Configura domini di sicurezza

Questa pagina consente di configurare gli attributi di sicurezza di un dominio e di assegnare il dominio alle risorse della cella. Per ogni attributo di sicurezza, è possibile utilizzare le impostazioni di sicurezza globali o personalizzare le impostazioni per il dominio.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Domini di sicurezza. Nella pagina Raccolta dei domini di sicurezza, selezionare un dominio esistente da configurare, crearne uno nuovo o copiare un dominio esistente.

Consultare le informazioni su Domini di sicurezza multipli per una maggiore comprensione del domini di sicurezza multipli e della modalità con cui vengono supportati in questa versione di WebSphere Application Server.

Nome servlet

Specifica un nome univoco per il dominio. In seguito all'invio iniziale, non è possibile modificare questo nome.

Il nome di dominio deve essere univoco nella cella e non può contenere caratteri errati.

Descrizione

Specifica una descrizione per il dominio.

Ambiti assegnati

Selezionare per visualizzare la topologia di cella. È possibile assegnare il dominio di sicurezza all'intera cella o selezionare determinati cluster, nodi e SIB (service integration bus) da includere nel dominio di sicurezza.

Se si seleziona Tutte le risorse, l'intera topologia di cella viene visualizzata.

Se si seleziona Tutte le risorse assegnate, la topologia di cella viene visualizzata con i server e i cluster assegnati al dominio corrente.

Il nome di un dominio esplicitamente assegnato viene visualizzato accanto alle risorse. Le caselle selezionate indicano le risorse attualmente assegnate al dominio. È anche possibile selezionare altre risorse e fare clic su Applica o OK per assegnarle al dominio corrente.

Una risorsa che non è selezionata (disabilitata) indica che non è assegnata al dominio corrente e occorre rimuoverla da un altro dominio prima che venga abilitata per il dominio corrente.

Se una risorsa non presenta un dominio esplicitamente assegnato, viene utilizzato il dominio assegnato alla cella. Se non viene assegnato alcun dominio alla cella, la risorsa utilizza le impostazioni globali.

I membri del cluster non possono essere assegnati singolarmente a domini; il cluster inserito utilizza lo stesso dominio.

Protezione applicazioni:

Selezionare Abilita protezione applicazioni per abilitare o disabilitare la protezione per le applicazioni dell'utente. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

Quando questa selezione è disabilitata, tutti i moduli EJB e le applicazioni Web nel dominio di sicurezza non sono più progetti. È consentito l'accesso a queste risorse senza l'autenticazione da parte dell'utente. Quando si abilita questa selezione, la sicurezza J2EE viene applicata a tutti i moduli EJB e applicazioni Web del dominio di sicurezza. La protezione J2EE viene applicata soltanto quando è abilitata la Sicurezza globale nella relativa configurazione, (ovvero, non è possibile abilitare la protezione delle applicazioni senza prima abilitare la Sicurezza globale al livello globale).

Abilitazione della sicurezza dell'applicazione

Abilita la sicurezza per le applicazioni nell'ambiente. Questo tipo di sicurezza fornisce l'isolamento e i requisiti per l'autenticazione degli utenti dell'applicazione

Nei precedenti release di WebSphere Application Server, quando un utente abilitava la sicurezza globale, venivano abilitare sia la sicurezza amministrativa che dell'applicazione. In WebSphere Application Server Versione 6.1, il concetto di sicurezza globale veniva diviso in sicurezza amministrativa e sicurezza dell'applicazione, ciascuna dei quali può essere abilitata separatamente.

Come risultato di questa scissione, i client di WebSphere Application Server devono sapere se la sicurezza dell'applicazione è disabilitata sul server di destinazione. La sicurezza amministrativa viene attivata per impostazione predefinita. La sicurezza dell'applicazione viene disabilitata per impostazione predefinita. Per abilitare la sicurezza dell'applicazione, è necessario abilitare la sicurezza amministrativa. La sicurezza dell'applicazione diventa operativa solo quando è abilitata la sicurezza amministrativa.

