Verwenden Sie diese Seite, um die Sicherheitsattribute einer Domäne zu konfigurieren und die Domäne Zellenressourcen zuzuordnen. Für jedes Sicherheitsattribut können Sie die globalen Sicherheitseinstellungen verwenden oder Einstellungen für diese Domäne anpassen.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Sicherheitsdomänen. Auf der Seite "Sicherheitsdomänen" können Sie eine vorhandene Domäne zum Konfigurieren auswählen, eine neue Domäne erstellen oder eine vorhandene Domäne kopieren.
Lesen Sie den Artikel Mehrere Sicherheitsdomänen, um sich mit dem Konzept mehrerer Sicherheitsdomänen vertraut zu machen und sich darüber zu informieren, wie diese Domänen in dieser Version von WebSphere Application Server unterstützt werden.
Gibt einen eindeutigen Namen für die Domäne an. Dieser Name kann nach der Übergabe nicht mehr geändert werden.
Der Domänenname muss innerhalb einer Zelle eindeutig sein und darf keine ungültigen Zeichen enthalten.
Gibt eine Beschreibung für die Domäne an.
Wählen Sie diese Option aus, um die Zellentopologie anzuzeigen. Sie können die Sicherheitsdomäne der gesamten Zelle zuordnen oder bestimmte Cluster, Knoten und SIBs (Service Integration Bus) auswählen, die in die Sicherheitsdomäne aufgenommen werden sollen.
Wenn Sie Alle Ressourcen auswählen, wird die gesamte Zellentopologie angezeigt.
Wenn Sie Alle zugeordneten Ressourcen auswählen, wird die Zellentopologie mit den Servern und Clustern angezeigt, die der aktuellen Domäne zugeordnet sind.
Der Name einer explizit zugeordneten Domäne wird neben jeder Ressource angezeigt. Ausgewählte Felder kennzeichnen Ressourcen, die der Domäne derzeit zugeordnet sind. Sie können auch weitere Ressourcen auswählen und auf Anwenden oder OK klicken, um sie der aktuellen Domäne zuzuordnen.
Eine nicht markierte Ressource (inaktiviert) gibt an, dass sie der aktuellen Domäne nicht zugeordnet ist und aus einer anderen Domäne entfernt werden muss, damit sie für die aktuelle Domäne aktiviert werden kann.
Wenn eine Ressource keine explizit zugeordnete Domäne hat, wird die der Zelle zugeordnete Domäne verwendet. Wenn der Zelle keine Domäne zugeordnet ist, verwendet die Ressource globale Einstellungen.
Es ist nicht möglich, einzelne Cluster-Member Domänen zuzuordnen. Für alle Cluster-Member eines Clusters wird dieselbe Domäne verwendet.
Wählen Sie Anwendungssicherheit aktivieren aus, um die Sicherheit für Benutzeranwendungen zu aktivieren oder zu inaktivieren. Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
Wenn diese Auswahl inaktiviert ist, sind alle EJBs und Webanwendungen in der Sicherheitsdomäne nicht mehr geschützt. Der Zugriff auf diese Ressourcen wird ohne Benutzerauthentifizierung gewährt. Wenn Sie diese Auswahl aktivieren, wird die J2EE-Sicherheit für alle EJBs und Webanwendungen in der Sicherheitsdomäne aktiviert. Die J2EE-Sicherheit wird nur aktiviert, wenn die globale Sicherheit in der globalen Sicherheitskonfiguration aktiviert ist (d. h., Sie können die Anwendungssicherheit nicht aktivieren, ohne zuerst die globale Sicherheit auf globaler Ebene zu aktivieren).
Aktiviert die Sicherheit für die Anwendungen in Ihrer Umgebung. Diese Art der Sicherheit ermöglicht die Isolierung von Anwendungen und Anforderungen für eine Authentifizierung von Anwendungsbenutzern.
Wenn in früheren Releases von WebSphere Application Server die globale Sicherheit aktiviert wurde, war damit sowohl die Verwaltungssicherheit als auch die Anwendungssicherheit aktiviert. In WebSphere Application Server Version 6.1 hat sich das frühere Konzept der globalen Sicherheit geändert. Es gibt jetzt eine Verwaltungssicherheit und eine Anwendungssicherheit, die unabhängig voneinander aktiviert werden können.
