請利用這個畫面來配置管理和預設應用程式安全原則。 這個安全配置適用於所有管理功能的安全原則,用來作為使用者應用程式的預設安全原則。 定義安全網域可以置換和自訂使用者應用程式的安全原則。
如果要檢視這個管理主控台頁面,請按一下安全 > 廣域安全。
安全會對您的應用程式造成一些效能影響。效能影響可能因應用程式工作量性質而異。您必須先決定要對您的應用程式啟用所需的安全層次,然後再測量該項安全對您應用程式效能產生的衝擊程度。
配置好安全之後,請確認使用者登錄或鑑別機制畫面的任何變更。請按一下套用來驗證使用者登錄設定。 這會嘗試拿所配置的使用者登錄來鑑別伺服器 ID 或驗證管理者 ID(若是使用 internalServerID 的話)。在啟用管理安全後驗證使用者登錄設定,可避免在您第一次重新啟動伺服器時發生問題。
啟動可供您配置基本管理和應用程式安全設定的精靈。這個程序會將管理作業和應用程式限制於授權使用者。
您可以利用這個精靈來配置應用程式安全、資源或 Java™ 2 Connector (J2C) 安全和使用者登錄。您可以配置現有的登錄,並啟用管理、應用程式和資源安全。
當您套用安全配置精靈進行的變更時,預設會開啟管理安全。
啟動報告,以收集並顯示應用程式伺服器的現行安全設定。所收集的資訊包括:核心安全設定、管理使用者與群組、CORBA 命名角色,以及 Cookie 保護。當配置多重安全網域時,報告會顯示每個網域的相關安全配置。
目前報告有一項限制,亦即,它不會顯示應用程式層次的安全資訊。報告也不會顯示 Java 訊息服務 (JMS) 安全、匯流排安全或 Web 服務安全的相關資訊。
指定是否要對這個應用程式伺服器網域啟用管理安全。若有啟用管理安全,使用者必須接受鑑別後才能取得應用程式伺服器的管理控制權。
如需相關資訊,請參閱管理角色和管理鑑別的相關鏈結。
當啟用安全時,請設定鑑別機制配置,以及在所選取的登錄配置中,指定有效的使用者 ID 和密碼(或者,如果使用內部伺服器 ID (internalServerID) 特性的話,則指定有效的管理者 ID)。
當使用者登錄是本端 OS 時,您只能指定 z/OS® 啟動作業選項。
如果有發生在安全網域內啟用安全之後無法啟動伺服器之類的問題,請將這個節點和 Cell 中的所有檔案重新同步化。如果要將檔案重新同步處理,請從節點執行下列指令:syncNode -username your_userid -password your_password。 這個指令會連接到部署管理程式且會重新同步化所有檔案。
如果您的伺服器在啟用管理安全之後無法重新啟動伺服器,您可以停用安全。移至您的 app_server_root/bin 目錄,並執行 wsadmin -conntype NONE 指令。請在 wsadmin> 提示下,輸入 securityoff,再輸入 exit 來返回命令提示字元。
請停用安全並重新啟動伺服器,以利用管理主控台來檢查任何不正確的設定。
本端 OS 使用者登錄使用者:當您選擇本端 OS
作為作用中的使用者登錄,就不需要在使用者登錄配置中提供密碼。
預設值: | 已啟用 |
啟用環境中的應用程式安全。 這類型的安全針對鑑別應用程式使用者,提供應用程式的隔離和需求
在舊版的 WebSphere® Application Server 中,當使用者啟用了廣域安全時,會同時啟用管理和應用程式安全。 在 WebSphere Application Server 6.1 版中,先前的廣域安全記號分成管理安全和應用程式安全,可以個別啟用。
由於這個分割,WebSphere Application Server 用戶端必須知道目標伺服器是否停用了應用程式安全。 依預設,會啟用管理安全。 依預設,會停用應用程式安全。 如果要啟用應用程式安全,您必須啟用管理安全。 只有在啟用管理安全時,應用程式安全才有效。
預設值: | 停用 |
指定在應用程式部署和應用程式啟動期間,如果將任何自訂許可權授與應用程式,安全執行時期就會發出警告。 自訂許可權是使用者應用程式所定義的許可權,不是 Java API 許可權。 Java API 許可權是 java.* 和 javax.* 套件中的許可權。
應用程式伺服器會提供原則檔案管理支援。這個產品有若干原則檔,有些是靜態的,有些是動態的。動態原則是特殊資源類型的許可權範本。動態原則範本中沒有定義任何程式碼庫,也沒有使用任何相對的程式碼庫。 真正的程式碼庫是以動態方式,從配置及執行時期資料建立的。filter.policy 檔含有根據 J2EE 1.4 規格,您不想讓應用程式擁有的許可權清單。如需許可權的相關資訊,請參閱 Java 2 安全原則檔的相關鏈結。
預設值: | 停用 |
請啟用這個選項來限制應用程式存取機密的 Java 連接器架構 (JCA) 對映鑑別資料。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
限制存取資源鑑別資料選項會將定義精細的 Java 2 安全許可權檢查,新增至 WSPrincipalMappingLoginModule 實作的預設主體對映中。 當啟用使用 Java 安全來限制應用程式存取本端資源和限制存取資源鑑別資料選項時,您必須為在 Java 鑑別和授權服務 (JAAS) 登入中直接使用 WSPrincipalMappingLoginModule 實作的 Java 2 Platform Enterprise Edition (J2EE) 應用程式,授與明確的許可權。
