Ezen az oldalon tartományok biztonsági attribútumai konfigurálhatók, illetve a tartományok hozzárendelhetők cella erőforrásokhoz. Az egyes biztonsági attribútumok esetében használhatja a globális biztonsági beállításokat vagy személyre szabhatja a tartomány beállításait.
Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Biztonsági tartományok elemre. A Biztonsági tartományok gyűjteménye oldalon meglévő tartományokat választhat ki konfiguráláshoz, léthozhat új tartományokat vagy meglévőket másolhat.
A következő témakört elolvasva mélyebben megismerheti a többszörös biztonsági tartományok működését, és azok WebSphere Application Server jelenlegi változata általi támogatottságát: Több biztonsági tartomány
Megadja a tartomány egyedi nevét. Ez a név a kezdeti megadás után többet nem módosítható.
A tartomány nevének egyedinek kell lenni egy cellán belül, és nem tartalmazhat érvénytelen karaktereket.
Megadja a tartomány leírását.
A cellatopológia megjelenítéséhez válassza ezt a lehetőséget. Hozzárendelheti a biztonsági tartományt az egész cellához vagy kijelölhet egyes fürtöket, csomópontokat és szolgáltatásintegrációs buszokat a biztonsági tartományhoz.
Ha az Összes hatáskör lehetőséget választja, akkor a teljes cellatopológia megjelenik.
Ha a Hozzárendelt hatáskörök lehetőséget választja, akkor a cellatopológia a jelenlegi tartományhoz rendelt kiszolgálókkal és fürtökkel jelenik meg.
A kifejezetten hozzárendelt tartományok neve megjelenik az erőforrások mellett. Bejelölt jelölőnégyzetek jelzik a jelenleg a tartományhoz rendelt erőforrásokat. Kiválaszthat más erőforrásokat is, és az Alkalmaz vagy OK gombra kattintva hozzárendelheti őket a jelenlegi tartományhoz.
A bejelölés nélküli (tiltott) erőforrások nincsenek az aktuális tartományhoz rendelve, és előbb el kell őket távolítani egy másik tartományból, mielőtt a jelenlegihez engedélyezhetővé válnának.
Ha egy erőforrásnak nincsen kifejezetten hozzárendelt tartománya, akkor az a cellához rendelt erőforrást fogja használni. Ha a cellához nincs tartomány rendelve, akkor az erőforrás a globális beállításokat fogja használni.
A fürttagok nem rendelhetők egyedenként tartományokhoz; a teljes fürt azonos tartományt kell használjon.
Válassza az Alkalmazásbiztonság engedélyezése elemet a felhasználói alkalmazások biztonságának engedélyezéséhez vagy letiltásához. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
Ha ez a beállítás tiltott, akkor a biztonsági tartomány egyik EJB komponense és webalkalmazása sincs védve. Ezen erőforrások hozzáférhetőek felhasználó hitelesítés nélkül. Ha bejelöli a jelölőnégyzetet, azzal minden EJB és webalkalmazás számára kötelezővé teszi a J2EE biztonsági szolgáltatásainak használatát. A J2EE biztonság csak akkor kerül foganatosításra, ha a Globális biztonság engedélyezett a globális biztonsági konfigurációban (vagyis az alkalmazásbiztonság a globális szintű Globális biztonság engedélyezése nélkül nem kapcsolható be).
Engedélyezi az alkalmazások biztonságát a környezetben. A biztonság ezen típusa az alkalmazás elkülönítését, és az alkalmazás felhasználóinak hitelesítési követelményeit adja meg
A WebSphere Application Server korábbi kiadásaiban, ha a felhasználó engedélyezte a globális biztonságot, akkor az adminisztratív és az alkalmazás biztonság is engedélyezett lett. A WebSphere Application Server 6.1 változatban a globális biztonság korábbi megvalósítása adminisztratív biztonságra és alkalmazásbiztonságra volt felosztva, amelyek külön voltak engedélyezhetők.
A felosztás eredményként a WebSphere Application Server ügyfeleknek tudniuk kell, hogy az alkalmazásbiztonság tiltott-e a célkiszolgálón. Az adminisztratív biztonság alapértelmezésben engedélyezett. Az alkalmazásbiztonság alapértelmezésben tiltott. Az alkalmazásbiztonság engedélyezéséhez engedélyezni kell az adminisztratív biztonságot. Az alkalmazásbiztonság csak akkor lép hatályba, ha az adminisztratív biztonság engedélyezett.
