Common Secure Interoperability 入埠鑑別設定

請利用這個頁面來指定伺服器支援用戶端存取其資源的特性。

如果要檢視這個管理主控台頁面,請按一下安全 > 鑑別通訊協定 > CSI 離埠鑑別

CSI 入埠鑑別設定用來配置送入要求或傳輸所含的鑑別資訊類型。

鑑別特性包括三個鑑別層次,它們可以同時使用:

「配置」標籤

基本鑑別
指定在訊息層進行基本鑑別。

基本鑑別(使用者 ID 和密碼)在訊息層進行。 這類型的鑑別通常包括將用戶端的使用者 ID 和密碼,傳送給伺服器來進行鑑別。 如果憑證類型是可轉遞的(如小型認證機構 (LTPA)),這也包括委派已通過鑑別的認證所提供的認證記號。 如果選了伺服器的基本鑑別,請同時指定使用者 ID 和密碼鑑別以及記號型鑑別。

當您選取基本鑑別,您需要決定它是必要支援。 選取必要表示只有配置成透過訊息層來接受這個伺服器鑑別的用戶端能夠在伺服器呼叫要求。 如果選取「支援」,表示這個伺服器接受基本鑑別。 不過,也有可能進行其他鑑別方法(如果已經配置的話),而且接受匿名要求。 如果選取絕不,表示伺服器不會配置成接受任何用戶端的訊息層鑑別。

資料類型: 字串
用戶端憑證鑑別
指定在方法要求期間,當建立用戶端和伺服器之間的起始連線時進行鑑別。

在傳輸層中,會進行 Secure Socket Layer (SSL) 用戶端憑證鑑別。 在訊息層中,會執行基本鑑別(使用者 ID 和密碼)。 用戶端憑證鑑別的執行效果一般比訊息層鑑別還要好,但需要某些其他設定步驟。 這些額外的步驟還包括確定伺服器有它所連接的每個用戶端的簽章者憑證。 如果用戶端使用「憑證管理中心」(CA) 來建立它的個人憑證,則在 SSL 信任檔的伺服器簽章者區段中,您只需要 CA 的主要憑證。 當憑證接受輕裝備目錄存取通訊協定 (LDAP) 使用者登錄的鑑別時,會根據配置 LDAP 時所指定的過濾器來對映識別名稱 (DN)。 當憑證接受本端 OS 使用者登錄的鑑別時,憑證中的 DN 的第一個屬性(通常是共用名稱),會對映至登錄中的使用者 ID。 只有在沒有提供其他鑑別層次給伺服器時,才會使用用戶端憑證所提供的身分。

如果您選取用戶端憑證鑑別,您需要決定它是必要支援。 當選取必要時,只有配置成透過 SSL 用戶端憑證來接受這個伺服器鑑別的用戶端能夠在伺服器呼叫要求。 如果您選取支援,那麼這個伺服器會接受 SSL 用戶端憑證鑑別,不過,也可能會使用其他鑑別的方法(如果已經配置的話),而且接受匿名要求。 如果選取絕不,則表示伺服器不會配置成接受任何用戶端的用戶端憑證鑑別。

資料類型 字串
身分確認
指定身分確認是在下游 EJB 呼叫期間,從一個伺服器至另一個伺服器來確認身分的方法。

身分確認是在屬性層執行的,只在伺服器中才適用。 在伺服器中判定的主體是根據優先順序規則而定。 如果執行身分確認,一律從屬性衍生身分。 如果是執行不含身分確認的基本鑑別,一律從訊息層衍生身分。 最後,如果在沒有基本鑑別或身分確認的情況下執行 SSL 用戶端憑證鑑別,就會從傳輸層衍生身分。

確認的身分就是 Enterprise Bean 的執行模式所決定的呼叫認證。 如果執行模式是用戶端,身分就是用戶端的身分。 如果執行模式是系統,身分就是伺服器的身分。 如果執行模式是指定,則身分就是指定的身分。 接收端伺服器會接收身分識別記號中的身分,也會接收用戶端鑑別記號中的傳送端伺服器身分。 接收端伺服器會利用授信伺服器 ID 輸入框來驗證傳送端伺服器的身分是不是授信身分。 輸入以逗號分隔的主體名稱清單,如 serverid1、serverid2、serverid3

當接受 LocalOS 使用者登錄的鑑別時,所有身分記號類型都會對映至作用中的使用者登錄之使用者 ID 欄位。 如果是 ITTPrincipal 身分識別記號,這會與使用者 ID 欄位進行一對一的對映。 針對 ITTDistinguishedName 身分識別記號,第一個等號 的值會對映至使用者 ID 欄位。 如果是 ITTCertChain 身分識別記號,則識別名稱第一個等號的值,會對映至使用者 ID 欄位。

在接受 LDAP 使用者登錄的鑑別時,LDAP 過濾器會決定 ITTCertChainITTDistinguishedName 類型的身分要如何對映至登錄。 如果記號類型是 ITTPrincipal,主體就會對映至 LDAP 登錄中的 UID 欄位。

資料類型: 字串
具公信力的伺服器使用者 ID
指定一份以逗號分隔的使用者 ID 清單,這些使用者 ID 具有公信力,可以執行這個伺服器的身分確認。

請利用這份清單來快速判斷伺服器可不可信。 即使伺服器在清單中,傳送端伺服器仍必須接受接收端伺服器的鑑別,傳送端伺服器的身分記號才會被接受。

資料類型 字串
Stateful 階段作業
指定 Stateful 階段作業,通常是為了增進效能。

用戶端與伺服器之間的第一次聯絡必須充分地加以鑑別。 不過,含有效階段作業的所有後續聯絡會重複使用安全資訊。 用戶端會傳遞環境定義 ID 給伺服器,來查閱階段作業。 環境定義 ID 將局限為連線,如此將保證唯一性。 每當安全階段作業無效時,如果啟用鑑別重試(這是預設值)的話,用戶端安全攔截程式會使用戶端階段作業失效,且會在使用者不知不覺的情況下重新提出要求。 如果階段作業不在伺服器中(伺服器失敗且回復作業),就可能發生這個情況。 如果停用這個值時,每一個方法呼叫都必須重新鑑別。

資料類型 字串

相關資訊

管理主控台按鈕
管理主控台頁面特性
管理主控台範圍設定
管理主控台過濾器設定
管理主控台喜好設定