配置安全域

使用此页面来配置域的安全性属性以及为此域分配单元资源。对于每个安全性属性,可以使用全局安全性设置或者定制此域的设置。

要查看此管理控制台页面,请单击安全性 > 安全域。在“安全域集合”页面上,选择要配置的现有域、创建新的域或者复制现有域。

请阅读多个安全域以更好地了解多个安全域的含义以及在此版本的 WebSphere® Application Server 中如何支持多个安全域。

“配置”选项卡

名称

为域指定唯一名称。在初始提交之后不能编辑此名称。

域名在单元中必须是唯一的,并且不能包含无效字符。

描述

指定域的描述。

指定的作用域

选择此项以显示单元拓扑。可以将安全域分配给整个单元,或者选择要包括在此安全域中的特定集群、节点和服务集成总线。

如果您选择所有资源,那么将显示整个单元拓扑。

如果您选择所有已分配的资源,那么将显示单元拓扑以及已分配给当前域的那些服务器和集群。

显式指定的域的名称将显示在资源旁边。选中的复选框指示当前已对该域分配了资源。还可以选择其他资源并单击应用确定以将它们分配给当前域。

未选中(被禁用)的资源指示未将它分配给当前域,并且必须将它从另一个域中除去之后才能对当前域启用此资源。

如果没有为资源显式指定域,那么此资源将使用为单元指定的域。如果没有为单元指定域,那么此资源将使用全局设置。

不能将集群成员单独分配给域;整个集群将使用同一个域。

应用程序安全性:

选择启用应用程序安全性以对用户应用程序启用或禁用安全性。可以使用全局安全性设置或者定制域的设置。

如果禁用了此选项,那么安全域中的所有 EJB 和 Web 应用程序将不再受保护。授予对这些资源的访问权而不进行用户认证。如果启用了此选项,那么将对安全域中的所有 EJB 和 Web 应用程序强制启用 J2EE 安全性。仅当在全局安全性配置中启用了全局安全性时才能强制启用 J2EE 安全性。即,如果不首先在全局级别启用全局安全性,就不能启用应用程序安全性。

启用应用程序安全性

在环境中对应用程序启用安全性。这种类型的安全性为认证应用程序用户提供应用程序隔离和需求。

在 WebSphere Application Server 的先前发行版中,当用户启用了全局安全性时,就同时启用了管理安全性和应用程序安全性。在 WebSphere Application Server V6.1 中,先前的全局安全性概念被划分成管理安全性和应用程序安全性,可以单独启用每一种安全性。

由于进行了此划分,因此 WebSphere Application Server 客户机必须知道目标服务器中是否禁用了应用程序安全性。缺省情况下将启用管理安全性。缺省情况下将禁用应用程序安全性。要启用应用程序安全性,必须启用管理安全性。仅当启用了管理安全性时应用程序安全性才有效。

如果禁用了此选项,那么安全域中的所有 EJB 和 Web 应用程序将不再受保护。授予对这些资源的访问权而不进行用户认证。如果启用了此选项,那么将对安全域中的所有 EJB 和 Web 应用程序强制启用 J2EE 安全性。仅当在全局安全性配置中启用了全局安全性时才能强制启用 J2EE 安全性。即,如果不首先在全局级别启用全局安全性,就不能启用应用程序安全性。

Java 2 安全性:

选择使用 Java™ 2 安全性,以实现在域级别启用或禁用 Java 2 安全性或者指定或添加与 Java 2 安全性相关的属性。可以使用全局安全性设置或者定制域的设置。

