配置Common Secure Interoperability V2和安全性认证服务认证协议

    1. 确定如何配置在基础结构中每点的安全性入站和出站。
    例如，您可能有一个与Enterprise JavaBeans（EJB）应用程序服务器通信的Java客户机，此EJB应用程序服务器又依次与下游EJB应用程序服务器进行通信。
    Java客户机利用sas.client.props文件配置出站安全性。纯客户机仅需要配置出站安全性。
    上游EJB应用程序服务器配置入站安全性，以处理来自Java客户机的正确认证类型。当转至下游EJB应用程序服务器时，上游EJB应用程序服务器利用出站安全性配置。
    此认证类型可能不同于您期待从Java客户机到上游EJB应用程序服务器中的类型。这取决于您的基础结构，安全性可能是纯客户机和第一个EJB服务器之间紧密纽带。下游EJB服务器利用入站安全性配置从上游EJB服务器接受请求。这两个服务器还需要具有相似的配置选项。如果下游EJB应用程序服务器与其他下游服务器进行通信，则出站安全性可能需要特殊配置。

    2. 指定认证的类型。
    缺省情况下，指定用户标识和密码的认证。
    缺省情况下，禁用Java客户机证书认证和身份声明。如果您要在每层上执行此类型的基本认证，则照原样使用CSIv2认证协议配置。然而，如果您具有一些服务器认证不同于其他服务器认证的任何特殊需求，则考虑如何将CSIv2配置为其非常好的优势。

    3. 配置客户机和服务器。
    配置纯Java客户机通过属性被修改的sas.client.props文件完成。
    服务器配置总是从管理控制台完成，从单元级别配置的“安全性”导航或从服务器级别配置的应用程序服务器“服务器安全性”。如果您要一些服务器的认证与其他服务器的认证不同，那么修改一些服务器级别配置。当您修改服务器级别配置时，您会覆盖单元级别配置。

附录：全局安全性配置具体参数含义的说明

    启用全局安全性
    指定是否为此WebSphere Application Server域启用全局安全性。
    此标志在WebSphere Application Server信息中通常称为全局安全性标志。启用安全性时，设置认证机制配置并在所选的用户注册表配置中指定有效用户标识和密码。

    执行Java 2安全性
    指定启用还是禁用Java 2安全许可权检查。缺省情况下，禁用Java 2安全性。然而，启用了全局安全性，将自动启用Java 2安全性。您可以选择禁用Java 2安全性，即使是在启用了全局安全性时。
    当启用了执行Java 2安全性选项，并且如果应用程序需要的Java 2安全许可权超出缺省策略授权的，则只有在应用程序的app.policy文件或was.policy文件中授权了必需的许可权时，应用程序才可能正常运行。确实具有所有必需许可权的应用程序生成AccessControl异常。如果您不熟悉Java 2安全性，则查阅WebSphere Application Server文档并查看Java 2安全性和动态策略部分。

    执行细粒度JCA安全性
    启用此选项以限制应用程序访问敏感的Java连接器体系结构（JCA）映射认证数据。
    当以下两种情况都为true时，考虑启用此选项。

    执行了Java 2安全性。
    在应用程序企业归档（EAR）文件中找到的was.policy文件中对应用程序代码授权了accessRuntimeClasses WebSphereRuntimePermission。例如，在was.policy文件中找到以下游时，将授予该应用程序代码许可权：
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

    执行细粒度JCA安全性选项将细粒度Java 2安全许可权检查添加到WSPrincipalMappingLoginModule实现的缺省主体映射。启用了Java 2安全性和执行细粒度JCA安全性选项时，必须直接在Java认证和授权服务（JAAS）登录中授权显式的许可权给使用WSPrincipalMappingLoginModule实现的Java 2 Platform, Enterprise Edition（J2EE）应用程序。

    使用域限定的用户标识
    指定方法返回的用户名由这些用户名驻留的安全域限定。对于z/OS，此字段启用或禁用由安全域标识限定用户名。

    高速缓存超时
    为安全高速缓存指定超时值（以秒为单位）。此值是相对超时。

    发出许可权警告
    指定在应用程序部署和应用程序启动时，如果对应用程序授权了任何定制许可权，则安全运行时发出警告。定制许可权是用户应用程序定义的许可权，而不是Java API许可权。Java API许可权是package java.*和javax.*中的许可权。
    WebSphere Application Server提供策略文件管理的支持。此产品中有许多策略文件，其中有些是静态的，有些是动态的。动态策略是某个特殊类型资源的许可权模板。动态策略模板中未定义代码库也不使用相关代码库。实际的代码库是从配置和运行时数据动态创建的。filter.policy文件包含根据J2EE 1.3规范应用程序不应该具有的许可权的列表。要获取有关许可权的更多信息，请参阅Java 2安全性策略文件。

    活动协议
    当启用安全性时，为通过因特网ORB间协议（RMI IIOP）请求的远程方法调用指定活动的认证协议。在前发行版中仅提供安全认证服务（SAS）协议或z/OS上的z/OS安全认证服务（z/SAS）协议。
    称为Common Secure Interoperability V2（CSIv2）的对象管理组（OMG）协议支持增强的供应商互操作性和其它功能。如果安全域中的所有服务器都是V5服务器，则指定CSI为协议。

    活动用户注册表
    启用了安全性时指定活动用户注册表。作为UNIX非root用户运行或在多节点环境中运行时，LDAP或定制用户注册表是必需的。