Prostřednictvím této stránky můžete konfigurovat atributy zabezpečení domény a přiřazovat doménu k prostředkům buňky. Pro každý atribut zabezpečení můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro příslušnou doménu.
Chcete-li zobrazit tuto stránku administrativní konzoly, klepněte na volbu Zabezpečení > Domény zabezpečení. Na stránce kolekcí Domény zabezpečení vyberte nějakou existující doménu, kterou budete konfigurovat, vytvořte novou doménu nebo zkopírujte existující doménu.
V dokumentaci Multiple security domains najdete popis konceptu zabezpečení více domén a podpory tohoto konceptu v této verzi produktu WebSphere Application Server.
Určuje jedinečný název pro doménu. Tento název již nelze po počátečním zadání upravovat.
Název domény musí být jedinečný v rámci buňky a nesmí obsahovat neplatný znak.
Určuje popis pro doménu.
Tuto volbu vyberte, chcete-li zobrazit topologii buňky. Můžete přiřadit doménu zabezpečení k celé buňce nebo vybrat konkrétní klastry, uzly a sběrnice pro integraci služeb, které mají být v této doméně zabezpečení zahrnuty.
Pokud vyberete volbu Všechny prostředky, bude zobrazena kompletní topologie buňky.
Pokud vyberete volbu Všechny přiřazené prostředky, bude zobrazena topologie buňky s těmi servery a klastry, které jsou přiřazeny k aktuální doméně.
Vedle prostředků je zobrazen název explicitně přiřazené domény. Zaškrtávací políčko indikuje prostředky, které jsou aktuálně přiřazeny doméně. Můžete také vybrat jiné prostředky a klepnutím na tlačítko Použít nebo OK je přiřadit aktuální doméně.
Prostředek, který není zaškrtnutý (zakázaný), indikuje, že není přiřazen k aktuální doméně a aby bylo možné jej povolit pro tuto doménu, je nutné jej odebrat z jiné domény.
Pokud nějaký prostředek nemá explicitně přiřazenou doménu, používá doménu přiřazenou buňce. Pokud buňka nemá přiřazenu žádnou doménu, prostředek používá globální nastavení.
Členové klastru nemohou být individuálně přiřazeni doménám; vstupní klastr používá stejnou doménu.
Chcete-li povolit nebo zakázat zabezpečení této uživatelské aplikace, vyberte volbu Povolit zabezpečení aplikací. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Je-li tento výběr zakázán, nejsou žádné objekty EJB a webové aplikace v doméně zabezpečení nadále chráněny. Pro tyto prostředky je přístup udělen bez ověřování uživatelů. Pokud tento výběr povolíte, je pro objekty EJB a webové aplikace v doméně zabezpečení vynuceno zabezpečení J2EE. Zabezpečení J2EE je vynuceno pouze v případě, že je v globální konfiguraci zabezpečení povoleno Globální zabezpečení (není tedy možné povolit zabezpečení aplikací bez předchozího povolení Globálního zabezpečení na globální úrovni).
Vyberte volbu Použít zabezpečení Java 2, a tak povolte nebo zakažte zabezpečení Java 2 na úrovni domén nebo přiřaďte či přidejte vlastnosti související se zabezpečením Java 2. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Tato volba povolí nebo zakáže zabezpečení Java 2 na úrovni procesů (JVM), takže všechny aplikace (administrátorské i uživatelské) mohou povolit nebo zakázat zabezpečení Java 2.
Indikuje, zda je povoleno Zabezpečení aplikace a Java 2. Pokud je povoleno Zabezpečení Java 2, je uveden také stav podřízených nastavení.
Tuto volbu vyberte, chcete-li určit použití nastavení globálního zabezpečení.
Tuto volbu vyberte, chcete-li určit nastavení, která jsou definována v rámci domény, například volby pro povolení zabezpečení aplikace a Java 2, a použít údaje o ověřování kvalifikovaná pro sféru.
Určuje, zda jména uživatelů vracená různými metodami, například metodou getUserPrincipal(), mají být kvalifikována s použitím sféry zabezpečení, v níž jsou umístěna.
Tato volba je aktivní pouze v případě, že je vybrána volba Přizpůsobit pro tuto doménu.
Povolí zabezpečení pro aplikace v příslušném prostředí. Tento typ zabezpečení poskytuje oddělení aplikací a požadavky pro ověřování uživatelů aplikací.
V předchozích verzích produktu WebSphereApplication Server bylo při povolení globálního zabezpečení uživatelem povoleno zabezpečení správy i aplikací. V produktu WebSphere Application Server verze 6.1 byla dřívější koncepce globálního zabezpečení rozdělena na zabezpečení správy a zabezpečení aplikací, přičemž každé lze povolit samostatně.
