配置安全網域

請利用這個頁面來配置網域的安全屬性,或將網域指派給 Cell 資源。 對於每個安全屬性,您可以使用廣域安全設定,也可以自訂網域的設定。

若要檢視這個管理主控台頁面,請按一下安全 > 安全網域。 在「安全網域集合」頁面上,選取要配置的現有網域、建立一個新的網域,或複製現有的網域。

請閱讀多重安全網域的相關資訊,以更加瞭解多重安全網域是什麼,這個版本的 WebSphere® Application Server 如何支援它們。

「配置」標籤

名稱

指定網域的唯一名稱。 這個名稱在起始提交之後,便無法編輯。

網域名稱在 Cell 內必須是唯一的,且不能含有無效字元。

說明

指定網域的說明。

已指派的範圍

選取以顯示 Cell 拓蹼。 您可以將安全網域指派給整個 Cell,也可以選取要併入安全網域的特定叢集、節點和服務整合匯流排。

如果您選取所有資源,會顯示整個 Cell 拓蹼。

如果您選取所有已指派的資源,便會顯示 Cell 拓蹼及已指派給現行網域的伺服器和叢集。

明確指派的網域名稱會出現在任何資源旁。 勾選的框表示目前指派給網域的資源。 另外,您也可以選取其他資源,再按一下套用確定,以將它們指派給現行網域。

未勾選(已停用)的資源表示並未指派給現行網域,必須先從另一個網域移除,才能針對現行網域來啟用。

如果資源沒有明確指派的網域,它會使用已指派給 Cell 的網域。 如果未指派任何網域給 Cell,資源會使用廣域設定。

叢集成員無法個別指派給網域;整個叢集都會使用相同的網域。

應用程式安全:

請選取啟用應用程式安全來啟用或停用使用者應用程式的安全。 您可以使用廣域安全設定,也可以自訂網域的設定。

當停用這個選項時,安全網域中的所有 EJB 和 Web 應用程式便不再受到保護。 不需使用者鑑別,即會授予這些資源的存取權。 當您啟用這個選項時,安全網域中的所有 EJB 和 Web 應用程式都強制施行 J2EE 安全。 只有在廣域安全配置啟用了「廣域安全」時,才會強制施行 J2EE 安全(也就是說,尚未在廣域層次啟用「廣域安全」之前,無法啟用應用程式安全)。

啟用應用程式安全

啟用環境中的應用程式安全。 這類型的安全針對鑑別應用程式使用者,提供應用程式的隔離和需求

在舊版的 WebSphere Application Server 中,當使用者啟用了廣域安全時,會同時啟用管理和應用程式安全。 在 WebSphere Application Server 6.1 版中,先前的廣域安全記號分成管理安全和應用程式安全,可以分別啟用。

由於這個分割,WebSphere Application Server 用戶端必須知道目標伺服器是否停用了應用程式安全。 依預設,會啟用管理安全。 依預設,會停用應用程式安全。 若要啟用應用程式安全,您必須啟用管理安全。 只有在啟用管理安全的情況下,應用程式安全才有效。

當停用這個選項時,安全網域中的所有 EJB 和 Web 應用程式便不再受到保護。 不需使用者鑑別,即會授予這些資源的存取權。 當您啟用這個選項時,安全網域中的所有 EJB 和 Web 應用程式都強制施行 J2EE 安全。 只有在廣域安全配置啟用了「廣域安全」時,才會強制施行 J2EE 安全(也就是說,尚未在廣域層次啟用「廣域安全」之前,無法啟用應用程式安全)。

Java 2 安全:

請選取使用 Java™ 2 安全來啟用或停用網域層次的 Java 2 安全,或者指派或新增 Java 2 安全的相關內容。 您可以使用廣域安全設定,也可以自訂網域的設定。