Aufgrund dieser Unterteilung müssen WAS-Clients wissen, ob auf dem Zielserver die Anwendungssicherheit inaktiviert ist. Standardmäßig ist die Verwaltungssicherheit aktiviert und die Anwendungssicherheit inaktiviert. Wenn Sie die Anwendungssicherheit aktivieren möchten, müssen Sie zunächst die Verwaltungssicherheit aktivieren. Die Anwendungssicherheit ist nur bei aktivierter Verwaltungssicherheit wirksam.
Wenn diese Auswahl inaktiviert ist, sind alle EJBs und Webanwendungen in der Sicherheitsdomäne nicht mehr geschützt. Der Zugriff auf diese Ressourcen wird ohne Benutzerauthentifizierung gewährt. Wenn Sie diese Auswahl aktivieren, wird die J2EE-Sicherheit für alle EJBs und Webanwendungen in der Sicherheitsdomäne aktiviert. Die J2EE-Sicherheit wird nur aktiviert, wenn die globale Sicherheit in der globalen Sicherheitskonfiguration aktiviert ist (d. h., Sie können die Anwendungssicherheit nicht aktivieren, ohne zuerst die globale Sicherheit auf globaler Ebene zu aktivieren).
Wählen sie Java-2-Sicherheit verwenden aus, um die Java-2-Sicherheit auf Domänenebene zu aktivieren oder zu inaktivieren oder um Eigenschaften zuzuordnen oder hinzuzufügen, die sich auf die Java-2-Sicherheit beziehen. Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
Diese Option aktiviert oder inaktiviert die Java-2-Sicherheit auf Prozessebene (JVM), so dass alle Anwendungen (Verwaltungs- und Benutzeranwendungen) die Java-2-Sicherheit aktivieren oder inaktivieren können.
Wählen Sie diese Option aus, wenn die globalen Sicherheitseinstellungen verwendet werden sollen.
Wählen Sie diese Option aus, um anzugeben, dass die in der Domäne definierten Einstellungen, wie z. B. Optionen zum Aktivieren der Anwendungs- und Java-2-Sicherheit, und Realm-qualifizierte Authentifizierungsdaten verwendet werden sollen.
Legt fest, ob die Überprüfung der Java-2-Sicherheitsberechtigung aktiviert oder inaktiviert wird. Standardmäßig ist der Zugriff auf lokale Ressourcen nicht eingeschränkt. Sie können festlegen, dass die Java-2-Sicherheitseinrichtung auch bei Aktivierung der Anwendungssicherheit inaktiviert werden soll.
Wenn die Option Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken aktiviert ist und eine Anwendung mehr Java-2-Sicherheitsberechtigungen benötigt, als in der Standardrichtlinie angegeben sind, wird die Anwendung möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei app.policy oder was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen Berechtigungen besitzen, generieren AccessControl-Ausnahmen.
Gibt an, dass die Sicherheit bei der Implementierung und beim Start der Anwendung eine Warnung ausgibt, wenn Anwendungen angepasste Berechtigungen erteilt werden. Angepasste Berechtigungen werden von den Benutzeranwendungen, nicht von Java-API-Berechtigungen definiert. Java-API-Berechtigungen sind Berechtigungen in den Paketen package java.* und javax.*.
Der Anwendungsserver bietet Unterstützung für die Verwaltung von Richtliniendateien. Es gibt in diesem Produkt eine Reihe von Richtliniendateien, von denen einige statisch und andere dynamisch sind. Eine dynamische Richtlinie ist eine Schablone mit Berechtigungen für einen bestimmten Ressourcentyp. In der Schablone für dynamische Richtlinien wird keine Codebasis definiert und keine zugehörige Codebasis verwendet. Die eigentliche Codebasis wird aus den Konfigurations- und Laufzeitdaten dynamisch erstellt. Die Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der J2EE-1.4-Spezifikation nicht haben dürfen.
