Ezen a panelen az adminisztrációt és az alapértelmezett alkalmazásbiztonsági irányelvet konfigurálhatja. Ez a biztonsági konfiguráció az összes adminisztratív funkció biztonsági irányelvére vonatkozik, továbbá felhasználói alkalmazások alapértelmezett biztonsági irányelve. Biztonsági tartományok adhatók meg, hogy felhasználói alkalmazások részére felül lehessen bírálni és személyre lehessen szabni a biztonsági irányelveket.
Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Globális biztonság elemre.
A biztonság befolyásolja az alkalmazások
teljesítményét. A teljesítményre vonatkozó hatás az alkalmazás terhelési
jellemzőitől függően eltérő mértékű lehet. Először meg kell határozni az
alkalmazásokra vonatkozó biztonsági szint engedélyezését, majd meg kell
mérni a biztonság hatását az alkalmazások teljesítményére.
Biztonság beállításakor érvényesítsen minden módosítást a Felhasználói nyilvántartás vagy a Hitelesítési mechanizmusok paneleken. A felhasználói nyilvántartás beállítások érvényesítéséhez kattintson az Alkalmaz gombra. A rendszer megpróbálja hitelesíteni a kiszolgáló azonosítót vagy (internalServerID használata esetén) érvényesíteni az adminisztrátori azonosítót a konfigurált felhasználói nyilvántartáshoz. A felhasználói nyilvántartás beállítások adminisztrációs biztonság engedélyezése utáni érvényesítésével elkerülhetők a kiszolgáló első újraindításakor fellépő problémák.
Az alapvető adminisztrációs és alkalmazás biztonsági beállítások konfigurációját lehetővé tévő varázslót indít. Ez a folyamat az adminisztrációs feladatokat és alkalmazásokat a felhatalmazott felhasználókra korlátozza.
A varázsló segítségével alkalmazás biztonság, erőforrás vagy Java 2 Connector (J2C) biztonság és felhasználói nyilvántartás állítható be. Beállítható meglévő nyilvántartás, valamint engedélyezhető adminisztrációs, alkalmazás- és erőforrás biztonság.
A varázslóval elvégzett módosítások alkalmazásakor az adminisztrációs biztonság alapértelmezésben bekapcsolt.
Az alkalmazáskiszolgáló aktuális biztonsági beállításait összegyűjtő és megjelenítő jelentést állít elő. Az információk a központi biztonsági beállításokkal, az védelem felhasználókkal és csoportokkal, a CORBA elnevezési szerepekkel és a cookie védelemmel kapcsolatban kerülnek összegyűjtésre. Többszörös biztonsági tartományok beállítása esetén a jelentés az egyes tartományokhoz rendelt biztonsági konfigurációkat jeleníti meg.
A jelentés jelenlegi korlátja, hogy nem jeleníti meg az alkalmazásszintű biztonsági információkat. A jelentés a Java Message Service (JMS), a busz és a webszolgáltatás biztonság információit sem jelzi.
Meghatározza az adminisztrációs biztonság engedélyezését az alkalmazáskiszolgáló tartományra. Az adminisztrációs biztonság a felhasználóktól megkívánja a hitelesítést az alkalmazáskiszolgáló adminisztrációs irányításának megszerzése előtt.
További információkért tekintse meg az adminisztrátori szerepek és hitelesítés kapcsolódó hivatkozásait.
Biztonság engedélyezésekor állítsa be a hitelesítési mechanizmus konfigurációt és adjon meg egy érvényes felhasználói azonosítót és jelszót (vagy internalServerID szolgáltatás használatakor egy érvényes adminisztrátori azonosítót) a választott nyilvántartás konfigurációban.
Ha a felhasználói nyilvántartás Helyi OS, akkor csak a z/OS indított feladat beállítást adhatja meg.
Probléma esetén, például ha a kiszolgáló nem indul a biztonsági tartományon belüli biztonság engedélyezése után, szinkronizáljon újra minden fájlt a cellától a csomópontig. A fájlok újraszinkronizálásához futtassa a csomópontról a következő parancsot: syncNode -username felhasználói_azonosító -password felhasználói_jelszó. A parancs a telepítéskezelőhöz kapcsolódik és minden fájlt újraszinkronizál.
