Ten panel służy do konfigurowania administracji i domyślnej strategii zabezpieczeń aplikacji. Ta konfiguracja zabezpieczeń dotyczy strategii zabezpieczeń wszystkich funkcji administracyjnych i służy jako domyślna strategia zabezpieczeń aplikacji użytkownika. Domeny zabezpieczeń można zdefiniować tak, aby przesłaniały i dostosowywały strategie zabezpieczeń aplikacji użytkownika.
Aby wyświetlić tę stronę Konsoli administracyjnej, należy kliknąć opcję Zabezpieczenia > Zabezpieczenia globalne.
Zabezpieczenia mają wpływ na wydajność aplikacji. Wpływ na wydajność różni się w zależności od charakterystyki obciążenia aplikacji. Najpierw należy określić, czy wymagany poziom zabezpieczeń aplikacji jest włączony,
a następnie zmierzyć wpływ zabezpieczeń na wydajność aplikacji.
Po skonfigurowaniu zabezpieczeń należy sprawdzić wszelkie zmiany w rejestrze użytkowników lub w panelach mechanizmów uwierzytelniania. Aby sprawdzić ustawienia rejestru użytkowników, należy kliknąć opcję Zastosuj. Podjęta zostaje próba uwierzytelnienia identyfikatora serwera lub sprawdzenia poprawności identyfikatora administratora (jeśli używany jest internalServerID) w skonfigurowanym rejestrze użytkowników. Sprawdzanie poprawności ustawień rejestru użytkowników po włączeniu zabezpieczeń administracyjnych pozwoli uniknąć problemów przy restartowaniu serwera po raz pierwszy.
Uruchamia kreator, który umożliwia skonfigurowanie podstawowych ustawień zabezpieczeń czynności administracyjnych i aplikacji. Ten proces ogranicza dostęp do czynności administracyjnych i aplikacji do autoryzowanych użytkowników.
Za pomocą tego kreatora można konfigurować zabezpieczenia aplikacji, zasobów lub konektora Java 2 Connector (J2C) oraz rejestr użytkowników. Można skonfigurować istniejący rejestr oraz włączyć zabezpieczenia czynności administracyjnych, aplikacji i zasobów.
Po zastosowaniu zmian wprowadzonych przez kreator konfiguracji zabezpieczeń zabezpieczenia czynności administracyjnych są włączone domyślnie.
Uruchamia raport, który zbiera i wyświetla bieżące ustawienia zabezpieczeń serwera aplikacji. Zbierane są informacje na temat głównych ustawień zabezpieczeń, administratorów i grup, ról nazewnictwa CORBA i ochrony informacji cookie. W przypadku skonfigurowania wielu domen zabezpieczeń w raporcie uwzględnione są konfiguracje zabezpieczeń powiązane z każdą domeną.
Bieżącym ograniczeniem raportu jest fakt, że nie zawiera on informacji o poziomie zabezpieczeń aplikacji. Raport nie zawiera także informacji o zabezpieczeniach Java Message Service (JMS), magistrali ani usług WWW.
Określa, czy włączyć zabezpieczenia administracyjne dla tej domeny serwera aplikacji. Zabezpieczenia administracyjne wymagają uwierzytelnienia użytkowników przed uzyskaniem kontroli administracyjnej nad serwerem aplikacji.
Więcej informacji znajduje się na stronach pokrewnych poświęconych rolom administracyjnym i uwierzytelnianiu administracyjnemu.
Podczas włączania zabezpieczeń należy skonfigurować mechanizm uwierzytelniania i określić poprawny identyfikator użytkownika oraz hasło (lub poprawny identyfikator administratora, jeśli jest używana opcja internalServerID) w wybranej konfiguracji rejestru użytkowników.
Opcję Zadanie uruchomione w systemie z/OS
można określić tylko wtedy, gdy rejestr użytkowników to Lokalny
system operacyjny.
W przypadku wystąpienia problemów, na przykład z uruchomieniem serwera po włączeniu zabezpieczeń w domenie zabezpieczeń, należy zresynchronizować wszystkie pliki od komórki do tego węzła. Aby wykonać resynchronizację plików, należy z węzła uruchomić następującą komendę: syncNode -username identyfikator_użytkownika -password hasło_użytkownika. Ta komenda łączy się z menedżerem wdrażania i wykonuje resynchronizację wszystkich plików.