此选项将在进程(JVM)级别启用或禁用 Java 2 安全性,以便所有应用程序(管理应用程序和用户应用程序)都可以启用或禁用 Java 2 安全性。

使用全局安全性设置

选择此项以指定所使用的全局安全性设置。

为此域进行定制

选择此项以指定在域中定义的设置,例如,用于启用应用程序和 Java 2 安全性以及使用域限定认证数据的选项。

使用 Java 2 安全性来限制应用程序访问本地资源

选择此项以指定是启用还是禁用 Java 2 安全许可权检查。缺省情况下,不限制对本地资源的访问。即使启用了全局安全性,也可以选择禁用 Java 2 安全性。

如果已启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,并且应用程序需要的 Java 2 安全许可权超出缺省策略的授权,那么只有在应用程序的 app.policy 文件或 was.policy 文件中授予必需的许可权后,应用程序才能正常运行。应用程序生成 AccessControl 异常,这是由于它们没有所有必需的许可权。

在应用程序被授予定制许可权时发出警告

指定在应用程序部署和应用程序启动时,如果应用程序被授予任何定制许可权,安全性运行时就发出警告。定制许可权是用户应用程序定义的许可权,而不是 Java API 许可权。Java API 许可权是 java.*javax.* 包中的许可权。

应用程序服务器支持管理策略文件。本产品提供了许多策略文件,其中有些是静态的,有些是动态的。动态策略是特定类型资源的许可权模板。在动态策略模板中,未定义代码库,也未使用相对代码库。实际的代码库是根据配置和运行时数据动态创建的。filter.policy 文件包含根据 J2EE 1.4 规范而不想让应用程序拥有的许可权列表。

重要: 如果未启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,那么无法启用此选项。
限制对资源认证数据的访问

如果尚未启用 Java 2 安全性,那么此选项处于禁用状态。

当下列两种情况都成立时,请考虑启用此选项:
  • 已强制启用 Java 2 安全性。
  • 应用程序企业归档(EAR)文件中的 was.policy 文件已将 accessRuntimeClasses WebSphereRuntimePermission 许可权授予应用程序代码。例如,当 was.policy 文件包含下面这一行时,表示已将该许可权授予应用程序代码:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

限制对资源认证数据的访问选项将细粒度的 Java 2 安全许可权检查添加到 WSPrincipalMappingLoginModule 实现的缺省主体映射中。当启用了使用 Java 2 安全性来限制应用程序对本地资源的访问限制对资源认证数据的访问选项时,对于在进行 Java 认证和授权服务(JAAS)登录时直接使用 WSPrincipalMappingLoginModule 实现的 Java 2 Platform, Enterprise Edition(J2EE)应用程序来说,必须将显式的许可权授予这些应用程序。

缺省值: 已禁用
用户域:

此部分使您能够为安全域配置用户注册表。可以单独配置除了在域级别使用的联合注册表之外的任何注册表。只能在全局级别配置联合存储库,但是可以在域级别使用联合存储库。

在域级别配置注册表时,可以选择为注册表定义您自己的域名。通过域名可将一个用户注册表域与另一个用户注册表区分开。域名可用于多个位置 - 在 Java 客户机登录面板中用来提示用户,用于认证高速缓存中,还可以在使用本机授权时使用域名。

在全局配置级别,系统将为用户注册表创建域。在 WebSphere Application Server 的先前发行版中,系统中将只配置一个用户注册表。当您具有多个安全域时,可以在系统中配置多个注册表。对于在这些域中是唯一的那些域,可为安全域配置您自己的域名。如果确定此域名唯一的,那么还可以选择系统以创建唯一的域名。在后一种情况下,域名基于所使用的注册表。

信任关联:

选择此项以指定信任关联的设置。信任关联用于将逆向代理服务器连接到应用程序服务器。

通过信任关联可以将 IBM® WebSphere Application Server 安全性与第三方安全服务器进行集成。更确切地说,当产品将它自已的授权策略应用到由代理服务器传递的结果凭证时,逆向代理服务器可以充当前端认证服务器。

只能在全局级别配置 Tivoli® Access Manager 的信任关联拦截器。域配置也可以使用它们,但是不能具有不同版本的信任关联拦截器。系统中只能存在 Tivoli Access Manager 的信任关联拦截器的一个实例。

