Configurações de Segurança Global

Utilize esse painel para configurar a administração e a política de segurança do aplicativo padrão. Essa configuração de segurança aplica-se à política de segurança para todas as funções administrativas e é utilizada como uma política de segurança padrão para aplicativos de usuário. Os domínios de segurança podem ser definidos para substituir e customizar as políticas de segurança para aplicativos de usuário.

Para exibir essa página do console administrativo, clique em Segurança > Segurança global.

[AIX Solaris HP-UX Linux Windows] [iSeries] A segurança tem alguns impactos em seus aplicativos. Os impactos no desempenho podem variar dependendo das características da carga de trabalho do aplicativo. Você deve primeiro determinar que o nível necessário de segurança esteja ativado para seus aplicativos e, em seguida, medir o impacto de segurança no desempenho de seus aplicativos.

Ao configurar a segurança, valide as alterações nos painéis de registro do usuário ou de mecanismos de autenticação. Clique em Aplicar para validar as definições do registro do usuário. É feita uma tentativa de autenticar o ID do servidor ou validar o ID admin (se internalServerID for utilizado) para o registro do usuário configurado. A validação das configurações do registro do usuário após a ativação da segurança administrativa pode evitar problemas ao reiniciar o servidor pela primeira vez.

Configurações Gerais

Selecione para especificar as configurações para a autenticação da Web.

SSO (Conexão Única)

Selecione para especificar os valores de configuração para SSO (Conexão Única).

Com o suporte SSO, os usuários da Web podem autenticar-se uma vez ao acessarem recursos do WebSphere Application Server, tais como HTML, arquivos JSP (JavaServer Pages), servlets, enterprise beans, e recursos do Lotus Domino.

Autenticação da Web SPNEGO

O SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fornece uma maneira dos clientes da Web e o servidor negociarem o protocolo de autenticação da Web utilizado para permitir as comunicações.

Associação Confiável

Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos aos servidores de aplicativos.

Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Note: O uso de TAIs (Trust Association Interceptors) para autenticação SPNEGO está agora reprovado. Os painéis de autenticação da Web SPNEGO fornecem agora uma maneira muito mais fácil de configurar o SPNEGO.
Comunicações de Entrada CSIv2

Selecione para especificar configurações de autenticação para pedidos recebidos e configurações de transporte para conexões aceitas por esse servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).

Os recursos de autenticação incluem três camadas de autenticação que podem ser utilizadas simultaneamente:
  • Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
  • Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.
Comunicações de Saída CSIv2

Selecione para especificar configurações de autenticação para pedidos enviados e configurações de transporte para conexões iniciadas pelo servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).

Os recursos de autenticação incluem três camadas de autenticação que podem ser utilizadas simultaneamente:
  • Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
  • Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.
Logins de Aplicativo

Selecione para definir configurações de login que são utilizadas pelo JAAS.

Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos poderão falhar.

Logins de Sistema

Selecione para definir as configurações de login JAAS que são utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, o mapeamento de proprietários e o mapeamento de credenciais.

Dados de Autenticação J2C

Selecione para especificar as configurações para os dados de autenticação JAAS (Java Authentication and Authorization Service) J2C (Java 2 Connector).

Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

LTPA

Selecione para criptografar informações sobre autenticação para que o servidor de aplicativos possa enviar os dados de um servidor para outro de maneira segura.

A criptografia de informações sobre autenticação que são trocadas entre os servidores envolve o mecanismo LTPA (Lightweight Third-Party Authentication).

Kerberos

Selecione para criptografar informações sobre autenticação para que o servidor de aplicativos possa enviar os dados de um servidor para outro de maneira segura.

A criptografia de informações sobre autenticação que são trocadas entre os servidores envolve o mecanismo Kerberos.
Note: O Kerberos deve ser configurado antes dessa opção ser selecionada.
Utilizar Nomes de Usuário Qualificados por Região

Especifica que os nomes de usuário retornados por métodos, como o método getUserPrincipal(), são qualificados com a região de segurança na qual eles residem.

Domínios de Segurança

Utilize o link Domínio de Segurança para definir configurações de segurança adicionais para aplicativos de usuário.

Por exemplo, se desejar utilizar um registro do usuário para um conjunto de aplicativos de usuário que seja diferente daquele utilizado no nível global, você poderá criar uma configuração de segurança com esse registro do usuário e associá-la a esse conjunto de aplicativos. Essas configurações de segurança adicionais podem ser associadas a diversos escopos (célula, clusters/servidores, SIBuses). Depois que as configurações de segurança tiverem sido associadas a um escopo, todos os aplicativos de usuário nesse escopo utilizarão essa configuração de segurança. Leia Múltiplos Domínios de Segurança para obter informações detalhadas.

Para cada atributo de segurança, você pode utilizar as configurações de segurança global ou customizar as configurações para o domínio.