這個選項會啟用或停用程序 (JVM) 層次的 Java 2 安全,因此,所有應用程式(管理和使用者)都可以啟用或停用 Java 2 安全。

使用廣域安全設定

選取以指定所用的廣域安全設定。

自訂這個網域

選取以指定網域中所定義的設定,如啟用應用程式和 Java 2 安全的選項,以及使用網域範圍限定鑑別資料的選項。

利用 Java 2 安全來限制應用程式存取本端資源

選取以指定要啟用或停用 Java 2 安全許可權檢查。 依預設,不會限制本端資源的存取。即使已啟用應用程式安全,您也可以選擇停用 Java 2 安全。

當您啟用使用 Java 2 安全來限制應用程式存取本端資源選項時,如果應用程式需要超出預設原則所授予的 Java 2 安全許可權,倘若沒有在應用程式的 app.policy 檔或 was.policy 檔中授予必要的許可權,應用程式可能無法順利執行。 未具備所有必要許可權的應用程式,會產生 AccessControl 異常狀況。

如果授予應用程式自訂許可權,便發出警告

指定在應用程式部署和應用程式啟動期間,如果將任何自訂許可權授予應用程式,安全執行時期就會發出警告。 自訂許可權是使用者應用程式所定義的許可權,不是 Java API 許可權。 Java API 許可權是 java.*javax.* 套件中的許可權。

應用程式伺服器會提供原則檔管理支援。這個產品有若干原則檔,有些是靜態的,有些是動態的。動態原則是特殊資源類型的許可權範本。動態原則範本中沒有定義任何程式碼庫,也沒有使用任何相對的程式碼庫。 真正的程式碼庫是以動態方式,從配置及執行時期資料建立的。 filter.policy 檔含有根據 J2EE 1.4 規格,您不想讓應用程式擁有的許可權清單。

重要: 當未啟用使用 Java 2 安全來限制應用程式存取本端資源選項時,您無法啟用這個選項。
限制存取資源鑑別資料

如果未啟用 Java 2 安全,便會停用這個選項。

當下面兩個條件都符合時,請考慮啟用這個選項:
  • 強制實施 Java 2 安全。
  • 在應用程式企業保存檔 (EAR) 內的 was.policy 檔中,將 accessRuntimeClasses WebSphereRuntimePermission 許可權授予應用程式碼。比方說,如果 was.policy 檔有下面這一行,就會將許可權授予應用程式碼:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

限制存取資源鑑別資料選項會將定義精細的 Java 2 安全許可權檢查,新增至 WSPrincipalMappingLoginModule 實作的預設主體對映中。 當啟用使用 Java 安全來限制應用程式存取本端資源限制存取資源鑑別資料選項時,您必須為在 Java 鑑別和授權服務 (JAAS) 登入中直接使用 WSPrincipalMappingLoginModule 實作的 Java 2 Platform Enterprise Edition (J2EE) 應用程式,授予明確的許可權。

預設值: 停用
使用者網域範圍:

這個區段可讓您配置安全網域的使用者登錄。 除了網域層次所用的聯合登錄,您可以個別配置任何登錄。 聯合儲存庫只能在廣域層次上配置,但可以用於網域層次。

當在網域層次上配置登錄時,您可以選擇定義自己的登錄網域範圍名稱。 網域範圍名稱可以識別使用者登錄。 網域範圍名稱用於許多場合 - 提示使用者的 Java 用戶端登入畫面、鑑別快取,以及使用原生授權時。

在廣域配置層次上,系統會建立使用者登錄的網域範圍。 在舊版的 WebSphere Application Server 中,系統中只會配置一個使用者登錄。 當您有多個安全網域時,您可以在系統中配置多個登錄。 為了在這些網域中,使網域範圍成為唯一,請針對安全網域來配置您自己的網域範圍名稱。 如果確定會成為唯一,您也可以選擇系統來建立唯一網域範圍名稱。 在後一個情況中,網域範圍名稱是以所用的登錄為基礎。

信任關聯:

選取以指定信任關聯的設定。 信任關聯用來將反向 Proxy 伺服器連接到應用程式伺服器。

信任關聯使 IBM® WebSphere Application Server 安全與協力廠商安全伺服器能夠整合起來。 更明確地說,反向 Proxy 伺服器可以作為前端鑑別伺服器,而產品會將它本身的授權原則套用在 Proxy 伺服器所傳遞的結果憑證上。

Tivoli® Access Manager 的信任關聯攔截程式只能在廣域層次上配置。 網域配置也可以使用它們,但信任關聯攔截程式的版本必須相同。 在系統中,Tivoli Access Manager 的信任關聯攔截程式只能有一個實例存在。

