全局安全性设置

使用此面板来配置管理和缺省应用程序安全策略。此安全性配置应用于所有管理功能的安全策略并用作用户应用程序的缺省安全策略。可以定义安全域来覆盖和定制用户应用程序的安全策略。

要查看此管理控制台页面,单击安全性 > 全局安全性

[AIX Solaris HP-UX Linux Windows] [iSeries] 安全性会对应用程序的性能产生一定程度的影响。性能影响随应用程序工作负载特征的不同而有所变化。您首先必须确定已经对应用程序启用了所需的安全性级别,然后测量安全性对应用程序性能的影响程度。

配置安全性后,请验证对用户注册表面板或认证机制面板所作的任何更改。单击应用以验证用户注册表设置。将尝试向已配置的用户注册表认证服务器标识或验证管理标识(如果使用了 internalServerID 的话)。启用管理安全性后,通过验证用户注册表设置,可以避免第一次重新启动服务器时发生问题。

安全性配置向导

启动一个向导,该向导使您能够配置基本管理安全性设置和应用程序安全性设置。此过程只允许授权用户执行管理任务和应用程序。

通过使用此向导,可以配置应用程序安全性、资源或 Java™ 2 连接器(J2C)安全性以及用户注册表。可以配置现有的注册表并启用管理安全性、应用程序安全性和资源安全性。

在应用使用安全性配置向导所作的更改时,缺省情况下将启用管理安全性。

安全性配置报告

启动安全性配置报告,该报告显示了应用程序服务器的核心安全性设置。该报告还显示了管理用户和组以及 CORBA 命名角色。

目前,该报告有一项限制,既未显示应用程序级安全性信息。并且,该报告也未显示有关 Java 消息服务(JMS)安全性、总线安全性或 Web Service 安全性的信息。

当配置了多个安全域时,该报告将显示与每个域相关联的安全性配置。

启用管理安全性

指定是否对此应用程序服务器域启用管理安全性。管理安全性要求用户先进行认证,然后才能获取应用程序服务器的管理控制权。

有关更多信息,请参阅管理角色和管理认证的相关链接。

启用安全性时,请设置认证机制配置并指定所选注册表配置中的有效用户标识和密码(或者,当使用了 internalServerID 功能时,指定有效的管理标识)。

注: 用户标识(通常称为管理标识)用于标识管理环境的管理员,服务器标识用于服务器之间的通信,这两种标识是有区别的。在使用内部服务器标识功能时,不需要输入服务器标识和密码。但是,您可以选择指定服务器标识和密码。要指定服务器标识和密码,请完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下,选择存储库,然后单击配置
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] 在“服务器用户标识”部分中指定服务器标识和密码。

[z/OS] 仅当用户注册表为本地操作系统时,才能指定 z/OS® 已启动的任务选项。

如果遇到问题(例如在安全域中启用安全性后服务器无法启动),请使该节点上的所有文件重新与单元中的文件同步。要对文件进行再同步,请从该节点运行以下命令:syncNode -username your_userid -password your_password。此命令将连接到 Deployment Manager 并对所有文件进行再同步。

[iSeries] [z/OS] 如果服务器在您启用管理安全性后无法重新启动,那么可以禁用安全性。转至 app_server_root/bin 目录并运行 wsadmin -conntype NONE 命令。在 wsadmin> 提示处,输入 securityoff,然后输入 exit 以返回命令提示符。在禁用了安全性的情况下重新启动服务器,以通过管理控制台检查任何不正确的设置。

[z/OS] 本地操作系统用户注册表用户:如果选择本地操作系统作为活动用户注册表,那么不需要在用户注册表配置中提供密码。

缺省值: 已启用
启用应用程序安全性

在环境中对应用程序启用安全性。这种类型的安全性为认证应用程序用户提供应用程序隔离和需求。

在 WebSphere® Application Server 的先前发行版中,当用户启用了全局安全性时,就同时启用了管理安全性和应用程序安全性。在 WebSphere Application Server V6.1 中,先前的全局安全性概念被划分成管理安全性和应用程序安全性,可以单独启用每一种安全性。