Ha a kiszolgáló adminisztrációs biztonság
engedélyezése után nem indul újra, akkor tilthatja a biztonságot. Az
alkalmazáskiszolgáló_gyökér/bin
könyvtárban futtassa a wsadmin -conntype NONE
parancsot. A wsadmin> parancssorban írja be a
securityoff parancsot, majd a visszatéréshez írja be
az exit parancsot. Indítsa újra a kiszolgálót
tiltott biztonsággal, hogy ellenőrizhesse az adminisztrációs konzolon
keresztül a helytelen beállításokat.
Helyi operációs rendszer
felhasználói nyilvántartást használók: Aktív felhasználói
nyilvántartásként a Helyi operációs rendszer lehetőséget
választva nem szükséges jelszót megadni a felhasználói nyilvántartás
beállításban.
Alapértelmezett: | Engedélyezett |
Engedélyezi az alkalmazások biztonságát a környezetben. A biztonság ezen típusa az alkalmazás elkülönítését, és az alkalmazás felhasználóinak hitelesítési követelményeit adja meg
A WebSphere Application Server korábbi kiadásaiban, ha a felhasználó engedélyezte a globális biztonságot, akkor az adminisztratív és az alkalmazás biztonság is engedélyezett lett. A WebSphere Application Server 6.1 változatban a globális biztonság korábbi megvalósítása adminisztratív biztonságra és alkalmazásbiztonságra oszlik, amelyek külön engedélyezhetők.
A felosztás eredményként a WebSphere Application Server ügyfeleknek tudniuk kell, hogy az alkalmazásbiztonság tiltott-e a célkiszolgálón. Az adminisztratív biztonság alapértelmezésben engedélyezett. Az alkalmazásbiztonság alapértelmezésben tiltott. Az alkalmazásbiztonság engedélyezéséhez engedélyezni kell az adminisztratív biztonságot. Az alkalmazásbiztonság csak akkor lép hatályba, ha az adminisztratív biztonság engedélyezett.
Alapértelmezett: | Tiltott |
Meghatározza a Java 2 biztonsági engedély ellenőrzés engedélyezését vagy tiltását. Alapértelmezésben a helyi erőforrásokhoz nem korlátozott a hozzáférés. Letilthatja a Java 2 biztonságot, még ha az alkalmazás biztonság engedélyezett is.
Amikor a Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében beállítás engedélyezett, és ha egy alkalmazásnak az alapértelmezett irányelvben megadottól több Java 2 biztonsági engedélyre van szüksége, akkor előfordulhat, hogy az elkelmezás nem fut sikeresem, amíg meg nem kapja a szükséges engedélyeket az alkalmazás app.policy vagy was.policy fájljában. Az igényelt engedélyekkel nem rendelkező alkalmazások AccessControl kivételeket idéznek elő. További információkat a Java 2 biztonságról a kapcsolódó hivatkozásokban talál.
Alapértelmezett: | Tiltott |
Meghatározza, hogy alkalmazás telepítés és alkalmazás indítás során a biztonsági környezet figyelmeztetést hoz létre, ha az alkalmazások bármilyen egyéni engedélyt kapnak. Az egyéni engedélyek a felhasználói alkalmazások által meghatározott engedélyek, nem Java API engedélyek. A Java API engedélyek a java.* és a javax.* csomagokban meglévő angedélyek.
Az alkalmazáskiszolgáló támogatást nyújt az irányelv fájl kezeléshez. A termékben számos irányelv fájl található, egyik részük statikus, másik részük dinamikus. A dinamikus irányelv egy bizonyos erőforrás típusra vonatkozó engedélysablon. A dinamikus engedélysablonban nincs kódalap meghatározva és nem is használt relatív kódalap. A valós kódalap a konfigurációból és futási adatokból dinamikusan jön létre. A filter.policy fájl a J2EE 1.4 specifikáció szerint tartalmazza az engedélyek listáját, melyeket a felhasználó nem kíván megadni az alkalamzásoknak. További információkat az engedélyekről, a Java 2 biztonsági irányelvfájlokról szóló kapcsolódó hivatkozásokban talál.