Ha ez a beállítás tiltott, akkor a biztonsági tartomány egyik EJB komponense és webalkalmazása sincs védve. Ezen erőforrások hozzáférhetőek felhasználó hitelesítés nélkül. Ha bejelöli a jelölőnégyzetet, azzal minden EJB és webalkalmazás számára kötelezővé teszi a J2EE biztonsági szolgáltatásainak használatát. A J2EE biztonság csak akkor kerül foganatosításra, ha a Globális biztonság engedélyezett a globális biztonsági konfigurációban (vagyis az alkalmazásbiztonság a globális szintű Globális biztonság engedélyezése nélkül nem kapcsolható be).
Válassza ki a Java 2 biztonság használata elemet a Java 2 biztonság engedélyezéséhez vagy letiltásához tartomány szinten, vagy a Java 2 biztonsághoz kapcsolódó tulajdonságok hozzárendeléséhez vagy felvételéhez. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
Ez a választás a Java 2 biztonságot folyamat (JVM) szinten engedélyezi vagy tiltja, így minden alkalmazás (beleértve adminisztrátorit és felhasználóit is) engedélyezheti vagy letilthatja a Java 2 biztonságot.
A használandó globális biztonsági beállítások megadásához válassza ezt a lehetőséget.
A tartományban meghatározott beállítások megadásához, mint amilyenek az alkalmazás és Java 2 biztonságot engedélyező beállítások és a tartomány által minősített hitelesítési adatok válassza ezt a lehetőséget.
Kiválasztásával meghatározható a Java 2 biztonsági engedély ellenőrzés engedélyezése vagy tiltása. Alapértelmezésben a helyi erőforrásokhoz nem korlátozott a hozzáférés. Letilthatja a Java 2 biztonságot, még ha az alkalmazás biztonság engedélyezett is.
Amikor a Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében beállítás engedélyezett, és ha egy alkalmazásnak az alapértelmezett irányelvben megadottól több Java 2 biztonsági engedélyre van szüksége, akkor előfordulhat, hogy az elkelmezás nem fut sikeresem, amíg meg nem kapja a szükséges engedélyeket az alkalmazás app.policy vagy was.policy fájljában. Az igényelt engedélyekkel nem rendelkező alkalmazások AccessControl kivételeket idéznek elő.
Meghatározza, hogy alkalmazás telepítés és alkalmazás indítás során a biztonsági környezet figyelmeztetést hoz létre, ha az alkalmazások bármilyen egyéni engedélyt kapnak. Az egyéni engedélyek a felhasználói alkalmazások által meghatározott engedélyek, nem Java API engedélyek. A Java API engedélyek a java.* és a javax.* csomagokban meglévő angedélyek.
Az alkalmazáskiszolgáló támogatást nyújt az irányelv fájl kezeléshez. A termékben számos irányelv fájl található, egyik részük statikus, másik részük dinamikus. A dinamikus irányelv egy bizonyos erőforrás típusra vonatkozó engedélysablon. A dinamikus engedélysablonban nincs kódalap meghatározva és nem is használt relatív kódalap. A valós kódalap a konfigurációból és futási adatokból dinamikusan jön létre. A filter.policy fájl a J2EE 1.4 specifikáció szerint tartalmazza az engedélyek listáját, melyeket a felhasználó nem kíván megadni az alkalmazásoknak.
Ha a Java 2 biztonság nincs engedélyezve, akkor ez a beállítás tiltott.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
A Hozááférés tiltása erőforrás hitelesítési adatokhoz lehetőség finoman szabályozható Java 2 engedély ellenőrzést ad a WSPrincipalMappingLoginModule megvalósítás alapértelmezett azonosítókiosztásához. Engedélyezett Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében és Hozzáférés tiltása erőforrás hitelesítési adatokhoz beállítások esetén kifejezett engedélyt kell adnia a Java 2 Platform, Enterprise Edition (J2EE) alkalmazásoknak, melyek a Java hitelesítési és jogosultsági szolgáltatás (JAAS) bejelentkezésnél közvetlenül a WSPrincipalMappingLoginModule megvalósítást használják.
Alapértelmezett: | Tiltott |
Ez a rész lehetővé teszi a biztonsági tartomány felhasználói nyilvántartásának konfigurálását. A tartományszinten használt egyesített lerakatot kivéve külön konfigurálhat bármilyen nyilvántartást. Az egyesített lerakat csak globális szinten konfigurálható, de tartomány szinten is használható.
Nyilvántartás tartomány szintű konfigurálása során saját tartománynevet határozhat meg a nyilvántartásnak. A tartománynév megkülönbözteti a felhasználói nyilvántartásokat egymástól. A tartománynév több helyen is előfordul: a Java ügyfél bejelentkezés paneljén felszólítja a felhasználót, a hitelesítési gyorsítótárban és natív hitelesítés esetén.