註: 將信任關聯攔截程式 (TAI) 用於簡單且受保護的 GSS-API 協議機制 (SPNEGO) 鑑別已經淘汰。 SPNEGO Web 鑑別畫面提供了更簡單的 SPNEGO 配置方式。
攔截程式

選取以存取或指定反向 Proxy 伺服器的信任資訊。

啟用信任關聯

選取以使 IBM WebSphere Application Server 安全與協力廠商安全伺服器能夠整合起來。 更明確地說,反向 Proxy 伺服器可以作為前端鑑別伺服器,而產品會將它本身的授權原則套用在 Proxy 伺服器所傳遞的結果憑證上。

SPNEGO Web 鑑別:

指定簡單且受保護的 GSS-API 協議 (SPNEGO) 的設定,以作為 Web 鑑別機制。

SPNEGO Web 鑑別可以在網域層次上配置,它可讓您配置 SPNEGO 來進行 Web 資源鑑別。

註: 在 WebSphere Application Server 6.1 版中,引進了 TAI,它利用簡單且受保護的 GSS-API 協議機制 (SPNEGO),安全地進行受保護資源的 HTTP 要求之協議及鑑別。 現在,在 WebSphere Application Server 7.0 中,已淘汰這個功能。 SPNEGO Web 鑑別已取代它來提供 SPNEGO 過濾器的動態重新載入,以及啟用應用程式登入方法的撤回。
RMI/IIOP 安全:

指定透過網際網路交互 ORB 通訊協定的遠端方法呼叫 (RMI/IIOP) 的設定。

Object Request Broker (ORB) 會利用網際網路交互 ORB 通訊協定 (IIOP) 來管理用戶端和伺服器之間的互動。 它可讓用戶端在分散式網路的環境下發出要求,並從伺服器接收回應。

當您在網域層次上配置這些屬性時,為了方便,會複製廣域層次的 RMI/IIOP 安全配置。 您可以變更在網域層次上必須不同的屬性。 廣域和網域層次的 CSIv2 入埠通訊傳輸層設定應該相同。 如果它們不同,程序中的所有應用程式都會套用網域層次屬性。

當程序與不同網域範圍的程序通訊時,除非伺服器列在出埠授信領域清單中,否則,LTPA 鑑別和傳送記號會延伸到下游伺服器。 您可以利用 CSIv2 出埠通訊畫面的授信鑑別網域範圍 - 出埠鏈結來執行這個動作。

CSIv2 入埠通訊

選取以指定接收之要求的鑑別設定,以及這部伺服器利用 Object Management Group (OMG) Common Secure Interoperability (CSI) 鑑別通訊協定來接受之連線的傳輸設定。

WebSphere Application Server 可讓您同時在入埠和出埠鑑別要求上,指定網際網路交互 ORB 通訊協定的鑑別。 對於入埠要求,您可以指定接受的鑑別類型,如基本鑑別。

CSIv2 出埠通訊

選取以指定傳送之要求的鑑別設定,以及伺服器利用 Object Management Group (OMG) Common Secure Interoperability (CSI) 鑑別通訊協定來起始之連線的傳輸設定。

WebSphere Application Server 可讓您同時在入埠和出埠鑑別要求上,指定網際網路交互 ORB 通訊協定的鑑別。 對於出埠要求,您可以指定對於下游伺服器的要求所用的內容,如鑑別類型、身分主張或登入配置等。

JAAS 應用程式登入

選取以定義 JAAS 所用的登入配置。

JAAS 應用程式登入、JAAS 系統登入和 JAAS J2C 鑑別資料別名等,都可以在網域層次上配置。 依預設,系統中的所有應用程式都有權存取廣域層次上所配置的 JAAS 登入。 安全執行時期會先在網域層次上檢查 JAAS 登入。 如果找不到它們,它會在廣域安全配置中檢查它們。 只有在您需要指定專供安全網域內的應用程式使用的登入時,才配置任何這些 JAAS 登入。

僅限 JAAS 和自訂內容,在自訂網域的廣域屬性之後,使用者應用程式仍可以使用這些屬性。

請勿移除 ClientContainer、DefaultPrincipalMapping 和 WSLogin 登入配置,因為其他應用程式可能會使用它們。 如果移除了這些配置,其他應用程式可能會失敗。

