Prostřednictvím tohoto panelu lze konfigurovat administraci a výchozí zásadu zabezpečení aplikací. Tato konfigurace zabezpečení se vztahuje na zásadu zabezpečení pro všechny administrativní funkce a používá se jako výchozí zásada zabezpečení pro uživatelské aplikace. Domény zabezpečení lze definovat tak, aby přepisovaly a přizpůsobovaly zásady zabezpečení pro uživatelské aplikace.
Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení.
Zabezpečení má určitý dopad na výkon používaných aplikací.
Tento vliv na výkon aplikací může záviset na charakteristice zatížení aplikací.
Nejprve je nutné zajistit aktivaci potřebné úrovně zabezpečení pro aplikace a poté
lze změřit dopad zabezpečení na výkon aplikací.
Po konfiguraci zabezpečení ověřte všechny změny na panelu registru uživatelů nebo ověřovacího mechanismu. Chcete-li ověřit nastavení registru uživatelů, klepněte na tlačítko Použít. Byl proveden pokus o ověření ID serveru nebo o ověření ID administrátora (je-li použit parametr internalServerID) oproti konfigurovanému registru uživatelů. Pokud po aktivaci zabezpečení správy ověříte nastavení registru uživatelů, vyhnete se případným problémům při prvním restartu serveru.
Tuto volbu vyberte, chcete-li určit nastavení pro webové ověřování.
Tuto volbu vyberte, chcete-li určit konfigurační hodnoty pro jednotné přihlášení (SSO).
Díky podpoře jednotného přihlášení (SSO) lze webové uživatele ověřit jednou při přístupu k prostředkům produktu WebSphere Application Server, jako jsou soubory HTML, soubory JSP (JavaServer Pages), servlety, objekty enterprise bean, i k prostředkům produktu Lotus Domino.
Mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) poskytuje pro webové klienty a server možnost dohadování protokolu webového ověřování používaného k povolení komunikace.
Tuto volbu vyberte, chcete-li určit nastavení pro přiřazení důvěry. Pomocí přiřazení důvěry se k aplikačním serverům připojují reverzní servery proxy.
Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Tuto volbu vyberte, chcete-li určit nastavení ověřování pro obdržené požadavky a nastavení přenosu pro připojení přijatá tímto serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).
Tuto volbu vyberte, chcete-li určit nastavení ověřování pro odeslané požadavky a nastavení přenosu pro připojení zahájená serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).
Tuto volbu vyberte, chcete-li definovat konfigurace přihlašování používané službou JAAS.
Neodebírejte přihlašovací konfigurace ClientContainer, DefaultPrincipalMapping a WSLogin, protože je mohou používat jiné aplikace. Pokud tyto konfigurace odeberete, může v jiných aplikacích dojít k selhání.
Tuto volbu vyberte, chcete-li definovat konfigurace přihlášení JAAS používané systémovými prostředky včetně mechanismu ověřování, mapování činitelů a mapování pověření.
Tuto volbu vyberte, chcete-li určit nastavení pro data ověřování konektoru J2C (Java 2 Connector) služby JAAS (Java Authentication and Authorization Service).
Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.
Šifrování autentizačních informací, které si servery vyměňují, zahrnuje mechanismus LTPA (Lightweight Third-Party Authentication).
Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.
Určuje, zda jména uživatelů vracená různými metodami, například metodou getUserPrincipal(), mají být kvalifikována s použitím sféry zabezpečení, v níž jsou umístěna.
Prostřednictvím odkazu Doména zabezpečení lze nastavovat další konfigurace zabezpečení pro uživatelské aplikace.
Chcete-li například pro sadu uživatelských aplikací použít jiný registr uživatelů než ten, který je používán na globální úrovni, můžete vytvořit konfiguraci zabezpečení s příslušným registrem uživatelů a přidružit ji k této sadě aplikací. Tyto další konfigurace zabezpečení lze přidružit k různým oborům (buňka, klastry/servery, sběrnice SIB). Po přidružení konfigurace zabezpečení k oboru budou tuto konfiguraci zabezpečení používat všechny uživatelské aplikace v daném oboru. Podrobnější informace naleznete v části Multiple security domains.
Pro každý atribut zabezpečení můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro příslušnou doménu.
Tuto volbu vyberte, chcete-li určit, zda má být použito výchozí nastavení autorizace nebo externí poskytovatel autorizace.