Quando questa selezione è disabilitata, tutti i moduli EJB e le applicazioni Web nel dominio di sicurezza non sono più progetti. È consentito l'accesso a queste risorse senza l'autenticazione da parte dell'utente. Quando si abilita questa selezione, la sicurezza J2EE viene applicata a tutti i moduli EJB e applicazioni Web del dominio di sicurezza. La protezione J2EE viene applicata soltanto quando è abilitata la Sicurezza globale nella relativa configurazione, (ovvero, non è possibile abilitare la protezione delle applicazioni senza prima abilitare la Sicurezza globale al livello globale).

Sicurezza Java 2:

Selezionare Utilizza sicurezza Java 2 per abilitare o disabilitare la sicurezza Java 2 al livello del dominio o per assegnare o aggiungere le proprietà relative alla sicurezza Java 2. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

Questa opzione abilita o disabilita la sicurezza Java 2 al livello del processo (JVM) in modo tale che tutte le applicazioni (sia di gestione che dell'utente) possono abilitare o disabilitare la sicurezza Java 2.

Utilizza impostazioni di sicurezza globale

Selezionare per specificare le impostazioni di sicurezza globale utilizzate.

Personalizza per questo dominio

Selezionare per specificare le impostazioni definite nel dominio, come ad esempio le opzioni per abilitare l'applicazione e la sicurezza Java 2 e per utilizzare i dati di autenticazione qualificati dal realm.

Utilizzo della sicurezza Java 2 per limitare l'accesso delle applicazioni alle risorse locali

Selezionare per specificare se abilitare o disabilitare il controllo delle autorizzazioni di sicurezza Java 2. Per impostazione predefinita, l'accesso alle risorse locali non è limitato. Si può scegliere di disattivare la sicurezza Java 2 anche quando è attivata la sicurezza delle applicazioni.

Quando l'opzione Utilizza sicurezza Java 2 per limitare l'accesso alle risorse locali è abilitata e se un'applicazione richiede più autorizzazioni di sicurezza Java 2 di quelle concesse nella politica predefinita, l'applicazione potrebbe non funzionare correttamente fino a quando non vengono concesse tali autorizzazioni nel file app.policy o was.policy dell'applicazione. Le eccezioni AccessControl non sono concesse dalle applicazioni che non dispongono di tutte le autorizzazioni necessarie.

Emetti avvertenza se sono concesse autorizzazioni personalizzate alle applicazioni

Specifica che durante la distribuzione e l'avvio di un'applicazione, il runtime di sicurezza emette un'avvertenza nel caso in cui vengano concesse delle autorizzazioni personalizzate alle applicazioni. Le autorizzazioni personalizzate sono autorizzazioni definite dalle applicazioni utente e non dalle autorizzazioni API Java. Le autorizzazioni API Java sono autorizzazioni nei package java.* e javax.*.

Il server delle applicazioni fornisce supporto per la gestione dei file delle politiche. In questo prodotto è disponibile un numero di file contenenti le politiche, alcune di queste sono statiche, altre dinamiche. Le politiche dinamiche rappresentano un modello di autorizzazioni per un tipo particolare di risorsa. Nessun code base è definito e nessun codice relativo viene utilizzato nel modello delle politiche dinamiche. Il code base reale viene creato in modo dinamico dai dati di configurazione e di runtime. Il file filter.policy contiene un elenco di autorizzazioni che le applicazioni non dovrebbero avere in base alla specifica J2EE 1.4.

Importante: Non è possibile abilitare questa opzione senza abilitare l'opzione Utilizza sicurezza Java 2 per limitare l'accesso delle applicazioni alle risorse locali.
Limita accesso ai dati di autenticazione delle risorse

Questa opzione è disabilitata se la sicurezza Java 2 non è stata abilitata.

