA.loginUserid 的设置。
设置
数据类型 String
范围 在服务器的已配置用户注册表中适合于用作用户标识的任何字符串。

com.ibm.CORBA.loginPassword

当配置属性登录和消息层认证发生时,用于指定密码。

此属性仅当 com.ibm.CORBA.loginSource=properties 时才有效。并请设置 com.ibm.CORBA.loginUserid 属性。

表 9. com.ibm.CORBA.loginPassword. 下表描述 com.ibm.CORBA.loginPassword 的设置。
设置
数据类型 String
范围 在服务器的已配置用户注册表中适合于用作密码的任何字符串。

com.ibm.CORBA.keyFileName

用于指定用于登录的密钥文件。

密钥文件是包含客户机用于登录到多个领域的领域、用户标识和密码组合的列表的文件。使用的领域是在当前方法请求的互操作对象引用 (IOR) 中找到的领域。当使用 com.ibm.CORBA.loginSource=key file 时,将使用此属性的值。

表 10. com.ibm.CORBA.keyFileName. 下表描述 com.ibm.CORBA.keyFileName 的设置。
设置
数据类型 String
缺省值 C;/WebSphere/AppServer/properties/wsserver.key
范围 WebSphere Application Server 密钥文件的任何标准路径和文件名。

com.ibm.CORBA.loginTimeout

用于指定在认为登录失败前登录提示符保持可用的时间长度。

表 11. com.ibm.CORBA.loginTimeout. 下表描述 com.ibm.CORBA.loginTimeout 的设置。
设置
数据类型 Integer
单位
缺省值 300(5 分钟时间间隔)
范围 0 - 600(10 分钟时间间隔)

com.ibm.CORBA.securityEnabled

用于确定是否为客户机进程启用安全性。

表 12. com.ibm.CORBA.securityEnabled. 下表描述 com.ibm.CORBA.securityEnabled 的设置。
设置
数据类型 Boolean
缺省值 True
范围 true 和 false

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_csiv2copo
文件名:rsec_csiv2copo.html