Configurar Domínios de Segurança

Utilize essa página para configurar os atributos de segurança de um domínio e designar o domínio a recursos de célula. Para cada atributo de segurança, você pode utilizar as configurações de segurança global ou customizar as configurações para o domínio.

Para visualizar essa página do console administrativo, clique em Segurança > Domínios de Segurança. Na página Coleta de Domínios de Segurança, selecione um domínio existente para ser configurado, crie um novo ou copie um domínio existente.

Leia sobre Múltiplos Domínios de Segurança para entender melhor o que são os diversos domínios de segurança e como eles são suportados nessa versão do WebSphere Application Server.

Ligações de Serviços da Web

Guia Configuração

Nome

Especifica um nome exclusivo para o domínio. Esse nome não pode ser editado após o envio inicial.

Um nome de domínio deve ser exclusivo em uma célula e não pode conter um caractere inválido.

Descrição

Especifica uma descrição para o domínio.

Escopos Designados

Selecione para exibir a topologia da célula. Você pode designar o domínio de segurança à célula inteira ou selecionar os clusters, nós e barramentos de integração de serviços específicos para serem incluídos no domínio de segurança.

Se você selecionar Todos os Recursos, a topologia da célula inteira será exibida.

Se você selecionar Todos os Recursos Designados, a topologia da célula será exibida com os servidores e clusters designados ao domínio atual.

O nome de um domínio designado explicitamente aparece próximo a qualquer recurso. As caixas marcadas indicam recursos designados atualmente ao domínio. Também é possível selecionar outros recursos e clicar em Aplicar ou OK para designá-los ao domínio atual.

Um recurso não marcado (desativado) indica que ele não está designado ao domínio atual e deve ser removido de um outro domínio antes de ser ativado para o domínio atual.

Se um recurso não tiver um domínio designado explicitamente, ele utilizará o domínio designado à célula. Se nenhum domínio estiver designado à célula, o recurso utilizará configurações globais.

Os membros de cluster não podem ser designados individualmente a domínios; o cluster inteiro utiliza o mesmo domínio.

Segurança do Aplicativo:

Selecione Ativar Segurança do Aplicativo para ativar ou desativar esta opção de segurança para aplicativos de usuário. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Quando essa seleção é desativada, todos os EJBs e aplicativos da Web no domínio de segurança não são mais protegidos. É concedido acesso a esses recursos sem autenticação de usuário. Quando você ativa essa seleção, a segurança J2EE é aplicada para todos os EJBs e aplicativos da Web no domínio de segurança. A segurança J2EE é aplicada apenas quando a Segurança Global está ativada na configuração de segurança global (ou seja, não é possível ativar a segurança do aplicativo sem primeiro ativar a Segurança Global no nível global).

Segurança Java 2:

Selecione Utilizar Segurança Java 2 para ativar ou desativar a segurança Java 2 no nível do domínio ou para designar ou incluir propriedades relacionadas à segurança Java 2. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Essa opção ativa ou desativa a segurança Java 2 no nível do processo (JVM) para que todos os aplicativos (administrativo e usuário) possam ativar ou desativar a segurança Java 2.

Configurações de Segurança Global

Indica se o aplicativo e a segurança Java 2 estão ativados. Se a segurança Java 2 estiver ativada, o estado das subconfigurações também será indicado.

Utilizar Configurações de Segurança Global

Selecione para especificar as configurações de segurança global que estão sendo utilizadas.

Customizar para este Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Utilizar Nomes de Usuário Qualificados por Região

Especifica que os nomes de usuário retornados por métodos, como o método getUserPrincipal(), são qualificados com a região de segurança na qual eles residem.

Essa opção estará ativa apenas se Customizar para este Domínio for selecionado.

Ativar Segurança do Aplicativo

Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo

Em releases anteriores do WebSphere Application Server, quando um usuário ativava a segurança global, a segurança administrativa e a segurança do aplicativo eram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global era dividida em segurança administrativa e segurança do aplicativo, cada uma ativada separadamente.

Como resultado dessa divisão, os clientes do WebSphere Application Server devem saber se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, é necessário ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.