使用廣域和網域特定登入

選取以指定網域中所定義的設定,如啟用應用程式和 Java 2 安全的選項,以及使用網域範圍限定鑑別資料的選項。

JAAS 系統登入:

指定 JAAS 系統登入的配置設定。 您可以使用廣域安全設定,也可以自訂網域的配置設定。

系統登入

選取以定義系統資源所用的 JAAS 登入配置,其中包括鑑別機制、主體對映和認證對映

JAAS J2C 鑑別資料:

指定 JAAS J2C 鑑別資料的設定。 您可以使用廣域安全設定,也可以自訂網域的設定。

Java 2 Platform Enterprise Edition (J2EE) 連接器鑑別資料項目由資源配接器及 Java 資料庫連線功能 (JDBC) 資料來源來使用。

使用廣域和網域特定項目

選取以指定網域中所定義的設定,如啟用應用程式和 Java 2 安全的選項,以及使用網域範圍限定鑑別資料的選項。

鑑別機制屬性:

指定網域層次上所需套用的各種快取設定。

  • 鑑別快取設定 - 用來指定鑑別快取設定。這個畫面所指定的配置只適用於這個網域。
  • LTPA 逾時值 - 您可以在網域層次上配置不同的 LTPA 逾時值。 預設逾時值是廣域層次所設定的 120 分。 如果在網域層次上設定 LTPA 逾時值,當存取使用者應用程式時,在安全網域中建立的任何記號,都是以這個有效期限來建立的。
  • 使用網域範圍限定使用者名稱 - 當啟用這個選項時,getUserPrincipal( ) 之類的方法所傳回的使用者名稱,是利用安全網域中的應用程式所用的安全範圍(使用者登錄)來限定的。
授權提供者:

指定授權提供者的設定。 您可以使用廣域安全設定,也可以自訂網域的設定。

您可以在網域層次上配置外部協力廠商 JACC (Java Authorization Contract for Containers) 提供者。 Tivoli Access Manager 的 JACC 提供者只能在廣域層次上配置。 如果安全網域未以另一個 JACC 提供者或內建的原生授權來置換授權提供者,便仍可以使用它。

請選取預設授權使用 JAAC 提供者的外部授權。 只有在選取使用 JAAC 提供者的外部授權時,才會啟用配置按鈕。

[z/OS] 對於「系統授權機能」(SAF) 授權,如果您在網域層次上設定 SAF 設定檔字首,它會套用於伺服器層次,因此在這部伺服器中,所有應用程式(管理應用程式和使用者應用程式)都會啟用或停用它。

z/OS 安全選項:

指定 z/OS® 的設定。 您可以使用廣域安全設定,也可以自訂網域的設定。

啟用應用程式伺服器和 z/OS 執行緒身分的同步化 [z/OS]

選取以指示如果應用程式編碼成要求這項功能,是否應該使作業系統執行緒身分能夠與應用程式伺服器執行時期所用的 Java2 Platform Enterprise Edition (J2EE) 身分同步。

將作業系統身分與 J2EE 身分同步,會使作業系統身分與經過鑑別的呼叫端或是 Servlet 或 Enterprise JavaBeans™ (EJB) 檔中已委派的執行身分同步。 這項同步作業或關聯表示 z/OS 系統服務要求(如存取檔案)會使用呼叫端或安全角色身分,而不是伺服器區域身分。

如果在網域層次上設定這個值,它會套用於伺服器層次,因此在這部伺服器中,所有應用程式(管理應用程式和使用者應用程式)都會啟用或停用它。

自訂內容

選取以指定資料的名稱/值配對,其中名稱是內容索引鍵,值是字串。

在網域層次上設定新的自訂內容,或不同於廣域層次的自訂內容。 依預設,系統中的所有應用程式都可以存取廣域安全配置的所有自訂內容。 安全執行時期程式碼會先檢查網域層次的自訂內容。 如果找不到,它會試圖從廣域安全配置取得自訂內容。

Web 服務連結

按一下預設原則集連結來設定網域預設提供者和用戶端連結。




標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關參考
相關資訊


檔名: usec_sec_domains_edit.html