Utilize esse painel para configurar a administração e a política de segurança do aplicativo padrão. Essa configuração de segurança aplica-se à política de segurança para todas as funções administrativas e é utilizada como uma política de segurança padrão para aplicativos de usuário. Os domínios de segurança podem ser definidos para substituir e customizar as políticas de segurança para aplicativos de usuário.
Para exibir essa página do console administrativo, clique em Segurança > Segurança global.
A segurança tem alguns impactos em seus aplicativos.
Os impactos no desempenho podem variar dependendo das características da carga de trabalho do aplicativo.
Você deve primeiro determinar que o nível necessário de segurança esteja ativado para seus aplicativos e, em seguida, medir o impacto de segurança no desempenho de seus aplicativos.
Ao configurar a segurança, valide as alterações nos painéis de registro do usuário ou de mecanismos de autenticação. Clique em Aplicar para validar as definições do registro do usuário. É feita uma tentativa de autenticar o ID do servidor ou validar o ID admin (se internalServerID for utilizado) para o registro do usuário configurado. A validação das configurações do registro do usuário após a ativação da segurança administrativa pode evitar problemas ao reiniciar o servidor pela primeira vez.
Selecione para especificar as configurações para a autenticação da Web.
Selecione para especificar os valores de configuração para SSO (Conexão Única).
Com o suporte SSO, os usuários da Web podem autenticar-se uma vez ao acessarem recursos do WebSphere Application Server, tais como HTML, arquivos JSP (JavaServer Pages), servlets, enterprise beans, e recursos do Lotus Domino.
O SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fornece uma maneira dos clientes da Web e o servidor negociarem o protocolo de autenticação da Web utilizado para permitir as comunicações.
Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos aos servidores de aplicativos.
Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.
Selecione para especificar configurações de autenticação para pedidos recebidos e configurações de transporte para conexões aceitas por esse servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).
Selecione para especificar configurações de autenticação para pedidos enviados e configurações de transporte para conexões iniciadas pelo servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).
Selecione para definir configurações de login que são utilizadas pelo JAAS.
Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos poderão falhar.
Selecione para definir as configurações de login JAAS que são utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, o mapeamento de proprietários e o mapeamento de credenciais.
Selecione para especificar as configurações para os dados de autenticação JAAS (Java Authentication and Authorization Service) J2C (Java 2 Connector).
Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.
Selecione para criptografar informações sobre autenticação para que o servidor de aplicativos possa enviar os dados de um servidor para outro de maneira segura.
A criptografia de informações sobre autenticação que são trocadas entre os servidores envolve o mecanismo LTPA (Lightweight Third-Party Authentication).
Selecione para criptografar informações sobre autenticação para que o servidor de aplicativos possa enviar os dados de um servidor para outro de maneira segura.
Especifica que os nomes de usuário retornados por métodos, como o método getUserPrincipal(), são qualificados com a região de segurança na qual eles residem.
Utilize o link Domínio de Segurança para definir configurações de segurança adicionais para aplicativos de usuário.
Por exemplo, se desejar utilizar um registro do usuário para um conjunto de aplicativos de usuário que seja diferente daquele utilizado no nível global, você poderá criar uma configuração de segurança com esse registro do usuário e associá-la a esse conjunto de aplicativos. Essas configurações de segurança adicionais podem ser associadas a diversos escopos (célula, clusters/servidores, SIBuses). Depois que as configurações de segurança tiverem sido associadas a um escopo, todos os aplicativos de usuário nesse escopo utilizarão essa configuração de segurança. Leia Múltiplos Domínios de Segurança para obter informações detalhadas.
Para cada atributo de segurança, você pode utilizar as configurações de segurança global ou customizar as configurações para o domínio.
Selecione para especificar se será utilizada a configuração de autorização padrão ou um provedor de autorização externo.
Os provedores externos devem basear-se na especificação JACC (Java uthorization Contract for Containers) para manipular a autorização J2EE (Java(TM) 2 Platform, Enterprise Edition). Não modifique nenhuma configuração nos painéis do provedor de autorização, a não ser que você tenha configurado um provedor de segurança externo como um provedor de autorização JACC.
Selecione para especificar pares nome-valor, em que o nome é uma chave da propriedade e o valor é uma cadeia.
Ativa um assistente que permite configurar as configurações básicas administrativas e de segurança de aplicativos. Esse processo restringe tarefas administrativas e aplicativos a usuários autorizados.
Utilizando esse assistente, você pode configurar a segurança do aplicativo, a segurança do recurso ou J2C (Java 2 Connector) e um registro do usuário. Você pode configurar um registro existente e ativar a segurança administrativa, de aplicativos e de recursos.
Ao aplicar alterações feitas através da utilização do assistente de configuração da segurança, a segurança administrativa é ativada por padrão.
Ativa um relatório de configuração de segurança que exibe as configurações de segurança principais do servidor de aplicativos. O relatório também exibe os usuários e grupos administrativos e as funções de nomenclatura CORBA.