Quando essa seleção é desativada, todos os EJBs e aplicativos da Web no domínio de segurança não são mais protegidos. É concedido acesso a esses recursos sem autenticação de usuário. Quando você ativa essa seleção, a segurança J2EE é aplicada para todos os EJBs e aplicativos da Web no domínio de segurança. A segurança J2EE é aplicada apenas quando a Segurança Global está ativada na configuração de segurança global (ou seja, não é possível ativar a segurança do aplicativo sem primeiro ativar a Segurança Global no nível global).

Utilizar a Segurança Java 2 para Restringir o Acesso do Aplicativo a Recursos Locais

Selecione para especificar se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. Você pode optar por desativar a segurança Java 2, mesmo quando a segurança do aplicativo está ativada.

Quando a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais for ativada e um aplicativo necessitar de mais permissões de segurança Java 2 do que concedidas na política padrão, o aplicativo talvez não seja executado corretamente até que as permissões necessárias sejam concedidas no arquivo app.policy ou no arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas.

Avisar se Permissões Customizadas São Concedidas aos Aplicativos

Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões definidas pelos aplicativos de usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.

O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um modelo de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação J2EE 1.4.

Important: Não é possível ativar essa opção sem ativar a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais.
Restringir o Acesso a Dados de Autenticação de Recursos

Essa opção estará desativada se a segurança Java 2 não foi ativada.

É recomendável ativar esta opção quando as duas condições a seguir forem verdadeiras:
  • A segurança Java 2 é aplicada.
  • O código do aplicativo recebe a permissão accessRuntimeClasses WebSphereRuntimePermission no arquivo was.policy localizado no arquivo EAR (Enterprise Archive) do aplicativo. Por exemplo, o código do aplicativo recebe a permissão quando a seguinte linha é encontrada no arquivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

A opção Restringir o acesso a dados de autenticação de recursos inclui a verificação de permissão de segurança Java 2 de baixa granularidade para o mapeamento de proprietários padrão da implementação WSPrincipalMappingLoginModule. Você deve conceder permissão explícita para aplicativos J2EE (Java 2 Platform, Enterprise Edition) que utilizam a implementação WSPrincipalMappingLoginModule diretamente no login JAAS (Java Authentication and Authorization Service) quando as opções Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais e Restringir o acesso a dados de autenticação de recursos estiverem ativadas.

Padrão: Desativado
Região do Usuário (Registro do Usuário):

Essa seção possibilita configurar o registro do usuário para o domínio de segurança. Você pode configurar separadamente qualquer registro, exceto o registro federado utilizado no nível do domínio. O repositório federado só pode ser configurado no nível global, mas pode ser utilizado no nível do domínio.

Ao configurar um registro no nível do domínio, você pode optar por definir seu próprio nome de região para o registro. O nome da região distingue um registro do usuário de outro. O nome da região é utilizado em vários locais – no painel de login do cliente Java para exibir para solicitá-lo ao usuário, no cache de autenticação e ao utilizar a autorização nativa.

No nível da configuração global, o sistema cria a região para o registro do usuário. Em releases anteriores do WebSphere Application Server, apenas um registro do usuário era configurado no sistema. Quando há vários domínios de segurança, você pode configurar vários registros no sistema. Para que as regiões sejam exclusivas nesses domínios, configure seu próprio nome de região para um domínio de segurança. Também é possível optar por deixar que o sistema crie um nome de região exclusivo, se tiver certeza de que ele é exclusivo. Neste último caso, o nome da região baseia-se no registro utilizado.

Associação de Confiança:

Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos aos servidores de aplicativos.

A associação de confiança possibilita a integração de servidores de segurança do IBM WebSphere Application Server e de terceiros. Mais especificamente, um servidor proxy reverso pode agir como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.

Os interceptores de associação de confiança do Tivoli Access Manager só podem ser configurados no nível global. A configuração de domínio também podem utilizá-los, mas não pode ter uma versão diferente do interceptor de associação de confiança. Pode existir apenas uma instância de interceptores de associação de confiança do Tivoli Access Manager.

Note: O uso de TAIs (Trust Association Interceptors) para autenticação SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) é reprovado. Os painéis de autenticação da Web SPNEGO fornecem uma maneira muito mais fácil de configurar o SPNEGO.
Interceptores

Selecione para acessar ou especificar as informações de confiança para servidores proxy reversos.