Considerare l'abilitazione di questa opzione nel caso in cui si verifichino entrambe le seguenti condizioni:
  • Viene applicata la sicurezza Java 2.
  • Al codice applicazione viene concessa l'autorizzazione WebSphereRuntimePermission accessRuntimeClasses nel file was.policy che si trova nel file EAR (Enterprise ARchive) dell'applicazione. Ad esempio, al codice applicazione viene concessa l'autorizzazione se la seguente riga si trova nel file was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

L'opzione Limita accesso ai dati di autenticazione delle risorse aggiunge una verifica dell'autorizzazione di sicurezza Java 2 approfondita all'associazione principale predefinita dell'implementazione WSPrincipalMappingLoginModule. È necessario concedere un'autorizzazione esplicita alle applicazioni J2EE J2EE (Java 2 Platform, Enterprise Edition) che utilizzano l'implementazione WSPrincipalMappingLoginModule direttamente nel login JAAS (Java Authentication and Authorization Service) quando sono abilitate le opzioni Utilizza la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali e Limita accesso ai dati di autenticazione delle risorse.

Valore predefinito: Disabilitato
Realm utente:

Questa sezione consente di configurare il registro utente per il dominio di sicurezza. È possibile configurare separatamente qualsiasi registro ad eccezione del registro federato utilizzato al livello del dominio. Il repository federato può essere configurato soltanto al livello globale ma può essere utilizzato al livello del dominio.

Durante la configurazione di un registro al livello di dominio è possibile scegliere di definire il nome del proprio realm per il registro. Il nome del realm distingue un registro utente dall'altro. Il nome del realm viene utilizzato in più posizioni – nel pannello di login del client Java sulla richiesta dell'utente, nella cache di autenticazione e quando utilizzare l'autorizzazione nativa.

Al livello di configurazione globale, il sistema crea il realm per il registro utente. Nei precedenti release di WebSphere Application Server, soltanto un registro utente viene configurato nel sistema. Quando sono disponibili più domini di sicurezza, è possibile configurare più registri nel sistema. Affinché le aree di autenticazione siano univoche in questi domini, configurare il nome del proprio realm per un dominio di sicurezza. È anche possibile scegliere il sistema per creare un nome univoco del realm se si è certi che sia univoco. Nell'ultimo caso, il nome dell'area di autenticazione è basato sul registro utilizzato.

Associazione trust:

Selezionare per specificare le impostazioni per l'associazione trust. L'associazione trust consente di collegare i server proxy inversi ai server delle applicazioni.

L'associazione trust consente l'integrazione della sicurezza di IBM WebSphere Application Server e dei server di terze parti. In particolare, consente a un server proxy inverso di agire come server di autenticazione front-end mentre il prodotto applica le politiche di autorizzazione sulle credenziali risultanti inviate dal server proxy.

Gli intercettori dell'associazione trust di Tivoli Access Manager possono essere configurati soltanto al livello globale. La configurazione di dominio può utilizzarli, ma non può presentare una versione diversa dell'intercettore dell'associazione trust. Soltanto un'istanza degli intercettori dell'associazione trust di Tivoli Access Manager può esistere nel sistema.

Nota: L'utilizzo di TAI (trust association interceptor) per l'autenticazione SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) è obsoleto. I pannelli di autenticazione Web SPNEGO forniscono un metodo più semplice per configurare SPNEGO.
Intercettatori

Selezionare per accedere o specificare le informazioni sul trust per i server proxy inversi.

Abilita associazione trust

Selezionare per abilitare l'integrazione della sicurezza di IBM WebSphere Application Server e dei server di terze parti. In particolare, consente a un server proxy inverso di agire come server di autenticazione front-end mentre il prodotto applica le politiche di autorizzazione sulle credenziali risultanti inviate dal server proxy.

Autenticazione Web SPNEGO:

Specifica le impostazioni per SPNEGO (Simple and Protected GSS-API Negotiation) come meccanismo di autenticazione Web.

L'autenticazione Web SPNEGO, che consente di configurare SPNEGO per l'autenticazione delle risorse Web, può essere configurata al livello di dominio.

Nota: In WebSphere Application Server Versione 6.1, viene fornito TAI che utilizza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) per negoziare e autenticare in modo sicuro le richieste HTTP per risorse protette. In WebSphere Application Server 7.0, questa funzione risulta obsoleta. L'autenticazione Web SPNEGO consente di fornire il ricaricamento dinamico dei filtri SPNEGO e il fallback del metodo di accesso all'applicazione.
Sicurezza RMI/IIOP:

Specifica le impostazioni per RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Un ORB (Object Request Broker) gestisce l'interazione tra client e server usando il protocollo IIOP (Internet InterORB Protocol). Consente ai client di inviare richieste e di ricevere risposte dai server in un ambiente distribuito in rete.

