Verwenden Sie diese Anzeige, um die Richtlinie für die Verwaltungssicherheit und die Standardanwendungssicherheit zu konfigurieren. Diese Sicherheitskonfiguration gilt für die Sicherheitsrichtlinie für alle Verwaltungsfunktionen und wird als Standardsicherheitsrichtlinie für Benutzeranwendungen verwendet. Es können Sicherheitsdomänen definiert werden, um die Sicherheitsrichtlinien für Benutzeranwendungen zu überschreiben und anzupassen.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit.
Die Sicherheit hat Auswirkungen auf die Leistung Ihrer Anwendungen.
Die Leistungsauswirkungen können je nach Auslastungsmerkmalen der Anwendung variieren.
Sie müssen zuerst feststelle, ob die erforderliche Sicherheitsstufe für Ihre Anwendungen aktiviert ist, und anschließend die
Auswirkungen auf die Leistung Ihrer Anwendungen messen.
Wenn die Sicherheit konfiguriert ist, empfiehlt es sich, alle Änderungen in den Anzeigen der Registry bzw. des Authentifizierungsverfahrens zu überprüfen. Klicken Sie auf Anwenden, um die Einstellungen für die Benutzer-Registry zu ändern. Es wird versucht, die Server-ID für die konfigurierte Benutzer-Registry zu authentifizieren bzw. (falls internalServerID verwendet) wird die Administrator-ID zu validieren. Wenn Sie die Einstellungen der Benutzer-Registry nach der Aktivierung der Verwaltungssicherheit überprüfen, können Sie Fehler vermeiden, wenn Sie den Server zum ersten Mal erneut starten.
Startet einen Assistenten, mit dem Sie die Basiseinstellungen für Verwaltungs- und Anwendungsschutz konfigurieren können. Dieser Prozess beschränkt die Verwaltungs-Tasks und -anwendungen auf berechtigte Benutzer.
Mit diesem Assistenten können Sie die Anwendungssicherheit, die Ressourcen- oder J2C-Sicherheit (Java 2 Connector) sowie eine Benutzer-Registry konfigurieren. Sie können eine vorhandene Registry konfigurieren und Verwaltungs-, Anwendungs- und Ressourcensicherheit aktivieren.
Wenn Sie Änderungen, die Sie mit dem Konfigurationsassistenten für Sicherheit durchgeführt haben, anwenden möchten, ist die Verwaltungssicherheit standardmäßig aktiviert.
Generiert einen Bericht zur Sicherheitskonfiguration, der die Basissicherheitseinstellungen des Anwendungsservers anzeigt. Der Bericht enthält auch die Benutzer und Gruppen mit Verwaltungsaufgaben sowie die CORBA-Naming-Rollen.
Es gibt derzeit eine Einschränkung für den Bericht. Er zeigt keine Sicherheitsinformationen auf Anwendungsebene an. Außerdem enthält der Bericht keine Informationen zur JMS-Sicherheit (Java Message Service), Bussicherheit und Web-Service-Sicherheit.
Wenn mehrere Sicherheitsdomänen konfiguriert sind, wird in dem Bericht die Sicherheitskonfiguration jeder Domäne angezeigt.
Gibt an, ob die Sicherheit für diese Anwendungsserverdomäne aktiviert werden soll. Die Verwaltungssicherheit setzt voraus, dass Benutzer sich authentifizieren, bevor Sie die administrative Steuerung des Anwendungsservers übernehmen können.
Weitere Informationen finden Sie unter den den zugehörigen Links zu Verwaltungsrollen und Verwaltungsberechtigung.
Bei der Aktivierung der Sicherheit müssen Sie auch die Konfiguration eines Authentifizierungsverfahrens festlegen und eine gültige Kombination aus Benutzer-ID und Kennwort in der ausgewählten Benutzer-Konfiguration angeben (oder eine gültige Administrator-ID, wenn internalServerID verwendet wird).
Sie können die Option Gestartete z/OS-Task nur angeben, wenn die Benutzer-Registry des lokalen Betriebssystems
(LocalOS) verwendet wird.