Diese Option ist inaktiviert, wenn die Java-2-Sicherheit nicht aktiviert wurde.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken erweitert die Standard-Principal-Zuordnung der WSPrincipalMappingLoginModule-Implementierung um eine differenzierte Überprüfung der Java-2-Sicherheitsberechtigungen. Sie müssen J2EE-Anwendungen (Java 2 Platform, Enterprise Edition), die die WSPrincipalMappingLoginModule-Implementierung verwenden, die Berechtigung explizit in der JAAS-Anmeldung (Java Authentication and Authorization Service) gewähren, wenn die Optionen Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken und Zugriff auf Ressourcenauthentifizierungsdaten einschränken aktiviert sind.
Standardeinstellung | Inaktiviert |
In diesem Abschnitt können Sie die Benutzer-Registry für die Sicherheitsdomäne konfigurieren. Mit Ausnahme der zusammengefassten Registry können Sie jede Registry, die auf Domänenebene verwendet wird, gesondert konfigurieren. Das zusammengefasste Repository kann nur auf globaler Ebene konfiguriert, aber auf Domänenebene verwendet werden.
Wenn Sie eine Registry auf Domänenebene konfigurieren, können Sie einen eigenen Realm-Namen für die Registry auswählen. Anhand des Realm-Namens können die einzelnen Benutzer-Registrys voneinander unterschieden werden. Der Realm-Name wird an mehreren Stellen verwendet - in der Anzeige "Java-Clientanmeldung", in der der Benutzer den Realm eingeben muss, im Authentifizierungscache und bei der Verwendung der nativen Berechtigung.
Auf globaler Konfigurationsebene erstellt das System den Realm für die Benutzer-Registry. In früheren Releases von WebSphere Application Server wird nur eine Benutzer-Registry im System konfiguriert. Wenn Sie mehrere Sicherheitsdomänen haben, können Sie mehrere Registrys im System konfigurieren. Damit die Realms in diesen Domänen eindeutig sind, konfigurieren Sie einen eigenen Realm-Namen für eine Sicherheitsdomäne. Sie können einen eindeutigen Realm-Namen auch vom System erstellen lassen, damit dieser auch garantiert eindeutig ist. Im letzteren Fall basiert der Realm-Name auf der verwendeten Registry.
Wählen Sie diese Option aus, um die Einstellungen für die Trust-Association anzugeben. Die Trust-Association wird verwendet, um Reverse-Proxy-Server mit den Anwendungsservern zu verbinden.
Die Trust-Association ermöglicht die Integration der Sicherheit von IBM WebSphere Application Server und Sicherheitsservern anderer Anbieter. Insbesondere kann ein Reverse-Proxy-Server als Front-End-Authentifizierungsserver arbeiten, während das Produkt seine eigene Berechtigungsrichtlinie auf die sich ergebenden Berechtigungsnachweise anwendet, die vom Proxy-Server weitergegeben werden.
Die Trust Association Interceptor (TAI) von Tivoli Access Manager können nur auf globaler Ebene konfiguriert werden. Sie können auch in der Domänenkonfiguration verwendet werden, müssen aber immer dieselbe TAI-Version haben. Es kann nur jeweils eine Instanz der TAIs von Tivoli Access Manager im System vorhanden sein.
Wählen Sie diese Option aus, um auf die Trust-Informationen für Reverse-Proxy-Server zuzugreifen und um diese anzugeben.
Wählen Sie diese Option aus, um die Integration der Sicherheit von IBM WebSphere Application Server und Sicherheitsservern anderer Anbieter zu aktivieren. Insbesondere kann ein Reverse-Proxy-Server als Front-End-Authentifizierungsserver arbeiten, während das Produkt seine eigene Berechtigungsrichtlinie auf die sich ergebenden Berechtigungsnachweise anwendet, die vom Proxy-Server weitergegeben werden.
Gibt die Einstellungen für Simple and Protected GSS-API Negotiation (SPNEGO) als Webauthentifizierungsmechanismus an.
Die SPNEGO-Webauthentifizierung, die Ihnen die Konfiguration von SPNEGO für die Authentifizierung von Webressourcen ermöglicht, kann auf Domänenebene konfiguriert werden.
Gibt die Einstellungen für Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) an.