V důsledku tohoto rozdělení musí klienti produktu WebSphere Application Server vědět, zda je na cílovém serveru zakázáno zabezpečení aplikací. Zabezpečení správy je při výchozím nastavení povoleno. Zabezpečení aplikací je při výchozím nastavení zakázáno. Chcete-li povolit zabezpečení aplikací, je třeba povolit zabezpečení správy. Zabezpečení aplikací je využíváno pouze v případě, že je povoleno zabezpečení správy.
Je-li tento výběr zakázán, nejsou žádné objekty EJB a webové aplikace v doméně zabezpečení nadále chráněny. Pro tyto prostředky je přístup udělen bez ověřování uživatelů. Pokud tento výběr povolíte, je pro objekty EJB a webové aplikace v doméně zabezpečení vynuceno zabezpečení J2EE. Zabezpečení J2EE je vynuceno pouze v případě, že je v globální konfiguraci zabezpečení povoleno Globální zabezpečení (není tedy možné povolit zabezpečení aplikací bez předchozího povolení Globálního zabezpečení na globální úrovni).
Tuto volbu vyberte, chcete-li určit, zda má být aktivována či deaktivována kontrola oprávnění pro zabezpečení prostředí Java 2. Ve výchozím nastavení není přístup k lokálním prostředkům omezen. Zabezpečení prostředí Java 2 můžete deaktivovat i v případě, že je zabezpečení aplikace aktivováno.
Pokud je aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a pokud aplikace vyžaduje více oprávnění zabezpečení prostředí Java 2, než je jí uděleno ve výchozí zásadě, nemusí tato aplikace pracovat správně, dokud jí nebudou udělena potřebná oprávnění v souboru app.policy nebo v souboru was.policy aplikace. Aplikace, kterým nejsou udělena všechna potřebná oprávnění, generují výjimky AccessControl.
Určuje, že pokud je během zavádění a spouštění aplikací těmto aplikacím udělena vlastní oprávnění, běhový modul zabezpečení zobrazí varovnou zprávu. Vlastními oprávněními se rozumí oprávnění definovaná uživatelskými aplikacemi, nikoli oprávnění rozhraní API Java. Oprávnění rozhraní API Java jsou oprávnění v balících java.* a javax.*.
Aplikační server poskytuje podporu pro správu souborů zásad. V tomto produktu je k dispozici celá řada souborů zásad. Některé z nich jsou statické, jiné dynamické. Dynamická zásada je šablona oprávnění pro konkrétní typ prostředku. V šabloně dynamické zásady není definován žádný základ kódu ani žádný relativní základ kódu. Skutečný základ kódu je dynamicky vytvářen z konfiguračních dat a dat vytvářených během zpracování. Soubor filter.policy obsahuje seznam oprávnění, která aplikace nemá mít, podle specifikace J2EE 1.4.
Tato volba je zakázána, není-li povoleno zabezpečení Java 2.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Volba Omezit přístup k datům ověřování prostředků umožňuje přidat detailní kontrolu oprávnění zabezpečení Java 2 do výchozího hlavního mapování implementace WSPrincipalMappingLoginModule. Je třeba udělit explicitní oprávnění aplikacím v rámci platformy J2EE (Java 2 Enterprise Edition), které používají implementaci WSPrincipalMappingLoginModule přímo pro přihlášení služby JAAS (Java Authentication and Authorization Service), pokud jsou aktivovány volby Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a Omezit přístup k datům ověřování prostředků.
Výchozí hodnota: | Zakázáno |
Tato sekce vám umožní konfigurovat registr uživatelů pro doménu zabezpečení. Můžete samostatně konfigurovat libovolný registr kromě sdruženého registru, který je používán na úrovni domény. Sdružená úložiště lze konfigurovat pouze na globální úrovni, avšak je možné jej použít na úrovni domény.
Při konfiguraci registru na úrovni domény můžete pro registr definovat svůj vlastní název sféry. Název sféry odlišuje jeden registr uživatelů od druhého. Název sféry je používán na několika místech - na panelu přihlášení klienta Java pro dotaz na uživatele, v mezipaměti ověření a při použití nativní autorizace.
Na úrovni globální konfigurace systém vytvoří sféru pro registr uživatelů. V předchozích vydáních produktu WebSphere Application Server byl v systému konfigurován pouze jeden registr uživatelů. Pokud máte více domén zabezpečení, můžete v systému konfigurovat více registrů. Aby byly sféry v rámci těchto domén jedinečné, konfigurujte svůj vlastní název pro doménu zabezpečení. Můžete také určit, že má systém vytvořit jedinečný název sféry, pokud má být zaručeně jedinečný. V takovém případě bude název sféry založen na používaném registru.