Uma limitação atual do relatório é que não exibe as informações de segurança no nível do aplicativo. O relatório também não existe informações sobre a segurança JMS (Java Message Service), a segurança do barramento ou a segurança de Serviços da Web.
Quando vários domínios de segurança são configurados, o relatório exibe a configuração de segurança associada a cada domínio.
Especifica se a segurança administrativa deve ser ativada para esse domínio do servidor de aplicativos. A segurança administrativa requer que usuários sejam autenticados antes de obter controle administrativo do servidor de aplicativos.
Para obter mais informações, consulte os links relacionados para funções administrativas e autenticação administrativa.
Ao ativar a segurança, defina a configuração do mecanismo de autenticação e especifique um ID de usuário e uma senha válidos (ou um ID admin válido quando o recurso internalServerID for utilizado) na configuração do registro selecionado.
Você pode especificar a opção Identidade do servidor gerada
automaticamente ou Identidade do usuário para a tarefa iniciada do z/OS.
Se você tiver problemas, como a não inicialização do servidor após a ativação da segurança no domínio de segurança, ressincronize todos os arquivos da célula para esse nó. Para ressincronizar arquivos, execute o seguinte comando a
partir do nó: syncNode -username your_userid -password your_password.
Este comando conecta ao gerenciador de implementação e ressincroniza todos
os arquivos.
Se o servidor não reiniciar depois da segurança administrativa ser ativada, você poderá desativar a segurança. Vá para o diretório app_server_root/bin
e execute o comando wsadmin -conntype NONE. No prompt wsadmin>,
digite securityoff e, em seguida, digite exit para retornar a um prompt de
comandos. Inicie novamente o servidor com a segurança desativada para verificar as definições incorretas através do console administrativo.
Usuários do Registro do Usuário do S.O. Local: Ao
selecionar S.O. Local como o registro do usuário ativo, não é necessário
fornecer uma senha na configuração do registro do usuário.
Padrão: | Ativado |
Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo
Em releases anteriores do WebSphere Application Server, quando um usuário ativava a segurança global, a segurança administrativa e a segurança do aplicativo eram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global é dividida em segurança administrativa e segurança do aplicativo, cada uma ativada separadamente.
Como resultado dessa divisão, os clientes do WebSphere Application Server devem saber se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, é necessário ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.
Padrão: | Desativado |
Especifica se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. Você pode optar por desativar a segurança Java 2, mesmo quando a segurança do aplicativo está ativada.
Quando a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais for ativada e um aplicativo necessitar de mais permissões de segurança Java 2 do que concedidas na política padrão, o aplicativo talvez não seja executado corretamente até que as permissões necessárias sejam concedidas no arquivo app.policy ou no arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas. Consulte os links relacionados para obter mais informações sobre a segurança Java 2.
Padrão: | Desativado |
Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões definidas pelos aplicativos de usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.
O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um modelo de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação J2EE 1.4. Para obter mais informações sobre permissões, consulte o link relacionado sobre arquivos de política de segurança Java 2.
Padrão: | Desativado |
Ative esta opção para restringir o acesso do aplicativo a dados sigilosos de autenticação de mapeamento JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
A opção Restringir o acesso a dados de autenticação de recursos inclui a verificação de permissão de segurança Java 2 de baixa granularidade para o mapeamento de proprietários padrão da implementação WSPrincipalMappingLoginModule. Você deve conceder permissão explícita para aplicativos J2EE (Java 2 Platform, Enterprise Edition) que utilizam a implementação WSPrincipalMappingLoginModule diretamente no login JAAS (Java Authentication and Authorization Service) quando as opções Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais e Restringir o acesso a dados de autenticação de recursos estiverem ativadas.
Padrão: | Desativado |
Especifica a configuração atual para o repositório de usuários ativos.
Este campo é de leitura.
Especifica os repositórios de contas de usuários disponíveis.
Ativa o repositório do usuário após sua configuração.
Um registro LDAP ou do usuário customizado
é necessário ao executar como um usuário não-root UNIX ou ao executar em um ambiente de
vários nós.
Especifique essa configuração se você
desejar que o servidor de segurança compatível com RACF (Resource Access Control Facility) ou SAF (Security
Authorization Facility) seja utilizado como o registro do usuário do servidor de aplicativos.
Você
não pode utilizar localOS em vários nós ou ao executar como não-root em uma plataforma UNIX.
O registro do sistema operacional local é válido somente quando você utiliza um controlador de domínio ou a célula do Network Deployment reside em uma única máquina. No último caso, não é possível
espalhar vários nós em uma célula por várias máquinas, pois esta configuração,
utilizando o registro do usuário do S.O. local, não é válida.
Especifique essa configuração para utilizar as configurações do registro LDAP independente quando usuários e grupos residem em um diretório LDAP externo. Quando a segurança estiver ativada e qualquer uma dessas propriedades for alterada, vá para o painel Segurança > Segurança Global e clique em Aplicar ou OK para validar as alterações.
Padrão: | Desativado |
Links marcados (on-line) requerem acesso à Internet.