Provedores de Autorização Externos

Selecione para especificar se será utilizada a configuração de autorização padrão ou um provedor de autorização externo.

Os provedores externos devem basear-se na especificação JACC (Java uthorization Contract for Containers) para manipular a autorização J2EE (Java(TM) 2 Platform, Enterprise Edition). Não modifique nenhuma configuração nos painéis do provedor de autorização, a não ser que você tenha configurado um provedor de segurança externo como um provedor de autorização JACC.

Propriedades Customizadas

Selecione para especificar pares nome-valor, em que o nome é uma chave da propriedade e o valor é uma cadeia.

Guia Configuração

Assistente de Configuração de Segurança

Ativa um assistente que permite configurar as configurações básicas administrativas e de segurança de aplicativos. Esse processo restringe tarefas administrativas e aplicativos a usuários autorizados.

Utilizando esse assistente, você pode configurar a segurança do aplicativo, a segurança do recurso ou J2C (Java 2 Connector) e um registro do usuário. Você pode configurar um registro existente e ativar a segurança administrativa, de aplicativos e de recursos.

Ao aplicar alterações feitas através da utilização do assistente de configuração da segurança, a segurança administrativa é ativada por padrão.

Relatório de Configuração de Segurança

Ativa um relatório de configuração de segurança que exibe as configurações de segurança principais do servidor de aplicativos. O relatório também exibe os usuários e grupos administrativos e as funções de nomenclatura CORBA.

Uma limitação atual do relatório é que não exibe as informações de segurança no nível do aplicativo. O relatório também não existe informações sobre a segurança JMS (Java Message Service), a segurança do barramento ou a segurança de Serviços da Web.

Quando vários domínios de segurança são configurados, o relatório exibe a configuração de segurança associada a cada domínio.

Ativar Segurança Administrativa

Especifica se a segurança administrativa deve ser ativada para esse domínio do servidor de aplicativos. A segurança administrativa requer que usuários sejam autenticados antes de obter controle administrativo do servidor de aplicativos.

Para obter mais informações, consulte os links relacionados para funções administrativas e autenticação administrativa.

Ao ativar a segurança, defina a configuração do mecanismo de autenticação e especifique um ID de usuário e uma senha válidos (ou um ID admin válido quando o recurso internalServerID for utilizado) na configuração do registro selecionado.

Nota: Há uma diferença entre o ID do usuário (que é normalmente chamado de ID admin), que identifica administradores que gerenciam o ambiente e um ID de servidor, que é utilizado para comunicação de servidor para servidor. Não é necessário digitar um ID de servidor e senha quando estiver utilizando o recurso de ID do servidor interno. No entanto, como opção, é possível especificar um ID de servidor e senha. Para especificar o ID do servidor e a senha, execute as seguintes etapas:
  1. Clique em Segurança > Segurança global.
  2. No Repositório de Contas de Usuários, selecione o repositório e clique em Configurar.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Especifique o ID do servidor e a senha na seção Identidade do Usuário do Servidor.

[z/OS] Você pode especificar a opção Identidade do servidor gerada automaticamente ou Identidade do usuário para a tarefa iniciada do z/OS.

[z/OS] Se você tiver problemas, como a não inicialização do servidor após a ativação da segurança no domínio de segurança, ressincronize todos os arquivos da célula para esse nó. Para ressincronizar arquivos, execute o seguinte comando a partir do nó: syncNode -username your_userid -password your_password. Este comando conecta ao gerenciador de implementação e ressincroniza todos os arquivos.

[iSeries] [z/OS] Se o servidor não reiniciar depois da segurança administrativa ser ativada, você poderá desativar a segurança. Vá para o diretório app_server_root/bin e execute o comando wsadmin -conntype NONE. No prompt wsadmin>, digite securityoff e, em seguida, digite exit para retornar a um prompt de comandos. Inicie novamente o servidor com a segurança desativada para verificar as definições incorretas através do console administrativo.

[z/OS] Usuários do Registro do Usuário do S.O. Local: Ao selecionar S.O. Local como o registro do usuário ativo, não é necessário fornecer uma senha na configuração do registro do usuário.

Padrão: Ativado
Ativar Segurança do Aplicativo

Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo

Em releases anteriores do WebSphere Application Server, quando um usuário ativava a segurança global, a segurança administrativa e a segurança do aplicativo eram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global é dividida em segurança administrativa e segurança do aplicativo, cada uma ativada separadamente.

Como resultado dessa divisão, os clientes do WebSphere Application Server devem saber se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, é necessário ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.

Padrão: Desativado
Utilizar a Segurança Java 2 para Restringir o Acesso do Aplicativo a Recursos Locais

Especifica se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. Você pode optar por desativar a segurança Java 2, mesmo quando a segurança do aplicativo está ativada.