Tuto volbu vyberte, chcete-li určit nastavení pro přiřazení důvěry. Pomocí přiřazení důvěry se k aplikačním serverům připojují reverzní servery proxy.
Přiřazení důvěry povolí integraci zabezpečení produktu IBM WebSphere Application Server a zabezpečovacích serverů jiných výrobců. Přesněji řečeno, reverzní server proxy může fungovat jako ověřovací server ve vyšší vrstvě, zatímco produkt použije u výsledného pověření předaného serverem proxy svou vlastní zásadu autorizace.
Přiřazení důvěry produktu Tivoli Access Manager lze konfigurovat pouze na globální úrovni. Konfigurace domény je také může používat, avšak nemůže mít jinou verzi zachytávače přiřazení důvěry. V systému může existovat pouze jedna instance zachytávačů přiřazení důvěry produktu Tivoli Access Manager.
Toto volbu vyberte, pokud chcete určit informace o důvěryhodnosti pro reverzní servery proxy.
Toto volbu vyberte, pokud chcete povolit integraci zabezpečení produktu IBM WebSphere Application Server a zabezpečovacích serverů jiných výrobců. Přesněji řečeno, reverzní server proxy může fungovat jako ověřovací server ve vyšší vrstvě, zatímco produkt použije u výsledného pověření předaného serverem proxy svou vlastní zásadu autorizace.
Určuje nastavení pro mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) jako prostředek webového ověřování.
Webové ověřování SPNEGO, které vám umožní konfigurovat mechanismus SPNEGO pro ověření webových prostředků, lze konfigurovat na úrovni domén.
Určuje nastavení pro protokol RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).
Zprostředkovatel žádostí o objekty (ORB) spravuje komunikaci mezi klienty a servery pomocí protokolu IIOP (Internet InterORB Protocol). Umožňuje klientům zadávat požadavky a přijímat odezvy ze serverů v distribuovaném síťovém prostředí.
Pokud konfigurujete tyto atributy na úrovni domény, bude pro jednodušší zpracování zkopírována konfigurace zabezpečení RMI/IIOP na globální úrovni. Můžete změnit atributy, které mají být na úrovni domény odlišné. Nastavení transportní vrstvy pro příchozí komunikace CSIv2 by mělo být shodné pro globální úroveň i úroveň domény. Pokud jsou tato nastavení různá, budou pro všechny aplikace ve zpracování uplatněna nastavení pro úroveň domény.
Pokud nějaký proces komunikuje s jiným procesem s jinou sférou, ověření LTPA a tokeny šíření jsou předány na další server v posloupnosti zpracování, pokud je tento server uvedený v seznamu odchozích důvěryhodných serverů. Toto nastavení lze provést pomocí odkazu Důvěryhodné sféry ověření - odchozí na panelu Odchozí komunikace CSIv2.
Tuto volbu vyberte, chcete-li určit nastavení ověřování pro obdržené požadavky a nastavení přenosu pro připojení přijatá tímto serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).
Produkt WebSphere Application Server umožňuje určit ověření IIOP (Internet Inter-ORB Protocol) pro příchozí a odchozí požadavky na ověření. Pro příchozí požadavky můžete určit typ přijímaných ověření, například základní ověřování.
Tuto volbu vyberte, chcete-li určit nastavení ověřování pro odeslané požadavky a nastavení přenosu pro připojení zahájená serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).
Produkt WebSphere Application Server umožňuje určit ověření IIOP (Internet Inter-ORB Protocol) pro příchozí a odchozí požadavky na ověření. Pro odchozí požadavky můžete určit vlastnosti, například, typ ověřování, deklarace identity nebo konfigurace přihlašování, které jsou používány pro požadavky na další servery v toku zpracování.
Určuje nastavení konfigurace pro přihlášení aplikací pro službu JAAS (Java Authentication and Authorization Service). Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Aliasy pro přihlášení aplikací JAAS, přihlášení systému JAAS a autentizační údaje JAAS J2C mohou být konfigurovány na úrovni domény. Při výchozím nastavení mají všechny aplikace v systému přístup k přihlášením JAAS konfigurovaným na globální úrovni. Procesy zabezpečení za běhu nejprve zkontrolují přihlášení JAAS na úrovni domény. Pokud je nenajdou, zkusí je vyhledat v konfiguraci globálního zabezpečení. Tato přihlášení JAAS konfigurujte na úrovni domény pouze v případě, že potřebujete určit přihlášení, které má být používáno výhradně nějakou aplikací v doméně zabezpečení.
Pokud jsou pro doménu upraveny globální atributy, pro přihlášení JAAS a přizpůsobené vlastnosti mohou být tyto vlastnosti i nadále používány uživatelskými aplikacemi.