預設值: | 停用 |
指定作用中使用者儲存庫的現行設定。
這個欄位是唯讀的。
指定可用的使用者帳戶儲存庫。
在啟用配置好的使用者儲存庫。
當利用 UNIX® 的非 root 使用者身分執行或在多節點環境中執行時,需要 LDAP 或自訂使用者登錄。
如果您想以配置的「資源存取控制機能 (RACF®)」或符合「系統授權機能 (SAF)」標準的安全伺服器,來作為應用程式伺服器使用者登錄,請指定這項設定。
在多重節點中,或在 UNIX 平台中以 root 以外的身分來執行時,您不能利用本端 OS。
只有在使用網域控制站或 Network Deployment Cell 是位在單一機器時,本端作業系統登錄才能生效。
在後一種情況中,您不能將 Cell 中的多個節點散佈在多部機器中,因為使用本端 OS 使用者登錄的這個配置無效。
當使用者和群組是位在外部 LDAP 目錄中時,請指定這項設定來使用獨立式 LDAP 登錄。當啟用安全且任何這些內容有了改變時,請進入安全 > 廣域安全畫面,按一下套用或確定來驗證變更。
預設值: | 停用 |
選取這個項目,可配置廣域安全設定。
在「鑑別」下,展開「Web 和 SIP 安全」來檢視下列鏈結:
選取以指定 Web 鑑別的設定。
選取以指定單一登入 (SSO) 的配置值。
如果使用 SSO 支援,當存取 WebSphere Application Server 資源〈例如 HTML、JavaServer Pages (JSP) 檔、Servlet、Enterprise Bean〉及 Lotus® Domino® 資源時,Web 使用者可以只鑑別一次。
簡單且受保護的 GSS-API 協議 (SPNEGO) 機制提供一種方法,供 Web 用戶端和伺服器協議用來允許通訊的 Web 鑑別通訊協定。
選取以指定信任關聯的設定。 信任關聯用來將反向 Proxy 伺服器連接到應用程式伺服器。
您可以使用廣域安全設定,也可以自訂網域的設定。
在「鑑別」下,展開「RMI/IIOP 安全」來檢視下列鏈結:
選取以指定接收之要求的鑑別設定,以及這部伺服器利用 Object Management Group (OMG) Common Secure Interoperability (CSI) 鑑別通訊協定來接受之連線的傳輸設定。
選取以指定傳送之要求的鑑別設定,以及伺服器利用 Object Management Group (OMG) Common Secure Interoperability (CSI) 鑑別通訊協定來起始之連線的傳輸設定。
在「鑑別」下,展開「Java 鑑別和授權服務」來檢視下列鏈結:
選取以定義 JAAS 所用的登入配置。
請勿移除 ClientContainer、DefaultPrincipalMapping 和 WSLogin 登入配置,因為其他應用程式可能會使用它們。 如果移除了這些配置,其他應用程式可能會失敗。
選取以定義系統資源所用的 JAAS 登入配置,其中包括鑑別機制、主體對映和認證對映。
選取以指定 Java 鑑別和授權服務 (JAAS) Java 2 Connector (J2C) 鑑別資料的設定。
您可以使用廣域安全設定,也可以自訂網域的設定。
選取以加密鑑別資訊,以便應用程式伺服器以安全方式,在伺服器之間傳送資料。
在伺服器之間交換的鑑別資訊,其加密涉及小型認證機構 (LTPA) 機制。
選取以加密鑑別資訊,以便應用程式伺服器以安全方式,在伺服器之間傳送資料。
選取這個項目,可以加密鑑別資訊,使應用程式伺服器能夠以安全方式,在伺服器之間傳送資料。
在伺服器之間交換的鑑別資訊,其加密涉及 LTPA 機制的 KRB5。
選取這個項目,可以設定您的鑑別快取設定。
指定用方法(如 getUserPrincipal() 方法)所在的安全網域範圍來限定方法傳回的使用者名稱。
請利用「安全網域」鏈結來配置使用者應用程式的其他安全配置。
比方說,如果您想要在一組使用者應用程式上,使用不同於廣域層次所用的使用者登錄,您可以使用這個使用者登錄來建立安全配置,再將它關聯於這組應用程式。 這些其他安全配置可以關聯於各種範圍(Cell、叢集/伺服器、SIBuses)。 安全配置關聯於某個範圍之後,這個範圍內的所有使用者應用程式都會使用這個安全配置。 如需更多詳細資訊,請參閱多重安全網域。
對於每個安全屬性,您可以使用廣域安全設定,也可以自訂網域的設定。
選取以指定使用預設授權配置或外部授權提供者。
外部提供者必須是基於 Java Authorization Contract for Containers (JACC) 規格,才能處理 Java™ 2 Platform Enterprise Edition (J2EE) 授權。 除非您將外部安全提供者配置成 JACC 授權提供者,否則,請勿修改授權提供者畫面上的任何設定。
選取以指定資料的名稱/值配對,其中名稱是內容索引鍵,值是字串。
標示(線上)的鏈結表示需要存取網際網路。