Globális konfigurációs szinten a rendszer hozza létre a tartományt a felhasználói nyilvántartáshoz. A WebSphere Application Server előző kiadásaiban csak egy felhasználói nyilvántartás kerül konfigurálásra a rendszerben. Többszörös biztonsági tartományok esetén a rendszeren több nyilvántartás is beállítható. A biztonsági tartománynak állítson be saját tartománynevet, hogy egyedi legyen a tartományok közt. Azt is választhatja, hogy a rendszer hozzon létre egyedi tartománynevet, hogy bizonyosan egyedi legyen. Utóbbi esetben a tartománynév a használt nyilvántartáson alapul.
A megbízhatóság hozzárendelés beállításainak megadásához válassza ezt a lehetőséget. Megbízhatóság hozzárendeléssel fordított proxykiszolgálók csatlakoztathatók alkalmazáskiszolgálókhoz.
Az megbízhatóság hozzárendelés a IBM WebSphere Application Server biztonság és más harmadik féltől származó biztonsági kiszolgálók integrációját teszi lehetővé. Tehát egy fordított proxykiszolgáló előfeldolgozó hitelesítés kiszolgálóként szerepelhet, míg a termék saját hitelesítési irányelvét alkalmazza az eredményül kapott és a proxykiszolgáló által átadott hitelesítési adatokra.
A Tivoli Access Manager megbízható társítási eljárás elfogói csak a globális szinten állíthatók be. A tartomány konfiguráció is használhatja őket, de az megbízhatóság hozzárendelés elfogó változatának azonosnak kell lennie. A Tivoli Access Manager megbízható társítási eljárás elfogóinak csak egy példánya lehet a rendszerben.
A fordított proxykiszolgálók tanúsítvány információinak megadásához vagy eléréséhez válassza ezt a lehetőséget.
A IBM WebSphere Application Server biztonság és más harmadik féltől származó biztonsági kiszolgálók integrációjához válassza ezt a lehetőséget. Tehát egy fordított proxykiszolgáló előfeldolgozó hitelesítés kiszolgálóként szerepelhet, míg a termék saját hitelesítési irányelvét alkalmazza az eredményül kapott és a proxykiszolgáló által átadott hitelesítési adatokra.
Az Egyszerű és védett GSS-API egyeztetés (SPNEGO) webes hitelesítési mechanizmus beállításait határozza meg.
Az SPNEGO beállítását webes erőforrás hitelesítéshez lehetővé tevő SPNEGO webes hitelesítés tartomány szinten konfigurálható.
A Távoli módszerhívás Internet Inter-ORB Protokoll fölött (RMI/IIOP) beállításait határozza meg.
Az ORB kezeli az ügyfelek és a kiszolgálók közötti interakciókat az Internet InterORB Protocol (IIOP) segítségével. Lehetővé teszi az ügyfelek számára a kérések küldését és fogadását a kiszolgálóktól egy szétosztott hálózati környezetben.
Ha tartomány szinten konfigurálja ezen attribútumokat, akkor kényelmi szempontokból az RMI/IIOP globális szintű biztonsági konfiguráció kerül másolásra. Ebben megváltoztathatók azon attribútumok, amelyeknek tartomány szinten eltérőnek kell lenniük. A CSIv2 bejövő kommunikáció Szállítás rétegbeállítása azonos kell legyen mind globális mind tartomány szinten. Ha különböznek, akkor a tartomány szintű attribútumok kerülnek alkalmazásra a folyamat összes alkalmazása esetén.
Ha egy folyamat eltérő tartományban lévő másik folyamattal kommunikál, akkor az LTPA hitelesítés és a terjesztési jelsorok a lefelé irányuló kiszolgálók felé továbbításra kerülnek, kivéve ha a kiszolgáló fel van sorolva a kimenő megbízható tartományok listájában. Ez a Megbízható hitelesítési tartományok - kimenő hivatkozással tehető meg a CSIv2 kimenő kommunikáció panelen.
A kiszolgáló által Objektumkezelési csoport (OMG) Közös biztonságos együttműködés (CSI) hitelesítési protokollal kapott kérések hitelesítési beállításainak és ugyanezen protokollal elfogadott kapcsolatok szállítási beállításainak megadásához válassza ezt a lehetőséget.
A WebSphere Application Server lehetővé teszi Internet Inter-ORB Protokoll (IIOP) hitelesítés megadását bejövő és kimenő hitelesítési kérésekhez egyaránt. Bejövő kérések esetén megadhatja az elfogadott hitelesítési típust is, például az alapvető hitelesítést.
A kiszolgáló által Objektumkezelési csoport (OMG) Közös biztonságos együttműködés (CSI) hitelesítési protokollal küldött kérések hitelesítési beállításainak és ugyanezen protokollal kezdeményezett kapcsolatok szállítási beállításainak megadásához válassza ezt a lehetőséget.