由于进行了此划分,因此 WebSphere Application Server 客户机必须知道目标服务器中是否禁用了应用程序安全性。缺省情况下将启用管理安全性。缺省情况下将禁用应用程序安全性。要启用应用程序安全性,必须启用管理安全性。仅当启用了管理安全性时应用程序安全性才有效。

缺省值: 已禁用
使用 Java 2 安全性来限制应用程序访问本地资源

指定是启用还是禁用 Java 2 安全许可权检查。缺省情况下,不限制对本地资源的访问。即使启用了全局安全性,也可以选择禁用 Java 2 安全性。

如果已启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,并且应用程序需要的 Java 2 安全许可权超出缺省策略的授权,那么只有在应用程序的 app.policy 文件或 was.policy 文件中授予必需的许可权后,应用程序才能正常运行。应用程序生成 AccessControl 异常,这是由于它们没有所有必需的许可权。请参阅相关链接以了解有关 Java 2 安全性的更多信息。

缺省值: 已禁用
在应用程序被授予定制许可权时发出警告

指定在应用程序部署和应用程序启动时,如果应用程序被授予任何定制许可权,安全性运行时就发出警告。定制许可权是用户应用程序定义的许可权,而不是 Java API 许可权。Java API 许可权是 java.*javax.* 包中的许可权。

应用程序服务器支持管理策略文件。本产品提供了许多策略文件,其中有些是静态的,有些是动态的。动态策略是特定类型资源的许可权模板。在动态策略模板中,未定义代码库,也未使用相对代码库。实际的代码库是根据配置和运行时数据动态创建的。filter.policy 文件包含根据 J2EE 1.4 规范而不想让应用程序拥有的许可权列表。有关许可权的更多信息,请参阅有关 Java 2 安全策略文件的相关链接。

重要: 如果未启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,那么无法启用此选项。
缺省值: 已禁用
限制对资源认证数据的访问

启用此选项以限制应用程序对敏感的 Java 连接器体系结构(JCA)映射认证数据的访问。

当下列两种情况都成立时,请考虑启用此选项:
  • 已强制启用 Java 2 安全性。
  • 应用程序企业归档(EAR)文件中的 was.policy 文件已将 accessRuntimeClasses WebSphereRuntimePermission 许可权授予应用程序代码。例如,当 was.policy 文件包含下面这一行时,表示已将该许可权授予应用程序代码:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

限制对资源认证数据的访问选项将细粒度的 Java 2 安全许可权检查添加到 WSPrincipalMappingLoginModule 实现的缺省主体映射中。当启用了使用 Java 2 安全性来限制应用程序对本地资源的访问限制对资源认证数据的访问选项时,对于在进行 Java 认证和授权服务(JAAS)登录时直接使用 WSPrincipalMappingLoginModule 实现的 Java 2 Platform, Enterprise Edition(J2EE)应用程序来说,必须将显式的许可权授予这些应用程序。

缺省值: 已禁用
当前®域定义

指定活动用户资源库的当前设置。

此字段是只读的。

可用的域定义

指定可用的用户帐户存储库。

下拉列表中出现的选项包括:
  • 本地操作系统
  • 独立 LDAP 注册表
  • 独立定制注册表
设置为当前 [AIX Solaris HP-UX Linux Windows] [z/OS]

在配置用户资源库后将其启用。

[AIX Solaris HP-UX Linux Windows] 当作为 UNIX® 非 root 用户运行或者在多节点环境中运行时,LDAP 或定制用户注册表是必需的。

可以为下列其中一个用户资源库配置设置:
联合存储库
指定此设置以便在单一域之下的多个存储库中管理概要文件。域可以由下列标识组成:
  • 包含在基于文件的系统内置存储库中的标识
  • 包含在一个或多个外部存储库中的标识
  • 既包含在基于文件的内置存储库中也包含在一个或多个外部存储库中的标识
注: 只有具有管理员特权的用户才能查看联合存储库配置。
本地操作系统