Tuto volbu vyberte, chcete-li definovat konfigurace přihlašování používané službou JAAS.
Neodebírejte přihlašovací konfigurace ClientContainer, DefaultPrincipalMapping a WSLogin, protože je mohou používat jiné aplikace. Pokud tyto konfigurace odeberete, může v jiných aplikacích dojít k selhání.
Tuto volbu vyberte, chcete-li určit nastavení, která jsou definována v rámci domény, například volby pro povolení zabezpečení aplikace a Java 2, a použít údaje o ověřování kvalifikovaná pro sféru.
Určuje nastavení konfigurace pro přihlášení systému služby JAAS. Můžete použít globální nastavení konfigurace zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Tuto volbu vyberte, chcete-li definovat konfigurace přihlášení JAAS používané systémovými prostředky včetně mechanismu ověřování, mapování činitelů a mapování pověření.
Určuje nastavení pro autentizační údaje J2C služby JAAS. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Položky ověřovacích dat konektoru J2EE (Java 2 Platform, Enterprise Edition) jsou používány adaptéry prostředků a zdroji dat JDBC (Java DataBase Connectivity).
Tuto volbu vyberte, chcete-li určit nastavení, která jsou definována v rámci domény, například volby pro povolení zabezpečení aplikace a Java 2, a použít údaje o ověřování kvalifikovaná pro sféru.
Určuje různá nastavení mezipaměti, která musí být použita na úrovni domény.
Určuje nastavení pro poskytovatele autorizace. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Na úrovni domény můžete konfigurovat externího poskytovatele JACC (Java Authorization Contract for Containers). Poskytovatele JAAC produktu Tivoli Access Manager lze konfigurovat pouze na globální úrovni. Domény zabezpečení je i nadále mohou používat, pokud nepřepíšou poskytovatele autorizace jiným poskytovatelem JACC nebo integrovanou nativní autorizací.
Navíc můžete na úrovni domény povolit nebo zakázat autorizaci založenou na funkci SAF (System Authorization Facility).
Určuje autorizaci použitou ke konfiguraci domény.
Vyberte volbu Výchozí autorizace nebo Externí autorizace pomocí poskytovatele JAAC. Tlačítko Konfigurovat je k dispozici pouze v případě výběru volby Externí autorizace pomocí poskytovatele JAAC.
Tato hodnota odpovídá době, po jejímž uplynutí vyprší platnost pověřovacích údajů jiného serveru. Tato hodnota by měla být větší než časový limit mezipaměti ověřování.
Hodnota časového limitu pro předaná pověření mezi servery musí být celé číslo v rozsahu 5 až 35971. Výchozí hodnota je 120 minut.
Určuje nastavení pro systém z/OS. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Určete, pokud by identita podprocesu operačního systému měla být povolena k synchronizaci s identitou J2EE (Java 2 Platform, Enterprise Edition), která je používána v běhové komponentě aplikačního serveru v případě, že je aplikace nastavena na vyžadování této funkce.
Synchronizace identity operačního systému s identitou J2EE způsobí, že je identita operačního systému synchronizována s ověřeným volajícím, delegovanou identitou RunAs v servletu nebo souboru EJB (Enterprise JavaBeans). Tato synchronizace nebo přiřazení způsobí, že je místo identity regionu serveru použita pro požadavky služeb operačního systému z/OS, jako je například přístup k souborům, identita volajícího nebo identita role zabezpečení.
Tato možnost určuje, že metoda SyncToOSThread správce připojení je podporována pro aplikace, které mají tuto volbu zadánu.
Pokud povolíte toto nastavení, metoda může zpracovat požadavek, který upravuje identitu operačního systému, aby odpovídala identitě J2EE (Java 2 Platform, Enterprise Edition). Tato funkce je nezbytná pro využívání podpory identity podprocesu. Konektory J2CA (J2EE Connector Architecture), které přistupují k lokálním prostředkům operačního systému z/OS, mohou využívat podporu identity podprocesu.
Tuto volbu vyberte, chcete-li určit dvojice dat obsahující název a hodnotu, kde název odpovídá klíči vlastnosti a hodnota je řetězcová hodnota.
Na úrovni domény nastavte přizpůsobené vlastnosti, které jsou odlišné nebo nejsou zahrnuty mezi vlastnostmi na globální úrovni. Při výchozím nastavení mohou být všechny přizpůsobené vlastnosti v globální konfiguraci zabezpečení přistupovány všemi aplikacemi v systému. Procesy zabezpečení za běhu nejprve zkontrolují přizpůsobené vlastnosti na úrovni domény. Pokud je nenajdou, zkusí je vyhledat v konfiguraci globálního zabezpečení.
Odkazy s označením (online) vyžadují přístup k Internetu.