Wenn Probleme auftreten, wenn z. B. der Server nach dem Aktivieren der Sicherheitseinrichtung innerhalb der Sicherheitsdomäne nicht gestartet wird, müssen Sie alle Dateien der Zelle auf diesem Knoten erneut synchronisieren. Zum erneuten Synchronisieren der Dateien führen Sie auf dem Knoten den folgenden Befehl aus: syncNode -username Ihre_Benutzer-ID -password Ihr_Kennwort. Dieser Befehl stellt eine Verbindung zum Deployment Manager her und führt eine erneute Synchronisation aller Dateien durch.
Sollte der Server nach dem Aktivieren der Verwaltungssicherheit nicht
gestartet werden, können Sie die Sicherheit inaktivieren. Wechseln Sie in das Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, und führen
Sie den Befehl wsadmin -conntype NONE aus. Geben Sie an der wsadmin>-Eingabeaufforderung
securityoff und anschließend exit ein, um zu einer Eingabeaufforderung zurückzukehren. Starten
Sie den Server mit inaktivierter Sicherheit erneut, um mit der Administrationskonsole festzustellen,
ob Einstellungen ungültig sind.
Benutzer einer Registry vom Typ LocalOS: Wenn Sie
LocalOS als aktive Benutzer-Registry auswählen, müssen Sie in der Konfiguration
der Benutzer-Registry kein Kennwort angeben.
Standardeinstellung | Aktiviert |
Aktiviert die Sicherheit für die Anwendungen in Ihrer Umgebung. Diese Art der Sicherheit ermöglicht die Isolierung von Anwendungen und Anforderungen für eine Authentifizierung von Anwendungsbenutzern.
Wenn in früheren Releases von WebSphere Application Server die globale Sicherheit aktiviert wurde, war damit sowohl die Verwaltungssicherheit als auch die Anwendungssicherheit aktiviert. In WebSphere Application Server Version 6.1 hat sich das frühere Konzept der globalen Sicherheit geändert. Es gibt jetzt eine Verwaltungssicherheit und eine Anwendungssicherheit, die unabhängig voneinander aktiviert werden können.
Aufgrund dieser Unterteilung müssen WAS-Clients wissen, ob auf dem Zielserver die Anwendungssicherheit inaktiviert ist. Standardmäßig ist die Verwaltungssicherheit aktiviert und die Anwendungssicherheit inaktiviert. Wenn Sie die Anwendungssicherheit aktivieren möchten, müssen Sie zunächst die Verwaltungssicherheit aktivieren. Die Anwendungssicherheit ist nur bei aktivierter Verwaltungssicherheit wirksam.
Standardeinstellung | Inaktiviert |
Legt fest, ob die Überprüfung der Java-2-Sicherheitsberechtigung aktiviert oder inaktiviert wird. Standardmäßig ist der Zugriff auf lokale Ressourcen nicht eingeschränkt. Sie können festlegen, dass die Java-2-Sicherheitseinrichtung auch bei Aktivierung der Anwendungssicherheit inaktiviert werden soll.
Wenn die Option Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken aktiviert ist und eine Anwendung mehr Java-2-Sicherheitsberechtigungen benötigt, als in der Standardrichtlinie angegeben sind, wird die Anwendung möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei app.policy oder was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen Berechtigungen besitzen, generieren AccessControl-Ausnahmen. Weitere Informationen zur Java-2-Sicherheit finden Sie unter den zugehörigen Links.
Standardeinstellung | Inaktiviert |
Gibt an, dass die Sicherheit bei der Implementierung und beim Start der Anwendung eine Warnung ausgibt, wenn Anwendungen angepasste Berechtigungen erteilt werden. Angepasste Berechtigungen werden von den Benutzeranwendungen, nicht von Java-API-Berechtigungen definiert. Java-API-Berechtigungen sind Berechtigungen in den Paketen package java.* und javax.*.
