Sicherheit in WebSphere Application Server anpassen

Wenn die WebSphere Application Server-Standardsicherheitskonfiguration für den Report Launcher für ClearQuest nicht Ihren Anforderungen entspricht, können Sie die Einstellungen anpassen, indem Sie die Implementierungsdeskriptordatei des Report Launcher für ClearQuest anpassen. Nachdem Sie die Datei aktualisiert haben, verwenden Sie das WebSphere Application Server-Dienstprogramm wsadmin, um die Implementierungsdeskriptoreinstellungen anzuwenden.

Informationen zu diesem Vorgang

Diese Task ist nur erforderlich, wenn Sie die WebSphere Application Server-Standardsicherheitsrollen und die Konfiguration anpassen möchten, die für den Report Launcher für ClearQuest definiert sind.

Bevor Sie die Sicherheitskonfiguration anpassen, beachten Sie das Sicherheitsverhalten, das Sie erreichen möchten. Sollen sich beispielsweise alle Benutzer authentifizieren, wenn sie den Report Launcher starten? Sollen verschiedene Berichtszugriffsberechtigungen für verschiedene Benutzer oder Gruppen bereitgestellt werden? Verwenden Sie die Informationen in Beispieleinstellungen für die Sicherheitskonfiguration als Ausgangspunkt für die Aktualisierung der Konfiguration.

Aktualisieren Sie den Implementierungsdeskriptor des Report Launcher für ClearQuest, um die Clientauthentifizierung auf dem WebSphere Application Server zu konfigurieren.

Vorgehensweise

  1. Kopieren Sie die Implementierungsdeskriptordatei web.xml des Report Launcher für ClearQuest in ein Arbeitsverzeichnis und benennen Sie die Datei um. Die Datei web.xml befindet sich im folgenden Verzeichnis:
    Windows:
    cd %CLEARQUEST_HOME%\cqweb\cqwebprofile\installedApps\dfltCell\RationalClearQuestReportLauncher.ear\CQReportLauncher.war\WEB-INF\web.xml
    UNIX und Linux:
    cd $CLEARQUEST_HOME/cqweb/cqwebprofile/installedApps/dfltCell/RationalClearQuestReportLauncher.ear/CQReportLauncher.war/WEB-INF/web.xml
    Anmerkung: Das WebSphere Application Server-Standardzellenverzeichnis lautet dfltCell auf Windows-, UNIX- und Linux-Plattformen. Auf der Solaris-Plattform lautet der Standardwert <srv>Node01Cell.
    In den übrigen Schritten in dieser Prozedur wird angenommen, dass Sie die Datei web.xml, die in das Arbeitsverzeichnis kopiert wurde, in launcher_web.xml umbenannt haben.
  2. Aktualisieren Sie die Elemente 'security-constraint' (Integritätsbedingung für die Sicherheit) und 'security-role' (Sicherheitsrolle) in die gewünschten Sicherheitseinstellungen. Die Änderung des Elements login-config ist nicht erforderlich. Anregungen zu möglichen Konfigurationen befinden sich in Beispieleinstellungen für die Sicherheitskonfiguration.
  3. Verwenden Sie das Dienstprogramm wsadmin von WebSphere Application Server, um die Änderungen am Implementierungsdeskriptor anzuwenden:
    1. Wechseln Sie in einer Eingabeaufforderung zu dem Arbeitsverzeichnis, in dem sich die Datei launcher_web.xml befindet.
      Windows:
      %CLEARQUEST_HOME%\cqweb\cqwebprofile\bin\wsadmin
      UNIX und Linux:
      $CLEARQUEST_HOME/cqweb/cqwebprofile/bin/wsadmin.sh
    2. Starten Sie das Dienstprogramm "wsadmin" in dem Fenster mit Eingabeaufforderung.
    3. Stellen Sie bei Aufforderung die Berechtigungsnachweise für den WebSphere-Benutzer mit Verwaltungsaufgaben bereit.
    4. Führen Sie die folgenden Befehle aus, um den Implementierungsdeskriptor in WebSphere Application Server zu aktualisieren:
      wsadmin> $AdminApp update RationalClearQuestReportLauncher file {-operation
      update -contents launcher_web.xml -contenturi CQReportLauncher.war/WEBINF/
      web.xml}
      wsadmin> $AdminConfig save
      wsadmin>exit