Alapértelmezett: | Tiltott |
A beállítás engedélyezésével az alkalmazások hozzáférése az érzékeny Java Connector Architecture (JCA) kiosztás hitelesítési adatokhoz tiltott.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
A Hozááférés tiltása erőforrás hitelesítési adatokhoz lehetőség finoman szabályozható Java 2 engedély ellenőrzést ad a WSPrincipalMappingLoginModule megvalósítás alapértelmezett azonosítókiosztásához. Engedélyezett Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében és Hozzáférés tiltása erőforrás hitelesítési adatokhoz beállítások esetén kifejezett engedélyt kell adnia a Java 2 Platform, Enterprise Edition (J2EE) alkalmazásoknak, melyek a Java hitelesítési és jogosultsági szolgáltatás (JAAS) bejelentkezésnél közvetlenül a WSPrincipalMappingLoginModule megvalósítást használják.
Alapértelmezett: | Tiltott |
Megadja az aktív felhasználói lerakatra vonatkozó aktuális beállítást.
Ez a mező csak olvasható.
Meghatározza az elérhető felhasználói fiók lerakatokat.
Beállítása után engedélyezi a felhasználói lerakatot.
UNIX
nem gyökér felhasználóként vagy több-csomópontos környezetben futáskor
LDAP vagy egyéni felhasználói nyilvántartás szükséges.
A beállítást akkor adja
meg, ha alkalmazáskiszolgáló felhasználói nyilvántartásként az erőforrás hozzáférés-vezérlési szolgáltatása
(RACF) vagy a rendszerjogosultsági szolgáltatás (SAF) szabványnak megfelelő konfigurált biztonsági kiszolgálót kívánja használni.
UNIX
nem gyökér felhasználóként vagy több-csomópontos környezetben futáskor nem
használhat helyi operációs rendszert.
A helyi operációs rendszer
nyilvántartás csak akkor érvényes, ha tartományvezérlőt használ vagy ha a
hálózati telepítés cella egyetlen gépen helyezkedik el. Utóbbi esetben
nem terjeszthet több csomópontot egy cellában több gépen, mivel a helyi
operációs rendszer használata esetén ez a beállítás nem érvényes.
A beállítással önálló LDAP nyilvántartás beállításokat használ külső LDAP könyvtárban lévő felhasználók és csoportok esetén. Ha a biztonság engedélyezett és az alábbi tulajdonságok bármelyike módosításra kerül, akkor lépjen a Biztonság > Globális biztonság panelre, majd kattintson az Alkalmaz vagy az OK gombra a módosítások érvényesítéséhez.
Alapértelmezett: | Tiltott |
Válassza ki a globális biztonsági beállítások megadásához.
A Hitelesítés szakaszban bontsa ki a Web és SIP biztonság ágat hivatkozások megjelenítéséhez az alábbiakhoz:
A webes hitelesítés beállításainak megadásához válassza ezt a lehetőséget.
Kiválasztásával az egypontos bejelentkezés (SSO) konfigurációs értékei adhatók meg.
SSO támogatással a webfelhasználók a WebSphere Application Server erőforrások elérésekor, például HTML, JavaServer lapok (JSP) fájlok, szervletek, EJB-komponensek, és Lotus Domino erőforrások elérésekor összesen egyszer hitelesítenek.
Az Egyszerű és védett GSS-API egyeztetési mechanizmus (SPNEGO) lehetőséget nyújt webügyfelek és a kiszolgáló számára, hogy a kommunikációt engedélyező webes hitelesítési protokollal egyeztessenek.
A megbízhatóság hozzárendelés beállításainak megadásához válassza ezt a lehetőséget. Megbízhatóság hozzárendeléssel fordított proxykiszolgálók csatlakoztathatók alkalmazáskiszolgálókhoz.
Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
A Hitelesítés szakaszban bontsa ki a RMI/IIOP és SIP biztonság ágat hivatkozások megjelenítéséhez az alábbiakhoz:
A kiszolgáló által Objektumkezelési csoport (OMG) Közös biztonságos együttműködés (CSI) hitelesítési protokollal kapott kérések hitelesítési beállításainak és ugyanezen protokollal elfogadott kapcsolatok szállítási beállításainak megadásához válassza ezt a lehetőséget.