[z/OS] 如果要将已配置的资源访问控制设施(RACF®)或与安全授权工具(SAF)一致的安全性服务器用作应用程序服务器用户注册表,那么指定此设置。

[AIX Solaris HP-UX Linux Windows] [iSeries] 在多节点环境中,或者在 UNIX 平台上作为非 root 用户运行时,不能使用“本地操作系统”。

[AIX Solaris HP-UX Linux Windows] 仅当使用单一机器上的域控制器或 Network Deployment 单元时,本地操作系统注册表才有效。在后一种情况中,不能将单元中的多个节点分布在多台机器上,在使用本地操作系统用户注册表时,这种配置是无效的。

独立 LDAP 注册表

当用户和组在外部 LDAP 目录中时,指定此设置以使用独立 LDAP 注册表设置。如果已启用安全性,在更改任何这些属性后,请转至安全性 > 全局安全性面板并单击应用确定以验证更改。

注: 由于支持多台 LDAP 服务器,所以此设置并未暗指一个 LDAP 注册表。
独立定制注册表
指定此设置以实现您自己的独立定制注册表,该注册表需实现 com.ibm.websphere.security.UserRegistry 接口。如果已启用安全性,在更改任何这些属性后,请转至“全局安全性”面板并单击应用确定以验证更改。
缺省值: 已禁用
配置...

选择此项以配置全局安全性设置。

Web 和 SIP 安全性

在“认证”下,展开“Web 和 SIP 安全性”以查看与下列各项的链接:

  • 常规设置
  • 单点登录(SSO)
  • SPNEGO Web 认证
  • 信任关联
常规设置

选择此项以指定 Web 认证设置。

单点登录(SSO)

选择此项以指定单点登录(SSO)的配置值。

借助 SSO 支持,一旦访问 WebSphere Application Server 资源(例如,HTML 文件、JavaServer Pages(JSP)文件、servlet、企业 bean)和 Lotus® Domino® 资源时,Web 用户就可以进行认证。

SPNEGO Web 认证

简单且受保护的 GSS-API 协商机制(SPNEGO)为 Web 客户端和服务器提供了一种方法来协商用于允许通信的 Web 认证协议。

信任关联

选择此项以指定信任关联的设置。信任关联用于将逆向代理服务器连接到应用程序服务器。

可以使用全局安全性设置或者定制域的设置。

注: 现在,建议不要将信任关联拦截器(TAI)用于 SPNEGO 认证。现在,通过 SPNEGO Web 认证面板更容易配置 SPNEGO。
RMI/IIOP 安全性

在“认证”下,展开 RMI/IIOP 安全性以查看与下列各项的链接:

  • CSIv2 入站通信
  • CSIv2 出站通信
CSIv2 入站通信

选择此项以指定接收到的请求的认证设置和此服务器使用对象管理组(OMG)公共安全互操作性(CGI)认证协议接受的连接的传输设置。

认证功能部件包括您可以同时使用的三层认证:
  • CSIv2 属性层。属性层可包含标识令牌,该标识令牌是已认证的上游服务器的标识。属性层的优先级最高,消息层次之,传输层最低。如果客户机发送所有三个层,那么只使用标识层。如果请求期间提供的信息只有 SSL 客户机证书,才将此证书用作标识。客户机从名称空间中检取可互操作的对象引用(IOR),并且从加标记的组件读取值,以确定需要为安全性使用哪台服务器。
  • CSIv2 传输层。传输层(这是最低的一层),可包含作为标识的安全套接字层(SSL)客户机证书。
  • [iSeries] [AIX Solaris HP-UX Linux Windows] CSIv2 消息层。消息层可包含用户标识和密码或者有截止日期的已认证令牌。
CSIv2 出站通信