Beispieleinstellungen für die Sicherheitskonfiguration

Sie können die folgenden Codebeispiele als Ausgangspunkt für die Konfiguration der Report Launcher-Anwendungssicherheit in Ihrer Umgebung verwenden.

Beispiel 1: Alle Benutzer müssen sich beim Report Launcher anmelden, um auf Berichte zuzugreifen
Dieses Codebeispiel zeigt die Sicherheitskonfigurationseinstellungen, wenn sich alle Benutzer beim Report Launcher für ClearQuest anmelden müssen, um auf die konfigurierten Ordner und Berichte auf dem Berichtsdateiserver zuzugreifen. Dieses Beispiel erstellt die Sicherheitsrolle AuthenticatedUsers, die alle authentifizierten Benutzer einschließt. Anschließend erteilt eine Integritätsbedingung für die Sicherheit allen Benutzern in der Rolle AuthenticatedUsers Zugriff auf den Report Launcher.
<security-constraint>
   <web-resource-collection>
      <web-resource-name>authenticated</web-resource-name>
      <url-pattern>/*</url-pattern>
   </web-resource-collection>
   
   <auth-constraint>
      <role-name>AuthenticatedUsers</role-name>
   </auth-constraint>
   
   <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
</security-constraint>

<login-config>
   <auth-method>FORM</auth-method>
   <realm-name>default</realm-name>
   <form-login-config>
      <form-login-page>/Login.jsp</form-login-page>
      <form-error-page>/Login.jsp?error=true</form-error-page>
   </form-login-config>
</login-config>

<security-role>
   <role-name>AuthenticatedUsers</role-name>
</security-role>
Beispiel 2: Zugriff auf den Ordner ManagementReports auf Abteilungsmanager einschränken
Dieses Codebeispiel basiert auf dem vorherigen Beispiel. Es erstellt eine zusätzliche Rolle Managers als Untergruppe der Rolle AuthenticatedUsers und erstellt eine Integritätsbedingung für die Sicherheit, die es nur Benutzern in der Rolle Managers erlaubt, auf den Ordner /reports/home/ManagementReports zuzugreifen. Wenn ein nicht berechtigter Benutzer auf den Link für den Ordner ManagementReports klickt, inaktiviert der Report Launcher den Link und versieht den Ordnereintrag mit einem Schloss, um anzugeben, dass der Ordnerinhalt geschützt ist und auf den Inhalt nicht zugegriffen werden kann.
<security-constraint>
   <web-resource-collection>
      <web-resource-name>authenticated</web-resource-name>
      <url-pattern>/*</url-pattern>
   </web-resource-collection>
   
   <auth-constraint>
      <role-name>AuthenticatedUsers</role-name>
   </auth-constraint>

   <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
</security-constraint>

<security-constraint>
   <web-resource-collection>
      <web-resource-name>secure</web-resource-name>
      <url-pattern>/reports/home/ManagementReports/*</url-pattern>
   </web-resource-collection>
   
   <auth-constraint>
      <role-name>Managers</role-name>
   </auth-constraint>
   
   <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
</security-constraint>

<login-config>
   <auth-method>FORM</auth-method>
   <realm-name>default</realm-name>
   <form-login-config>
      <form-login-page>/Login.jsp</form-login-page>
      <form-error-page>/Login.jsp?error=true</form-error-page>
   </form-login-config>
</login-config>

<security-role>
   <role-name>AuthenticatedUsers</role-name>
</security-role>

<security-role>
   <role-name>Managers</role-name>
</security-role>

Feedback