Durante la configurazione di questi attributi al livello di dominio, viene copiata la configurazione della sicurezza RMI/IIOP al livello globale. È possibile modificare gli attributi che devono essere diversi sul livello di dominio. Le impostazioni del livello di trasporto per le comunicazioni in entrata CSIv2 devono coincidere sia per il livello di dominio che per il livello globale. Se differiscono, gli attributi del livello di dominio sono applicati a tutte le applicazioni nel processo.

Quando un processo comunica con un altro processo dotato di un diverso realm, l'autenticazione LTPA e i token di propagazione vengono distribuiti sul server downstream a meno che il server non sia elencato nell'elenco delle aree di autenticazione trusted in uscita. Tale azione può essere eseguita utilizzando il collegamento Realm di autenticazione trusted – in uscita sul pannello Comunicazione in uscita CSIv2.

Comunicazioni in entrata CSIv2

Selezionare per specificare le impostazioni di autenticazione per le richieste ricevute e le impostazioni di trasporto per le connessioni accettate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).

WebSphere Application Server consente di specificare l'autenticazione IIOP (Internet Inter-ORB Protocol) sia per le richieste in entrata che in uscita. Per le richieste in entrata, è possibile specificare il tipo di autenticazione accettata, ad esempio l'autenticazione di base.

Comunicazioni in uscita CSIv2

Selezionare per specificare le impostazioni di autenticazione per le richieste inviate e le impostazioni di trasporto per le connessioni avviate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).

WebSphere Application Server consente di specificare l'autenticazione IIOP (Internet Inter-ORB Protocol) sia per le richieste in entrata che in uscita. Per le richieste in uscita, è possibile specificare le proprietà come il tipo di autenticazione, l'asserzione di identità o le configurazioni di login utilizzate per richieste ai server downstream.

Login applicazioni JAAS

Selezionare per definire le configurazioni di login utilizzate da JAAS.

Gli alias dei login di applicazione JAAS, dei login di sistema JAAS e dei dati di autenticazione JAAS J2C possono essere configurati al livello di dominio. Per impostazione predefinita, tutte le applicazioni nel sistema hanno accesso ai login JAAS configurati al livello globale. Il runtime di sicurezza verifica prima i login JAAS al livello di dominio. Se non vengono rilevati, li verifica nella configurazione di sicurezza globale. Configurare uno di questi login JAAS in un dominio soltanto quando occorre specificare un login che viene utilizzato esclusivamente dalle applicazioni nel dominio di sicurezza.

Solo per le JAAS e le proprietà personalizzate, una volta personalizzati gli attributi globali per un dominio, essi possono essere ancora utilizzati dalle applicazioni utente.

Non rimuovere le configurazioni di login ClientContainer, DefaultPrincipalMapping e WSLogin in quanto potrebbero essere utilizzate da altre applicazioni. Se queste configurazioni vengono rimosse, altre applicazioni potrebbero non funzionare correttamente.

Utilizza login specifici al livello globale e di dominio

Selezionare per specificare le impostazioni definite nel dominio, come ad esempio le opzioni per abilitare l'applicazione e la sicurezza Java 2 e per utilizzare i dati di autenticazione qualificati dal realm.

Login di sistema JAAS:

Specifica le impostazioni di configurazione per i login di sistema JAAS. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di configurazione per un dominio.

Login di sistema

Selezionare per definire le configurazioni di login JAAS utilizzate dalle risorse di sistema, incluso il meccanismo di autenticazione, l'associazione principale e l'associazione di credenziali

Dati di autenticazione JAAS J2C:

Specifica le impostazioni per i dati di autenticazione JAAS J2C. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

Le voci dei dati di autenticazione del connettore J2EE (Java 2 Platform Enterprise Edition) vengono utilizzate dagli adattatori risorse e dalle origini dati JDBC (Java DataBase Connectivity).