Ein Object Request Broker (ORB) verwaltet die Interaktion zwischen Clients und Servern mit dem Protokoll IIOP (Internet InterORB Protocol). Er ermöglicht Clients, in einer Netzumgebung Anforderungen abzusetzen und Antworten von Servern zu empfangen.
Wenn Sie diese Attribute auf Domänenebene konfigurieren, wird zur Vereinfachung die RMI/IIOP-Sicherheitskonfiguration auf globaler Ebene kopiert. Sie können die Attribute ändern, wenn auf Domänenebene andere Werte verwendet werden sollen. Die Einstellungen der Transportebene für die eingehende CSIv2-Kommunikation müssen auf globaler Ebene und auf Domänenebene identisch sein. Wenn die Einstellungen unterschiedlich sind, werden die Attribute der Domänenebene auf alle Anwendungen im Prozess angewendet.
Wenn ein Prozess mit einem anderen Prozess mit einem anderen Realm kommuniziert, werden die LTPA-Authentifizierung und die Weitergabetoken an den nachgeschalteten (Downstream-)Server weitergegeben, sofern dieser Server nicht in der Liste der abgehenden anerkannten Realms aufgeführt ist. Hierfür können Sie den Link Anerkannte Authentifizierungs-Realms – abgehend auf der Seite Abgehende CSIv2-Kommunikation verwenden.
Wählen Sie diese Option aus, um die Authentifizierungseinstellungen für empfangene Anforderungen und die Transporteinstellungen für Verbindungen anzugeben, die der Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) akzeptiert.
In WebSphere Application Server können Sie die IIOP-Authentifizierung (Internet Inter-ORB Protocol) für eingehende und abgehende Authentifizierungsanforderungen angeben. Für eingehende Anforderungen können Sie den akzeptierten Authentifizierungstyp angeben, z. B. Basisauthentifizierung.
Wählen Sie diese Option aus, um die Authentifizierungseinstellungen für gesendete Anforderungen und die Transporteinstellungen für Verbindungen anzugeben, die der Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) einleitet.
In WebSphere Application Server können Sie die IIOP-Authentifizierung (Internet Inter-ORB Protocol) für eingehende und abgehende Authentifizierungsanforderungen angeben. Für abgehende Anforderungen können Sie Eigenschaften angeben, z. B. Authentifizierungstyp, Zusicherung der Identität oder Anmeldekonfigurationen, die für Anforderungen an nachgeschaltete (Downstream-) Server verwendet werden.
Wählen Sie diese Option aus, um Anmeldekonfigurationen zu definieren, die von JAAS verwendet werden.
Die JAAS-Anwendungsanmeldungen, die JAAS-Systemanmeldungen und die JAAS/J2C-Authentifizierungsdatenalias können auf Domänenebene konfiguriert werden. Standardmäßig haben alle Anwendungen im System Zugriff auf die JAAS-Anmeldungen, die auf der globalen Ebene konfiguriert sind. Die Sicherheitlaufzeitumgebung sucht zuerst nach den JAAS-Anmeldungen auf Domänenebene. Wenn sie keine findet, sucht sie in der globalen Sicherheitskonfiguration nach ihnen. Konfigurieren Sie eine JAAS-Anmeldung nur dann auf Domänenebene, wenn Sie eine Anmeldung benötigen, die exklusiv von den Anwendungen in der Sicherheitsdomäne verwendet wird.
Wenn globale Attribute für eine Domäne angepasst wurden, können sie weiterhin von Benutzeranwendungen verwendet werden. Dies gilt nur für JAAS- und angepasste Eigenschaften.
Entfernen Sie die Anmeldekonfigurationen ClientContainer, DefaultPrincipalMapping und WSLogin nicht, weil diese unter Umständen von anderen Anwendungen verwendet werden. Wenn diese Konfigurationen entfernt werden, können in anderen Anwendungen Fehler auftreten.
Wählen Sie diese Option aus, um anzugeben, dass die in der Domäne definierten Einstellungen, wie z. B. Optionen zum Aktivieren der Anwendungs- und Java-2-Sicherheit, und Realm-qualifizierte Authentifizierungsdaten verwendet werden sollen.