A kiszolgáló által Objektumkezelési csoport (OMG) Közös biztonságos együttműködés (CSI) hitelesítési protokollal küldött kérések hitelesítési beállításainak és ugyanezen protokollal kezdeményezett kapcsolatok szállítási beállításainak megadásához válassza ezt a lehetőséget.
A Hitelesítés szakaszban bontsa ki a Java hitelesítési és felhatalmazási szolgáltatás ágat hivatkozások megjelenítéséhez az alábbiakhoz:
Ezzel a lehetőséggel JAAS által használt bejelentkezési konfigurációkat határozhat meg.
Ne távolítsa el a ClientContainer, DefaultPrincipalMapping és WSLogin bejelentkezési konfigurációkat, mert más alkalmazásoknak szükségük lehet rájuk. Ha ezek a konfigurációk eltávolításra kerülnek, akkor egyes alkalmazások meghibásodhatnak.
Válassza ezt a lehetőséget a rendszer erőforrásai által használt JAAS bejelentkezési konfigurációk meghatározásához, beleértve a hitelesítési mechanizmust, azonosítókiosztást és hitelesítési adatok kiosztását.
A Java hitelesítési és jogosultsági szolgáltatás (JAAS) Java 2 Connector (J2C) hitelesítési adatok beállításainak meghatározásához válassza ezt a lehetőséget.
Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.
A hitelesítési információk titkosításához válassza ki ezt a lehetőséget, így az alkalmazáskiszolgáló biztonságos módon küldhet adatokat egyik kiszolgálóról a másikra.
A kiszolgálók közt cserélt hitelesítési információk titkosítása magába foglalja az Egyszerűsített külső hitelesítés (LTPA) mechanizmust.
A hitelesítési információk titkosításához válassza ki ezt a lehetőséget, így az alkalmazáskiszolgáló biztonságos módon küldhet adatokat egyik kiszolgálóról a másikra.
Válassza ki a hitelesítési információk titkosításához, hogy így az alkalmazáskiszolgáló biztonságosan küldhessen adatokat az egyik kiszolgálóról a másikra.
A kiszolgálók között kicserélt hitelesítési információk titkosítása magában foglalja az LTPA KRB5 mechanizmusát.
Válassza ki a hitelesítési gyorsítótár beállítások megadásához.
Megadja, hogy a metódusok (például getUserPrincipal() ) által visszaadott felhasználói nevek az őket tartalmazó biztonsági tartományok által minősítettek legyenek.
A Biztonsági tartományok hivatkozással további biztonsági konfigurációkat állíthat be felhasználói alkalmazásoknak.
Ha szeretne például a felhasználói alkalmazások egy halmazának a globális szinten használttól eltérő felhasználói nyilvántartás készletet, akkor hozzon létre egy biztonsági konfigurációt azzal a felhasználói nyilvántartással, és társítsa hozzá az alkalmazások halmazához. Ezek a kiegészítő biztonsági konfigurációk különféle hatáskörökhöz társíthatók (cella, fürtök/kiszolgálók, SIBus-ok). Ha a biztonsági beállítások hatáskörhöz lettek társítva, akkor azon hatáskör összes felhasználói alkalmazása azt a biztonsági konfigurációt fogja használni. Részletesebb információkért lásd: Több biztonsági tartomány.
Az egyes biztonsági attribútumok esetében használhatja a globális biztonsági beállításokat vagy személyre szabhatja a tartomány beállításait.
Ezzel a lehetőséggel megadható, hogy az alapértelmezett hitelesítési konfiguráció vagy külső hitelesítés szolgáltató kerüljön felhasználásra.
A külső szolgáltatónak a Java hitelesítés szerződés tárolókhoz (JACC) specifikációkon kell alapulnia, hogy kezelni tudja a Java(TM) 2 Platform, Enterprise Edition (J2EE) hitelesítéseket. Ha nem állított be külső biztonsági szolgáltatót JACC hitelesítés szolgáltatónak, akkor ne módosítsa a hitelesítés szolgáltatóra vonatkozó panelek beállításait.
Ezen az oldalon tetszőleges név-érték párokat adhat meg, ahol a név egy tulajdonság kulcsa, az érték pedig egy karaktersorozat.
A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.