Utilizza voci specifiche al livello globale e di dominio

Selezionare per specificare le impostazioni definite nel dominio, come ad esempio le opzioni per abilitare l'applicazione e la sicurezza Java 2 e per utilizzare i dati di autenticazione qualificati dal realm.

Attributi del meccanismo di autenticazione:

Specifica le varie impostazioni di cache che occorre applicare al livello di dominio.

  • Impostazioni della cache di autenticazione - utilizzare per specificare le impostazioni della cache di autenticazione. La configurazione specificata in questo pannello viene applicata solo a questo dominio.
  • Timeout LTPA - È possibile configurare un diverso valore di timeout LTPA al livello di dominio. Il valore di timeout predefinito è 120 minuti, impostato al livello globale. Se il timeout LTPA è impostato al livello di dominio, qualsiasi token creato nel dominio di sicurezza durante l'accesso delle applicazioni utente viene creato con questa data di scadenza.
  • Utilizza nomi utente realm - Quando questa selezione è abilitata, i nomi utente restituiti dai metodi come getUserPrincipal( ) sono qualificati con il realm di sicurezza (registro utente) utilizzato da applicazioni nel dominio di sicurezza.
Provider di autorizzazione:

Specifica le impostazioni per il provider di autorizzazione. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

È possibile configurare un provider JACC (Java Authorization Contract for Containers) di terze parti esterno al livello di dominio. Il provider JACC di Tivoli Access Manager può essere configurato soltanto al livello globale. È possibile ancora utilizzare i domini di sicurezza se non sovrascrivono il provider di autorizzazione con un altro provider JACC o con l'autorizzazione nativa integrata.

Selezionare Autorizzazione predefinita o Autorizzazione esterna utilizzando un provider JAAC. Il pulsante Configura è abilitato soltanto quando è selezionata Autorizzazione esterna utilizzando un provider JAAC.

[z/OS] Per l'autorizzazione SAF (System Authorization Facility), se si imposta il prefisso del profilo SAF a livello del dominio, viene applicato al livello del server in modo che tutte le applicazioni (amministratore e utente) vengano abilitate o disabilitate in quel server

Opzioni di sicurezza z/OS:

Specifica le impostazioni per z/OS. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

Abilitare server delle applicazioni e sincronizzazione di identità del thread z/OS [z/OS]

Selezionare per indicare se occorre abilitare un thread del sistema operativo per la sincronizzazione con l'identità J2EE (Java 2 Platform, Enterprise Edition), utilizzata in fase di runtime del server delle applicazioni se un'applicazione viene codificata per richiedere questa funzione.

La sincronizzazione dell'identità del sistema operativo con l'identità J2EE determina la sincronizzazione dell'identità del sistema operativo con il chiamante autenticato o con l'identità RunAs delegata in un servlet o file EJB (Enterprise JavaBeans). Tale sincronizzazione o associazione indica che il chiamante o l'identità del ruolo di sicurezza, anziché l'identità dell'area server, vengono utilizzati per le richieste di servizio del sistema z/OS, come l'accesso ai file.

Se questo valore viene impostato a livello del dominio, viene applicato a livello del server in modo che tutte le applicazioni (amministratore e utente) vengano abilitate o disabilitate in quel server.

Proprietà personalizzate

Selezionare per specificare le coppie nome-valore dei dati, dove il nome è una chiave proprietà e il valore è una stringa.

Impostare nuove o diverse proprietà personalizzate al livello del dominio da quelle presenti al livello globale. Per impostazione predefinita, è possibile accedere a tutte le proprietà personalizzate sulla configurazione di sicurezza globale da tutte le applicazioni del sistema. Il runtime di sicurezza verifica prima la proprietà personalizzata al livello di dominio. Se non viene rilevata, tenta di ottenere la proprietà personalizzata dalla configurazione di sicurezza globale.

Binding di servizi Web

Fare clic su Binding impostati della politica predefinita per impostare i binding del client e del provider predefiniti del dominio.




I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Concetti correlati
Riferimenti correlati
Informazioni correlate


Nome file: usec_sec_domains_edit.html