注: 建议不要将信任关联拦截器(TAI)用于简单且受保护的 GSS-API 协商机制(SPNEGO)认证。通过 SPNEGO Web 认证面板更容易配置 SPNEGO。
拦截器

选择此项以访问或指定逆向代理服务器的信任信息。

启用信任关联

选择此项以便能够将 IBM WebSphere Application Server 安全性与第三方安全服务器进行集成。更确切地说,当产品将它自已的授权策略应用到由代理服务器传递的结果凭证时,逆向代理服务器可以充当前端认证服务器。

SPNEGO Web 认证:

将简单且受保护的 GSS-API 协商机制(SPNEGO)的设置指定为 Web 认证机制。

可以在域级别配置 SPNEGO Web 认证,它使您能够为 Web 资源认证配置 SPNEGO。

注: 在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器(TAI),TAI 使用“简单且受保护的 GSS-API 协商机制”(SPNEGO)来安全地协商向安全资源发出 HTTP 请求并对这些请求进行认证。现在,WebSphere Application Server 7.0 中已不推荐使用此功能。已经进行了 SPNEGO Web 认证,以便动态重新装入 SPNEGO 过滤器以及对应用程序登录方法启用回退。
RMI/IIOP 安全性:

指定基于因特网 ORB 间协议的远程方法调用(RMI/IIOP)的设置。

对象请求代理(ORB)使用因特网 ORB 间协议(IIOP)来管理客户机与服务器之间的交互。在分布式网络环境中,它支持客户机发出请求并从服务器接收响应。

当您在域级别配置这些属性时,为了方便起见,将复制全局级别的 RMI/IIOP 安全性配置。可以更改那些需要在域级别互不相同的属性。对于全局级别和域级别,用于 CSIv2 入站通信的传输层设置应相同。如果它们不相同,那么会将域级别的属性应用于进程中的所有应用程序。

当一个进程与另一个具有不同的域的进程通信时,LTPA 认证和传播令牌将被传播至下游服务器,除非该服务器列示在出站可信域列表中。这可以通过使用 CSIv2 出站通信面板上的可信认证域 - 出站链接来实现。

CSIv2 入站通信

选择此项以指定接收到的请求的认证设置和此服务器使用对象管理组(OMG)公共安全互操作性(CGI)认证协议接受的连接的传输设置。

WebSphere Application Server 允许您同时对入站和出站认证请求指定因特网 ORB 间协议(IIOP)认证。对于入站连接,可指定接受认证的类型,如基本认证。

CSIv2 出站通信

选择此项以指定发送的请求的认证设置和此服务器使用对象管理组(OMG)公共安全互操作性(CGI)认证协议启动的连接的传输设置。

WebSphere Application Server 允许您同时对入站和出站认证请求指定因特网 ORB 间协议(IIOP)认证。对于出站请求,可指定用于对下游服务器的请求的属性(如认证类型)、标识声明或登录配置。

JAAS 应用程序登录

选择此项以定义供 JAAS 使用的登录配置。

JAAS 应用程序登录、JAAS 系统登录和 JAAS J2C 认证数据别名都可以在域级别进行配置。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JAAS 登录。安全性运行时首先会在域级别检查 JAAS 登录。如果未找到它们,就会接着在全局安全性配置中检查它们。仅当需要指定供安全域中的应用程序独占使用的登录时,才在域中配置任何这些 JAAS 登录。

仅对于 JAAS 和定制属性,只要为域定制了全局属性,用户应用程序仍然可以使用这些全局属性。

请不要除去 ClientContainer、DefaultPrincipalMapping 和 WSLogin 这些登录配置,因为其他应用程序可能在使用它们。如果除去了这些配置,那么其他应用程序可能会失败。

使用全局登录或特定于域的登录

选择此项以指定在域中定义的设置,例如,用于启用应用程序和 Java 2 安全性以及使用域限定认证数据的选项。

JAAS 系统登录:

指定 JAAS 系统登录的配置设置。可以使用全局安全性设置或者定制域的配置设置。

系统登录

选择此项以定义供系统资源使用的 JAAS 登录配置,其中包括认证机制、主体映射和凭证映射。

JAAS J2C 认证数据:

指定 JAAS J2C 认证数据的设置。可以使用全局安全性设置或者定制域的设置。

Java 2 Platform, Enterprise Edition(J2EE)连接器认证数据条目由资源适配器和 Java 数据库连接(JDBC)数据源使用。

使用全局条目或特定于域的条目

选择此项以指定在域中定义的设置,例如,用于启用应用程序和 Java 2 安全性以及使用域限定认证数据的选项。

认证机制属性:

指定必须在域级别应用的各种高速缓存设置。

  • 认证高速缓存设置 - 用来指定认证高速缓存设置。在此面板上指定的配置仅适用于此域。
  • LTPA 超时 - 可以在域级别配置不同的 LTPA 超时值。缺省超时值是 120 分钟,此值是在全局级别设置的。如果在域级别设置了 LTPA 超时,那么将使用此到期时间来创建在访问用户应用程序时在安全域中创建的任何令牌。
  • 使用域限定的用户名 - 当启用了此选项时,将使用安全域(security domain)中的应用程序所使用的安全域(security realm,用户注册表)来限定由诸如 getUserPrincipal( ) 等方法返回的用户名。
授权提供程序:

指定授权提供程序的设置。可以使用全局安全性设置或者定制域的设置。

可以在域级别配置外部的第三方 JACC(Java Authorization Contract for Containers)提供程序。只能在全局级别配置 Tivoli Access Manager 的 JACC 提供程序。如果安全域不使用另一个 JACC 提供程序或者内置本机授权来覆盖授权提供程序,那么这些安全域仍然可以使用该 JACC 提供程序。

选择缺省授权或者使用 JAAC 提供程序进行外部授权。仅当选择了使用 JAAC 提供程序进行外部授权时,才会启用配置按钮。

[z/OS] 对于系统授权工具(SAF)授权,如果在域级别设置 SAF 概要文件前缀,那么就会在服务器级别应用,以便所有应用程序(管理应用程序和用户应用程序)在该服务器中都将对其启用或禁用。

z/OS 安全性选项:

指定 z/OS® 的设置。可以使用全局安全性设置或者定制域的设置。

启用应用程序服务器与 z/OS 线程标识同步 [z/OS]

选择此项以指示当应用程序编码为使用线程同步功能时,是否应启用操作系统线程标识以与应用程序服务器运行时中使用的 Java 2 Platform, Enterprise Edition(J2EE)标识同步。

将操作系统标识与 J2EE 标识同步将导致操作系统标识与已认证的调用者标识同步,或者与 servlet 或 Enterprise JavaBeans™(EJB)文件中授权的运行方式标识同步。这种同步或关联意味着 z/OS 系统服务请求(例如对文件的访问)使用调用者标识或安全角色标识,而不是使用服务器区域标识。

如果在域级别设置此值,那么就会在服务器级别应用,以便所有应用程序(管理应用程序和用户应用程序)在该服务器中都将对其启用或禁用。

定制属性

选择此项以指定数据的“名称/值”对,其中,名称是属性关键字,值是一个字符串。

在域级别设置新的定制属性或者设置与全局级别的定制属性不同的定制属性。缺省情况下,系统中的所有应用程序都可以访问全局安全性配置中的所有定制属性。安全性运行时代码首先会在域级别检查定制属性。如果未找到定制属性,那么它会尝试从全局安全性配置中获得定制属性。

Web Service 绑定

单击缺省策略集绑定以设置域的缺省提供程序和客户机绑定。




标有(在线)的链接要求访问因特网。

相关概念
相关参考
相关信息


文件名: usec_sec_domains_edit.html