A WebSphere Application Server lehetővé teszi Internet Inter-ORB Protokoll (IIOP) hitelesítés megadását bejövő és kimenő hitelesítési kérésekhez egyaránt. Kimenő kérések esetében megadhat olyan tulajdonságokat, mint például hitelesítés típusa, azonosság-érvényesítés vagy lefelé irányuló kiszolgálók kéréseihez használt bejelentkezési konfigurációk.
Ezzel a lehetőséggel JAAS által használt bejelentkezési konfigurációkat határozhat meg.
A JAAS alkalmazás bejelentkezések, a JAAS rendszer bejelentkezések és a JAAS J2C hitelesítési álnevek mind tartományi szinten konfigurálhatók. Alapértelmezésben a rendszer alkalmazásai hozzáférnek a globális szinten konfigurált JAAS bejelentkezésekhez. A biztonsági futási környezet először tartományszinten keresi a JAAS bejelentkezéseket. Ha nem találja azokat, akkor megnézi a globális biztonsági konfigurációt is. Ezen JAAS bejelentkezéseket csak akkor konfigurálja tartományokhoz, ha kifejezetten a biztonsági tartomány alkalmazásainak szeretne bejelentkezést megadni.
JAAS és egyéni tulajdonságok esetében egy tartomány globális attribútumainak személyre szabása után azok továbbra is felhasználhatók felhasználói alkalmazások által.
Ne távolítsa el a ClientContainer, DefaultPrincipalMapping és WSLogin bejelentkezési konfigurációkat, mert más alkalmazásoknak szükségük lehet rájuk. Ha ezek a konfigurációk eltávolításra kerülnek, akkor egyes alkalmazások meghibásodhatnak.
A tartományban meghatározott beállítások megadásához, mint amilyenek az alkalmazás és Java 2 biztonságot engedélyező beállítások és a tartomány által minősített hitelesítési adatok válassza ezt a lehetőséget.
A JAAS rendszer bejelentkezések konfigurációs beállításait határozza meg. Használhatja a globális biztonsági beállításokat vagy személyre szabhatja egy tartomány konfigurációs beállításait.
Válassza ezt a lehetőséget a rendszer erőforrásai által használt JAAS bejelentkezési konfigurációk meghatározásához, beleértve a hitelesítési mechanizmust, azonosítókiosztást és hitelesítési adatok kiosztását.
A JAAS J2C hitelesítési adatok beállításait határozza meg. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
A Java 2 Platform, Enterprise Edition (J2EE) Connector hitelesítési adat bejegyzéseket erőforrás illesztők és Java DataBase Connectivity (JDBC) adatforrások használják.
A tartományban meghatározott beállítások megadásához, mint amilyenek az alkalmazás és Java 2 biztonságot engedélyező beállítások és a tartomány által minősített hitelesítési adatok válassza ezt a lehetőséget.
Megadja a különféle tartomány szinten alkalmazandó gyorsítótár beállításokat.
A hitelesítés szolgáltató beállításait határozza meg. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
Tartományszinten meghatározhat egy külső, harmadik féltől származó JACC (Java jogosultsági szerződés tárolókhoz) szolgáltatót. A Tivoli Access Manager JACC szolgáltatója csak globális szinten konfigurálható. Biztonsági tartományok továbbra is használhatják, feltéve hogy a hitelesítés szolgáltatót nem írják felül a más JACC szolgáltatóval vagy a beépített natív hitelesítéssel.
Válassza az Alapértelmezett hitelesítés vagy a Külső hitelesítés JAAC szolgáltatóval lehetőségek valamelyikét. A Beállítás gomb csak a Külső hitelesítés JAAC szolgáltatóval kiválasztásakor engedélyezett.
A Rendszer hitelesítési szolgáltatás (SAF) esetén, ha beállítja a SAF profil előtagot tartomány szinten, akkor a kiszolgáló szintjén kerül alkalmazásra, így minden alkalmazás (adminisztrációs és felhasználói egyaránt) engedélyezi vagy letiltja azt a kiszolgálón.
A z/OS beállításait határozza meg. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
Ezen az oldalon tetszőleges név-érték párokat adhat meg, ahol a név egy tulajdonság kulcsa, az érték pedig egy karaktersorozat.
Olyan egyéni tulajdonságok beállítása tartomány szinten, amik újak vagy eltérnek a globális szint beállításairól. Alapértelmezésben a globális biztonság összes egyéni tulajdonsága elérhető a rendszer összes alkalmazása által. A biztonsági futtatókód először tartomány szinten ellenőrzi az egyéni tulajdonságokat. Ha nem talál ilyet, akkor megpróbálja beszerezni az egyéni tulajdonságokat a globális biztonsági konfigurációból.
Kattintson az Alapértelmezett irányelvkötések lehetőségre a tartomány alapértelmezett szolgáltatói és ügyfélkötéseinek beállításához.
A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.