Externí poskytovatelé musí být založeni na specifikaci JACC (Java Authorization Contract for Containers), aby mohli zpracovávat autorizaci prostředí J2EE (Java(TM) 2 Platform, Enterprise Edition). Neměňte žádné parametry na panelech poskytovatele autorizace, pokud jste nenakonfigurovali externího poskytovatele zabezpečení jako poskytovatele autorizace JACC.
Tuto volbu vyberte, chcete-li určit dvojice dat obsahující název a hodnotu, kde název odpovídá klíči vlastnosti a hodnota je řetězcová hodnota.
Spustí průvodce, který umožňuje konfigurovat základní nastavení zabezpečení správy a aplikací. Pro tento proces jsou úlohy správy a činnost aplikací omezeny na autorizované uživatele.
Pomocí tohoto průvodce můžete konfigurovat zabezpečení aplikací, prostředků či konektoru J2C (Java 2 Connector) a registr uživatelů. Můžete konfigurovat existující registr a aktivovat zabezpečení správy, aplikací a prostředků.
Pokud použijete změny provedené pomocí průvodce konfigurací zabezpečení, bude ve výchozím nastavení aktivováno zabezpečení správy.
Spustí funkci sestavy konfigurace zabezpečení, která zobrazí základní údaje nastavení zabezpečení aplikačního serveru. V sestavě jsou uvedeny také údaje o administrativních uživatelích a skupinách a také role pojmenování CORBA.
V současné době je zobrazení sestavy omezeno a nejsou v ní uvedeny údaje zabezpečení na úrovni aplikací. V sestavě nejsou zobrazeny ani informace týkající se zabezpečení JMS (Java Message Service), zabezpečení sběrnice ani zabezpečení webových služeb.
Je-li konfigurováno více domén zabezpečení, je v rámci sestavy zobrazena konfigurace zabezpečení přidružená k jednotlivým doménám.
Určuje, zda má být pro tuto doménu aplikačního serveru aktivováno zabezpečení správy. Zabezpečení správy vyžaduje ověření uživatelů předtím, než získají administrativní kontrolu nad aplikačním serverem.
Další informace můžete získat prostřednictvím souvisejících odkazů týkajících se rolí pro správu a administrativního ověření.
Při aktivaci zabezpečení je třeba nastavit konfigurační údaje mechanismu ověřování a zadat platné jméno a heslo uživatele (nebo platné ID administrátora při použití parametru internalServerID) ve zvolené konfiguraci registru.
Můžete zadat buď volbu Automaticky generovaná identita serveru, nebo Identita uživatele pro úlohu spuštěnou v rámci platformy z/OS.
Pokud se vyskytnou problémy (například server
nebude po aktivaci zabezpečení v rámci domény zabezpečení spuštěn), proveďte opětovnou synchronizaci všech souborů z buňky na tento uzel. Chcete-li provést opětovnou synchronizaci souborů, spusťte z daného uzlu následující příkaz: syncNode -username vaše_jméno_uživatele -password vaše_heslo.
Tento příkaz připojí správce zavedení a provede opětnou synchronizaci všech souborů.
Pokud se server po povolení zabezpečení správy nerestartuje, můžete zabezpečení zakázat.
Přejděte do adresáře
kořenový_adresář_aplikačního_serveru/bin a
spusťte příkaz wsadmin -conntype NONE. Po zobrazení výzvy wsadmin> zadejte příkaz securityoff a poté se zadáním příkazu exit vraťte k výzvě pro zadávání příkazů. Restartujte server se zakázaným zabezpečením a prostřednictvím konzoly pro správu ověřte, zda se nevyskytují nesprávná
nastavení.
Registr uživatelů lokálního OS: Pokud jste jako aktivní registr uživatelů vybrali volbu Lokální OS, není nutné v konfiguraci registru uživatelů zadávat heslo.
Výchozí hodnota: | Povoleno |
Povolí zabezpečení pro aplikace v příslušném prostředí. Tento typ zabezpečení poskytuje oddělení aplikací a požadavky pro ověřování uživatelů aplikací.
V předchozích verzích produktu WebSphereApplication Server bylo při povolení globálního zabezpečení uživatelem povoleno zabezpečení správy i aplikací. V produktu WebSphere Application Server verze 6.1 je dřívější koncepce globálního zabezpečení rozdělena na zabezpečení správy a zabezpečení aplikací, přičemž každé lze povolit samostatně.
V důsledku tohoto rozdělení musí klienti produktu WebSphere Application Server vědět, zda je na cílovém serveru zakázáno zabezpečení aplikací. Zabezpečení správy je při výchozím nastavení povoleno. Zabezpečení aplikací je při výchozím nastavení zakázáno. Chcete-li povolit zabezpečení aplikací, je třeba povolit zabezpečení správy. Zabezpečení aplikací je využíváno pouze v případě, že je povoleno zabezpečení správy.