选择此项以指定发送的请求的认证设置和此服务器使用对象管理组(OMG)公共安全互操作性(CGI)认证协议启动的连接的传输设置。

认证功能部件包括您可以同时使用的三层认证:
  • CSIv2 属性层。属性层可包含标识令牌,该标识令牌是已认证的上游服务器的标识。属性层的优先级最高,消息层次之,传输层最低。如果客户机发送所有三个层,那么只使用标识层。如果请求期间提供的信息只有 SSL 客户机证书,才将此证书用作标识。客户机从名称空间中检取可互操作的对象引用(IOR),并且从加标记的组件读取值,以确定需要为安全性使用哪台服务器。
  • CSIv2 传输层。传输层(这是最低的一层),可包含作为标识的安全套接字层(SSL)客户机证书。
  • [iSeries] [AIX Solaris HP-UX Linux Windows] CSIv2 消息层。消息层可包含用户标识和密码或者有截止日期的已认证令牌。
Java 认证和授权服务

在“认证”下,展开 Java 认证和授权服务以查看与下列各项的链接:

  • 应用程序登录
  • 系统登录
  • J2C 认证数据
应用程序登录

选择此项以定义供 JAAS 使用的登录配置。

请不要除去 ClientContainer、DefaultPrincipalMapping 和 WSLogin 这些登录配置,因为其他应用程序可能在使用它们。如果除去了这些配置,那么其他应用程序可能会失败。

系统登录

选择此项以定义供系统资源使用的 JAAS 登录配置,其中包括认证机制、主体映射和凭证映射。

J2C 认证数据

选择此项以指定 Java 认证和授权服务(JAAS)Java 2 连接器(J2C)认证数据的设置。

可以使用全局安全性设置或者定制域的设置。

LTPA

选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。

对于在服务器之间交换的认证信息进行加密涉及到轻量级第三方认证(LTPA)机制。

Kerberos 和 LTPA

选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。

对于在服务器之间交换的认证信息进行加密涉及到 Kerberos 机制。
注: 必须在配置 Kerberos 之后才能选择此选项。
Kerberos 配置

选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。

对于在服务器之间交换的认证信息进行加密涉及到 KRB5 的 LTPA 机制。

认证高速缓存设置

选择此项以设置认证高速缓存设置。

使用域限定的用户名

指定方法(例如 getUserPrincipal() 方法)返回的用户名由它们所在的安全性域限定。

安全域

使用“安全域”链接来配置用户应用程序的其他安全性配置。

例如,如果您希望对一组用户应用程序使用的用户注册表与全局级别使用的用户注册表不同,那么可以创建具有该用户注册表的安全性配置,并使此配置与该组应用程序相关联。这些附加的安全性配置可以与各种作用域(单元、集群/服务器和 SIBus)相关联。一旦安全性配置已经与一个作用域相关联,那么该作用域中的所有应用程序都将使用此安全性配置。请阅读多个安全域以了解更详细的信息。

对于每个安全性属性,可以使用全局安全性设置或者定制此域的设置。

外部授权提供程序

选择此项以指定是使用缺省授权配置还是使用外部授权提供程序。

外部提供程序必须根据 Java Authorization Contract for Containers(JACC)规范来处理 Java(TM) 2 Platform, Enterprise Edition(J2EE)授权。除非已将外部安全提供程序配置为 JACC 授权提供程序,否则请不要修改授权提供程序面板上的任何设置。

定制属性

选择此项以指定数据的“名称/值”对,其中,名称是属性关键字,值是一个字符串。




标有(在线)的链接要求访问因特网。

相关概念
相关任务
[AIX Solaris HP-UX Linux Windows] [iSeries]
相关参考
认证机制和到期
本地操作系统设置
独立 LDAP 注册表设置
[z/OS] 控件总结
独立定制注册表设置
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
[z/OS]
相关信息
[AIX Solaris HP-UX Linux Windows] [iSeries] 加密模块验证程序 FIPS 140-1 和 FIPS 140-2 预验证列表 (联机)


文件名: usec_secureadminappinfra.html