Gibt die Konfigurationseinstellungen für die JAAS-Systemanmeldungen an. Sie können die globalen Sicherheitseinstellungen verwenden oder die Konfigurationseinstellungen für eine Domäne anpassen.
Wählen Sie diese Option aus, um die JAAS-Anmeldekonfigurationen zu definieren, die von Systemressourcen verwendet werden, z. B. Authentifizierungsverfahren, Principal-Zuordnung und Zuordnung von Berechtigungsnachweisen.
Gibt die Einstellungen für die JAAS/J2C-Authentifizierungsdaten an. Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
J2C-Authentifizierungsdateneinträge werden von Ressourcenadaptern und JDBC-Datenquellen verwendet.
Wählen Sie diese Option aus, um anzugeben, dass die in der Domäne definierten Einstellungen, wie z. B. Optionen zum Aktivieren der Anwendungs- und Java-2-Sicherheit, und Realm-qualifizierte Authentifizierungsdaten verwendet werden sollen.
Gibt die verschiedenen Cacheeinstellungen an, die auf Domänenebene angewendet werden müssen.
Gibt die Einstellungen für den Berechtigungsprovider an. Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
Sie können einen externen JACC-Provider (Java Authorization Contract for Containers) eines anderen Anbieters auf Domänenebene konfigurieren. Der JACC-Provider von Tivoli Access Manager kann nur auf globaler Ebene konfiguriert werden. Sicherheitsdomänen können diesen Provider weiterverwenden, wenn sie den Berechtigungsprovider nicht mit einem anderen JACC-Provider oder mit der integrierten nativen Berechtigung überschreiben.
Wählen Sie Standardberechtigung oder Externe Berechtigung mit einem JAAC-Provider aus. Die Schaltfläche Konfigurieren ist nur aktiviert, wenn die Option Externe Berechtigung mit einem JAAC-Provider ausgewählt ist.
Wenn Sie für die SAF-Berechtigung das Präfix für SAF-Profile auf Domänenebene konfigurieren,
wird es auf Serverebene angewendet, so dass es in allen Anwendungen (Verwaltungs- und Benutzeranwendungen)
in diesem Server aktiviert oder inaktiviert wird.
Gibt die Einstellungen für z/OS an. Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
Wählen Sie diese Option aus, um anzugeben, dass eine aktivierte Betriebssystem-Thread-Identität mit der in der Laufzeit des Anwendungsservers verwendeten J2EE-Identität synchronisiert werden soll, falls eine Anwendung diese Funktion anfordert.
Die Synchronisation der Betriebssystem-ID mit der J2EE-ID bewirkt, dass die Betriebssystem-ID mit dem authentifizierten Aufrufer-ID oder delegierten RunAs-ID in einem Servlet oder einer EJB-Datei synchronisiert wird. Diese Synchronisation oder Zuordnung bedeutet, dass für z/OS-Systemserviceanforderungen (z. B. für den Zugriff auf Dateien) die Caller-ID oder ID der Sicherheitsrolle und nicht die Serverbereichs-ID verwendet wird.
Wenn Sie diesen Wert auf Domänenebene konfigurieren, wird er auf Serverebene angewendet, so dass er in allen Anwendungen (Verwaltungs- und Benutzeranwendungen) in diesem Server aktiviert oder inaktiviert wird.
Wählen Sie diese Option aus, um Name/Wert-Datenpaare anzugeben, in denen der Name den Eigenschaftsschlüssel und der Wert eine Zeichenfolge ist.
Definieren Sie angepasste Eigenschaften auf Domänenebene, die neu sind oder sich von den Eigenschaften auf der globalen Ebene unterscheiden. Standardmäßig können alle Anwendungen im System auf alle angepassten Eigenschaften in der globalen Sicherheitskonfiguration zugreifen. Der Sicherheitslaufzeitcode sucht die angepasste Eigenschaft zuerst auf Domänenebene. Wenn er sie nicht findet, sucht er sie in der globalen Sicherheitskonfiguration.
Klicken Sie auf Standardrichtliniensatzbindungen, um den Domänenstandardprovider und die Clientbindungen zu definieren.
Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.