Quando a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais for ativada e um aplicativo necessitar de mais permissões de segurança Java 2 do que concedidas na política padrão, o aplicativo talvez não seja executado corretamente até que as permissões necessárias sejam concedidas no arquivo app.policy ou no arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas. Consulte os links relacionados para obter mais informações sobre a segurança Java 2.

Padrão: Desativado
Avisar se Permissões Customizadas São Concedidas aos Aplicativos

Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões definidas pelos aplicativos de usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.

O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um modelo de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação J2EE 1.4. Para obter mais informações sobre permissões, consulte o link relacionado sobre arquivos de política de segurança Java 2.

Importante: Não é possível ativar essa opção sem ativar a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais.
Padrão: Desativado
Restringir o Acesso a Dados de Autenticação de Recursos

Ative esta opção para restringir o acesso do aplicativo a dados sigilosos de autenticação de mapeamento JCA (Java Connector Architecture).

É recomendável ativar esta opção quando as duas condições a seguir forem verdadeiras:
  • A segurança Java 2 é aplicada.
  • O código do aplicativo recebe a permissão accessRuntimeClasses WebSphereRuntimePermission no arquivo was.policy localizado no arquivo EAR (Enterprise Archive) do aplicativo. Por exemplo, o código do aplicativo recebe a permissão quando a seguinte linha é encontrada no arquivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

A opção Restringir o acesso a dados de autenticação de recursos inclui a verificação de permissão de segurança Java 2 de baixa granularidade para o mapeamento de proprietários padrão da implementação WSPrincipalMappingLoginModule. Você deve conceder permissão explícita para aplicativos J2EE (Java 2 Platform, Enterprise Edition) que utilizam a implementação WSPrincipalMappingLoginModule diretamente no login JAAS (Java Authentication and Authorization Service) quando as opções Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais e Restringir o acesso a dados de autenticação de recursos estiverem ativadas.

Padrão: Desativado
Definição de Região Atual

Especifica a configuração atual para o repositório de usuários ativos.

Este campo é de leitura.

Definições de Regiões Disponíveis

Especifica os repositórios de contas de usuários disponíveis.

Configurar como Atual [AIX Solaris HP-UX Linux Windows] [z/OS]

Ativa o repositório do usuário após sua configuração.

[AIX Solaris HP-UX Linux Windows] Um registro LDAP ou do usuário customizado é necessário ao executar como um usuário não-root UNIX ou ao executar em um ambiente de vários nós.

Você pode definir configurações para um dos seguintes repositórios de usuários:
Repositórios Federados
Especifique essa configuração para gerenciar perfis em vários repositórios sob uma única região. A região pode consistir em identidades em:
  • O repositório baseado em arquivos que é interno do sistema
  • Um ou mais repositórios externos
  • O repositório interno baseado em arquivo e em um ou mais repositórios externos
Nota: Somente um usuário com privilégios de administrador pode visualizar a configuração dos repositórios federados.
Sistema operacional local

[z/OS] Especifique essa configuração se você desejar que o servidor de segurança compatível com RACF (Resource Access Control Facility) ou SAF (Security Authorization Facility) seja utilizado como o registro do usuário do servidor de aplicativos.

[AIX Solaris HP-UX Linux Windows] [iSeries] Você não pode utilizar localOS em vários nós ou ao executar como não-root em uma plataforma UNIX.

[AIX Solaris HP-UX Linux Windows] O registro do sistema operacional local é válido somente quando você utiliza um controlador de domínio ou a célula do Network Deployment reside em uma única máquina. No último caso, não é possível espalhar vários nós em uma célula por várias máquinas, pois esta configuração, utilizando o registro do usuário do S.O. local, não é válida.

Registro LDAP Independente

Especifique essa configuração para utilizar as configurações do registro LDAP independente quando usuários e grupos residem em um diretório LDAP externo. Quando a segurança estiver ativada e qualquer uma dessas propriedades for alterada, vá para o painel Segurança > Segurança Global e clique em Aplicar ou OK para validar as alterações.

Nota: Como vários servidores LDAP são suportados, essa configuração não sugere um registro LDAP.
Registro customizado independente
Especifique essa configuração para implementar seu próprio registro customizado independente que implementa a interface com.ibm.websphere.security.UserRegistry. Quando a segurança estiver ativada e qualquer uma dessas propriedades for alterada, vá para o painel Segurança Global e clique em Aplicar ou em OK para validar as alterações.
Padrão: Desativado



Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Tarefas relacionadas
[AIX Solaris HP-UX Linux Windows] [iSeries]
Referências relacionadas
Mecanismos de Autenticação e Expiração
Configurações do Sistema Operacional Local
Configurações do Registro LDAP Independente
[z/OS] Resumo de Controles
Configurações do Registro Customizado Independente
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
[z/OS]
Informações relacionadas
[AIX Solaris HP-UX Linux Windows] [iSeries] Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List (on-line)


Nome do arquivo: usec_secureadminappinfra.html