Ativar Associação Confiável

Selecione para ativar a integração de servidores de segurança do IBM WebSphere Application Server e de terceiros. Mais especificamente, um servidor proxy reverso pode agir como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.

Autenticação da Web SPNEGO:

Especifica as configurações para SPNEGO (Simple and Protected GSS-API Negotiation) como o mecanismo de autenticação da Web.

A autenticação da Web SPNEGO, que possibilita configurar o SPNEGO para autenticação de recursos da Web, pode ser configurada no nível do domínio.

Note: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança pedidos de HTTP para recursos seguros. No WebSphere Application Server 7.0, essa função está agora reprovada. A autenticação da Web SPNEGO ocorria para fornecer recarregamento dinâmico dos filtros SPNEGO e para ativar a alternativa para o método de login de aplicativo.
Segurança RMI/IIOP:

Especifica as configurações para o RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Um ORB (Agente de Pedido de Objetos) gerencia a interação entre clientes e servidores, utilizando o IIOP (Internet InterORB Protocol). Ele permite que clientes façam pedidos e recebam respostas de servidores em um ambiente distribuído em rede.

Ao configurar esses atributos no nível do domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência. Você pode alterar os atributos que precisam ser diferentes no nível do domínio. As configurações da camada de transporte para comunicações de entrada CSIv2 devem ser iguais para o nível global e nível do domínio. Se forem diferentes, os atributos de nível do domínio serão aplicados a todos os aplicativos no processo.

Quando um processo se comunica com um outro processo em uma região diferente, a autenticação LTPA e os tokens de propagação são propagados para o servidor de recebimento de dados, a menos que o servidor esteja na lista de regiões confiáveis de saída. Isso pode ser feito utilizando o link Regiões de Autenticação Confiáveis – Saída no painel Comunicação de Saída CSIv2.

Comunicações de Entrada CSIv2

Selecione para especificar configurações de autenticação para pedidos recebidos e configurações de transporte para conexões aceitas por esse servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).

O WebSphere Application Server possibilita especificar a autenticação IIOP (Internet Inter-ORB Protocol) para pedidos de autenticação de entrada e de saída. Para os pedidos de entrada, você pode especificar o tipo de autenticação aceita, como a autenticação básica.

Comunicações de Saída CSIv2

Selecione para especificar configurações de autenticação para pedidos enviados e configurações de transporte para conexões iniciadas pelo servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).

O WebSphere Application Server possibilita especificar a autenticação IIOP (Internet Inter-ORB Protocol) para pedidos de autenticação de entrada e de saída. Para os pedidos de saída, você pode especificar propriedades como tipo de autenticação, asserção de identidade ou configurações de login que são utilizadas para pedidos para os servidores de recebimento de dados.

JAAS (Java Authentication and Authorization Service):

Especifica as definições de configuração para os logins de aplicativo JAAS (Java Authentication and Authorization Service). Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Os logins de aplicativo JAAS, os logins de sistema JAAS e os aliases de dados de autenticação JAAS podem ser configurados no nível do domínio. Por padrão, todos os aplicativos no sistema têm acesso aos logins JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se não localizá-los, ele os verificará na configuração de segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.

Apenas para propriedades JAAS e customizadas, quando os atributos globais são customizados para um domínio, ainda assim eles podem ser utilizados por aplicativos de usuário.

Logins de Aplicativo

Selecione para definir configurações de login que são utilizadas pelo JAAS.

Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos poderão falhar.

Utilizar Logins Globais e Específicos do Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Logins de Sistema JAAS:

Especifica as definições de configuração para os logins de sistema JAAS. Você pode utilizar as configurações de segurança global ou customizar as definições de configuração para um domínio.

Logins de Sistema

Selecione para definir as configurações de login JAAS que são utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, o mapeamento de proprietários e o mapeamento de credenciais

Dados de Autenticação JAAS J2C:

Especifica as configurações para os dados de autenticação JAAS J2C. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

As entradas de dados de autenticação do Conector J2EE (Java 2 Platform, Enterprise Edition) são utilizadas por adaptadores de recursos e origens de dados JDBC (Java DataBase Connectivity).