Výchozí hodnota: | Zakázáno |
Určuje, zda má být aktivována či deaktivována kontrola oprávnění pro zabezpečení prostředí Java 2. Ve výchozím nastavení není přístup k lokálním prostředkům omezen. Zabezpečení prostředí Java 2 můžete deaktivovat i v případě, že je zabezpečení aplikace aktivováno.
Pokud je aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a pokud aplikace vyžaduje více oprávnění zabezpečení prostředí Java 2, než je jí uděleno ve výchozí zásadě, nemusí tato aplikace pracovat správně, dokud jí nebudou udělena potřebná oprávnění v souboru app.policy nebo v souboru was.policy aplikace. Aplikace, kterým nejsou udělena všechna potřebná oprávnění, generují výjimky AccessControl. Další informace o zabezpečení Java 2 můžete získat prostřednictvím souvisejících odkazů.
Výchozí hodnota: | Zakázáno |
Určuje, že pokud je během zavádění a spouštění aplikací těmto aplikacím udělena vlastní oprávnění, běhový modul zabezpečení zobrazí varovnou zprávu. Vlastními oprávněními se rozumí oprávnění definovaná uživatelskými aplikacemi, nikoli oprávnění rozhraní API Java. Oprávnění rozhraní API Java jsou oprávnění v balících java.* a javax.*.
Aplikační server poskytuje podporu pro správu souborů zásad. V tomto produktu je k dispozici celá řada souborů zásad. Některé z nich jsou statické, jiné dynamické. Dynamická zásada je šablona oprávnění pro konkrétní typ prostředku. V šabloně dynamické zásady není definován žádný základ kódu ani žádný relativní základ kódu. Skutečný základ kódu je dynamicky vytvářen z konfiguračních dat a dat vytvářených během zpracování. Soubor filter.policy obsahuje seznam oprávnění, která aplikace nemá mít, podle specifikace J2EE 1.4. Další informace týkající se oprávnění můžete získat prostřednictvím souvisejícího odkazu týkajícího se souborů zásad zabezpečení prostředí Java 2.
Výchozí hodnota: | Zakázáno |
Tuto možnost povolte, chcete-li omezit přístup aplikací k citlivým ověřovacím datům mapování JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Volba Omezit přístup k datům ověřování prostředků umožňuje přidat detailní kontrolu oprávnění zabezpečení Java 2 do výchozího hlavního mapování implementace WSPrincipalMappingLoginModule. Je třeba udělit explicitní oprávnění aplikacím v rámci platformy J2EE (Java 2 Enterprise Edition), které používají implementaci WSPrincipalMappingLoginModule přímo pro přihlášení služby JAAS (Java Authentication and Authorization Service), pokud jsou aktivovány volby Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a Omezit přístup k datům ověřování prostředků.
Výchozí hodnota: | Zakázáno |
Určuje aktuální nastavení pro aktivní úložiště uživatelů.
Toto pole je určeno pouze pro čtení.
Určuje dostupná úložiště uživatelských účtů.
Povolí úložiště uživatelů po jeho konfigurování.
Při práci pod jiným než kořenovým uživatelem systému UNIX nebo při práci v prostředí s více uzly je vyžadován registr uživatelů LDAP nebo vlastní registr.
Pokud má být konfigurovaný server zabezpečení, který je kompatibilní s prostředky RACF (Resource Access Control Facility) nebo SAF (Security Authorization Facility), použit jako registr uživatelů aplikačního serveru, použijte tuto volbu.
U platforem UNIX nelze volbu Lokální operační systém použít v konfiguracích s více uzly ani při spuštění pod jiným jménem uživatele než root.
Registr lokálního operačního systému je platný pouze při použití řadiče domény nebo tehdy, pokud je buňka Network Deployment umístěna na samostatném počítači. V tomto druhém případě nelze rozmístit více uzlů v buňce do více počítačů, protože při této konfiguraci by nebylo použití registru lokálního operačního systému platné.
Toto nastavení určete, chcete-li používat nastavení samostatného registru LDAP, pokud jsou uživatelé a skupiny umístěni v externím adresáři LDAP. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, přejděte na panel Zabezpečení > Globální zabezpečení a klepnutím na tlačítko Použít nebo OK změny ověřte.
Výchozí hodnota: | Zakázáno |
Odkazy s označením (online) vyžadují přístup k Internetu.