Der Anwendungsserver bietet Unterstützung für die Verwaltung von Richtliniendateien. Es gibt in diesem Produkt eine Reihe von Richtliniendateien, von denen einige statisch und andere dynamisch sind. Eine dynamische Richtlinie ist eine Schablone mit Berechtigungen für einen bestimmten Ressourcentyp. In der Schablone für dynamische Richtlinien wird keine Codebasis definiert und keine zugehörige Codebasis verwendet. Die eigentliche Codebasis wird aus den Konfigurations- und Laufzeitdaten dynamisch erstellt. Die Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der J2EE-1.4-Spezifikation nicht haben dürfen. Weitere Informationen zu Berechtigungen finden Sie unter dem zugehörigen Link zu den Richtliniendateien für die Java-2-Sicherheit.
Standardeinstellung | Inaktiviert |
Aktivieren Sie diese Option, um den Anwendungszugriff auf sensible Authentifizierungsdaten für die JCA-Zuordnung (Java Connector Architecture) zu beschränken.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken erweitert die Standard-Principal-Zuordnung der WSPrincipalMappingLoginModule-Implementierung um eine differenzierte Überprüfung der Java-2-Sicherheitsberechtigungen. Sie müssen J2EE-Anwendungen (Java 2 Platform, Enterprise Edition), die die WSPrincipalMappingLoginModule-Implementierung verwenden, die Berechtigung explizit in der JAAS-Anmeldung (Java Authentication and Authorization Service) gewähren, wenn die Optionen Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken und Zugriff auf Ressourcenauthentifizierungsdaten einschränken aktiviert sind.
Standardeinstellung | Inaktiviert |
Gibt die aktuelle Einstellung für das aktive Benutzer-Repository an.
Dieses Feld ist schreibgeschützt.
Gibt die verfügbaren Repositorys für Benutzer-Accounts an.
Aktiviert das Benutzer-Repository, nachdem es konfiguriert ist.
Wenn Sie unter UNIX
unter einer anderen Benutzer-ID als root angemeldet sind oder in einer Umgebung mit mehreren Knoten arbeiten, muss eine Registry vom Typ "LDAP" oder "Angepasst" angegeben werden.
Verwenden Sie diese Option, wenn der konfigurierte
RACF-Sicherheitsserver (Resource Access Control Facility) oder ein SAF-kompatibler
(Security Authorization Facility) Sicherheitsserver als Benutzer-Registry des
Anwendungsservers verwendet werden soll.
Wenn Sie unter UNIX unter einer anderen Benutzer-ID als root angemeldet sind
oder in einer Umgebung mit mehreren Knoten arbeiten, können Sie LocalOS nicht
verwenden.
Die LocalOS-Registry ist nur gültig, wenn Sie
einen Domänencontroller verwenden oder wenn sich die Network-Deployment-Zelle auf einer
einzelnen Maschine befindet. Im letzteren Fall können Sie die Knoten in einer Zelle nicht auf mehrere Maschinen verteilen, da diese Konfiguration mit der
LocalOS-Benutzer-Registry nicht gültig ist.
Wenn Sie diese Option auswählen, können Sie Einstellungen für die eigenständige LDAP-Registry verwenden, wenn sich Benutzer und Gruppen in einem externen LDAP-Verzeichnis befinden. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaften geändert wird, müssen Sie in die Anzeige Sicherheit > Globale Sicherheit wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.
Standardeinstellung | Inaktiviert |
Wählen Sie diese Option aus, um die globalen Sicherheitseinstellungen zu konfigurieren.
Klicken Sie unter "Authentifizierung" auf "Web- und SIP-Sicherheit", um Links zu den folgenden Anzeigen anzuzeigen:
Wählen Sie diese Option aus, um die Einstellungen für die Webauthentifizierung anzugeben.
Wählen Sie diese Option aus, um die Konfigurationswerte für SSO (Single Sign-On) festzulegen.
Mit der SSO-Unterstützung müssen Webbenutzer beim Zugriff auf WAS-Ressourcen (wie HTML, JSP-Dateien, Servlets, Enterprise-Beans und Lotus-Domino-Ressourcen) nur noch einmal authentifiziert werden.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) bietet Webclients und dem Server die Möglichkeit, das Webauthentifizierungsprotokoll, das für die Kommunikation verwendet wird, zu vereinbaren.
Wählen Sie diese Option aus, um die Einstellungen für die Trust-Association anzugeben. Die Trust-Association wird verwendet, um Reverse-Proxy-Server mit den Anwendungsservern zu verbinden.
Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
Klicken Sie unter "Authentifizierung" auf "RMI/IIOP-Sicherheit", um Links zu den folgenden Anzeigen anzuzeigen:
Wählen Sie diese Option aus, um die Authentifizierungseinstellungen für empfangene Anforderungen und die Transporteinstellungen für Verbindungen anzugeben, die der Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) akzeptiert.
Wählen Sie diese Option aus, um die Authentifizierungseinstellungen für gesendete Anforderungen und die Transporteinstellungen für Verbindungen anzugeben, die der Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) einleitet.
Klicken Sie unter "Authentifizierung" auf "Java Authentication and Authorization Service", um Links zu den folgenden Anzeigen anzuzeigen:
Wählen Sie diese Option aus, um Anmeldekonfigurationen zu definieren, die von JAAS verwendet werden.
Entfernen Sie die Anmeldekonfigurationen ClientContainer, DefaultPrincipalMapping und WSLogin nicht, weil diese unter Umständen von anderen Anwendungen verwendet werden. Wenn diese Konfigurationen entfernt werden, können in anderen Anwendungen Fehler auftreten.
Wählen Sie diese Option aus, um die JAAS-Anmeldekonfigurationen zu definieren, die von Systemressourcen verwendet werden, z. B. Authentifizierungsverfahren, Principal-Zuordnung und Zuordnung von Berechtigungsnachweisen.
Wählen Sie diese Option aus, um die Einstellungen für die JAAS/J2C-Authentifizierungsdaten anzugeben.
Sie können die globalen Sicherheitseinstellungen verwenden oder die Einstellungen für eine Domäne anpassen.
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Für die Verschlüsselung der Authentifizierungsinformationen, die zwischen Servern ausgetauscht werden, wird unter anderem das Verfahren Lightweight Third Party Authentication (LTPA) verwendet.
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Für die Verschlüsselung der Authentifizierungsinformationen, die zwischen Servern ausgetauscht werden, wird das KRB5- oder LTPA-Verfahren verwendet.
Wählen Sie diese Option aus, um die Einstellungen für den Authentifizierungscache festzulegen.
Gibt an, dass die Benutzernamen, die von Methoden, wie z. B. der Methode "getUserPrincipal()" zurückgegeben werden, mit dem Sicherheits-Realm, in dem sie sich befinden, qualifiziert wird.
Verwenden Sie den Link "Sicherheitsdomäne", um weitere Sicherheitskonfigurationen für Benutzeranwendungen zu konfigurieren.
Wenn Sie beispielsweise für einen Teil der Benutzeranwendungen eine andere Benutzer-Registry als die auf der globalen Ebene definierten verwenden möchten, können Sie eine Sicherheitskonfiguration mit dieser Benutzer-Registry erstellen und diese dann der gewünschten Gruppe von Anwendungen zuordnen. Diese zusätzlichen Sicherheitskonfigurationen können verschiedenen Geltungsbereichen (Zelle, Cluster/Server, SIBs) zugeordnet werden. Nachdem die Sicherheitskonfigurationen einem Geltungsbereich zugeordnet wurden, verwenden alle Benutzeranwendungen in diesem Geltungsbereich diese Sicherheitskonfigurationen. Ausführlichere Informationen finden Sie im Artikel Mehrere Sicherheitsdomänen.
Für jedes Sicherheitsattribut können Sie die globalen Sicherheitseinstellungen verwenden oder Einstellungen für diese Domäne anpassen.
Wählen Sie diese Option aus, um anzugeben, ob die Standardberechtigungskonfiguration oder ein externer Berechtigungsprovider verwendet werden soll.
Die externen Provider müssen auf der JACC-Spezifikation (Java Authorization Contract for Containers) basieren, damit die J2EE-Berechtigung bearbeitet werden kann. Ändern Sie in den Anzeigen für den Berechtigungsprovider keine Einstellungen, sofern Sie keinen externen Sicherheitsprovider als JACC-Berechtigungsprovider konfiguriert haben.
Wählen Sie diese Option aus, um Name/Wert-Datenpaare anzugeben, in denen der Name den Eigenschaftsschlüssel und der Wert eine Zeichenfolge ist.
Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.