Utilizar Entradas Globais e Específicas do Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Atributos do Mecanismo de Autenticação:

Especifica as diversas configurações de cache que devem ser aplicadas no nível do domínio.

  • Tempo Limite de Cache - Especifica o período de tempo no qual a credencial autenticada no cache expira. Esse tempo limite dever ser menor que o tempo limite de LTPA definido atualmente para o domínio de segurança.
  • Tempo Limite de LTPA - Você pode configurar um valor de tempo limite de LTPA diferente no nível do domínio. O valor de tempo limite padrão é 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for configurado no nível do domínio, qualquer token criado no domínio de segurança ao acessar aplicativos de usuário terá esse tempo de expiração.
  • Utilizar nomes de usuários qualificados por região - Quando essa seleção é ativada, os nomes de usuários retornados por métodos como o getUserPrincipal( ) são qualificados com a região de segurança (registro do usuário) utilizada por aplicativos no domínio de segurança.
Provedor de Autorização:

Especifica as configurações para o provedor de autorização. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Você pode configurar um provedor externo JACC (Java Authorization Contract for Containers) de terceiros no nível do domínio. O provedor JACC do Tivoli Access Manager só pode ser configurado no nível global. Os domínios de segurança ainda poderão ser utilizados se não substituírem o provedor de autorização por um outro provedor JACC ou pela autorização nativa integrada.

Além disso, você pode ativar ou desativar a autorização baseada em SAF (System Authorization Facility) no nível do domínio.

Autorização

Especifica a autorização utilizada para configurar um domínio.

Selecione Autorização Padrão ou Autorização externa utilizando um provedor JAAC. O botão Configurar será ativado apenas quando Autorização externa utilizando um provedor JAAC for selecionado.

O valor de tempo limite para credenciais redirecionadas entre servidores

Esse valor refere-se a quanto tempo as credenciais de servidor de outro servidor são válidas antes de expirar. O valor deve ser maior que aquele do tempo limite de cache de autenticação.

O valor de Tempo Limite para credenciais redirecionadas entre servidores deve ser um inteiro entre o intervalo de 5 a 35971. O valor padrão é 120 minutos.

Opções de Segurança do z/OS:

Especifica as configurações para z/OS. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Ativar a Sincronização de Identidades do Encadeamento do Servidor de Aplicativos e do z/OS [z/OS]

Selecione para indicar se uma identidade do encadeamento do sistema operacional deve ser ativada para sincronização com a identidade do J2EE (Java 2 Platform, Enterprise Edition) que será utilizada no tempo de execução do servidor de aplicativos se um aplicativo estiver codificado para solicitar essa função.

A sincronização da identidade do sistema operacional com a identidade do J2EE faz com que a identidade do sistema operacional seja sincronizada com o responsável pela chamada autenticado ou com a identidade RunAs delegada em um arquivo de servlet ou de EJB (Enterprise JavaBeans). Essa sincronização ou associação significa que a identidade do responsável pela chamada ou da função de segurança, em vez da identidade da região de servidor, é utilizada para pedidos de serviço do sistema z/OS, como acesso a arquivos.

Ativar a identidade do encadeamento RunAs do gerenciador de conexões [z/OS]

Especifica que o método SyncToOSThread do gerenciador de conexões é suportado para aplicativos que especificam esta opção.

Quando você ativa essa configuração, o método pode processar um pedido que modifica a identidade do sistema operacional para refletir a identidade do J2EE (Java 2 Platform, Enterprise Edition). Essa função é requerida para tirar vantagem do suporte à identidade do encadeamento. Os conectores J2CA (J2EE Connector Architecture) que acessam os recursos locais em um sistema z/OS podem utilizar o suporte a identidades do encadeamento.

Propriedades Customizadas

Selecione para especificar pares nome-valor, em que o nome é uma chave da propriedade e o valor é uma cadeia.

Configure propriedades customizadas no nível do domínio que sejam novas ou diferentes daqueles no nível global. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos no sistema. O código de tempo de execução de segurança verifica primeiro a propriedade customizada no nível do domínio. Se não localizá-la, ele tentará obter a propriedade customizada da configuração de segurança global.




Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Referências relacionadas


Nome do arquivo: usec_sec_domains_edit.html