Jeśli po włączeniu zabezpieczeń administracyjnych
serwer nie uruchamia się, można wyłączyć zabezpieczenia. Należy przejść do
katalogu
katalog_główny_serwera_aplikacji/bin
i uruchomić komendę wsadmin -conntype NONE. Po wyświetleniu zachęty
wsadmin> należy wprowadzić komendę securityoff,
a następnie exit, aby powrócić do wiersza komend. W celu
sprawdzenia, czy w Konsoli administracyjnej nie ma nieprawidłowych ustawień,
należy zrestartować serwer z wyłączonymi zabezpieczeniami.
Użytkownicy rejestru użytkowników w
lokalnym systemie operacyjnym: W przypadku wybrania opcji Lokalny system
operacyjny jako aktywnego rejestru użytkowników nie ma potrzeby podawania
hasła w konfiguracji rejestru użytkowników.
Wartość domyślna: | Włączony |
Służy do włączania zabezpieczeń dla aplikacji w danym środowisku. Ten typ zabezpieczeń zapewnia odseparowanie aplikacji i udostępnia wymagania na potrzeby uwierzytelniania użytkowników aplikacji.
W poprzednich wersjach serwera WebSphere Application Server po włączeniu przez użytkownika zabezpieczeń globalnych włączane były zarówno zabezpieczenia administracyjne, jak i aplikacji. W produkcie WebSphere Application Server 6.1 pojęcie zabezpieczeń globalnych uległo podziałowi na zabezpieczenia administracyjne i zabezpieczenia aplikacji, a każde z tych zabezpieczeń może być włączone oddzielnie.
W wyniku tego podziału klienty serwera WebSphere Application Server muszą mieć informacje o tym, czy zabezpieczenia aplikacji na serwerze docelowym są wyłączone. Zabezpieczenia administracyjne są domyślnie włączone. Zabezpieczenia aplikacji są domyślnie wyłączone. W celu włączenia zabezpieczeń aplikacji, konieczne jest włączenie zabezpieczeń administracyjnych. Zabezpieczenia aplikacji działają tylko przy włączonych zabezpieczeniach administracyjnych.
Wartość domyślna: | Wyłączone |
Określa, czy należy włączyć, czy też wyłączyć sprawdzanie uprawnień zabezpieczeń Java 2. Domyślnie dostęp do lokalnych zasobów nie jest ograniczony. Można wyłączyć zabezpieczenia Java 2, nawet jeśli zabezpieczenia aplikacji są włączone.
Jeśli zostanie włączona opcja Użyj zabezpieczeń Java 2, aby ograniczyć dostęp aplikacji do zasobów lokalnych, a aplikacja wymaga większych uprawnień zabezpieczeń Java 2 niż uprawnienia przyznawane w strategii domyślnej, może ona działać błędnie, jeśli żądane uprawnienia nie zostaną przyznane w pliku app.policy lub pliku was.policy tej aplikacji. Wyjątki kontroli dostępu AccessControl są generowane przez aplikacje, które nie mają wszystkich wymaganych uprawnień. Więcej informacji na temat zabezpieczeń Java 2 zawierają strony pokrewne.
Wartość domyślna: | Wyłączone |
Służy do określania, że podczas wdrażania i uruchamiania aplikacji środowisko wykonawcze zabezpieczeń wyśle ostrzeżenie, jeśli aplikacji zostaną przyznane dowolne uprawnienia niestandardowe. Uprawnienia niestandardowe to uprawnienia, które są definiowane przez aplikacje użytkownika, a nie uprawnienia interfejsu API Java. Uprawnienia interfejsu API Java są to uprawnienia w pakietach java.* i javax.*.
Serwer aplikacji udostępnia obsługę zarządzania plikami strategii. W produkcie tym dostępna jest pewna liczba plików strategii, niektóre z nich są statyczne, a niektóre dynamiczne. Strategia dynamiczna jest to szablon uprawnień dla konkretnego typu zasobów. W szablonie strategii dynamicznej nie jest określony kod podstawowy i nie jest używany kod względny. Podstawowy kod jest tworzony dynamicznie w oparciu o dane konfiguracji i dane czasu wykonywania. Plik filter.policy zawiera listę uprawnień, których aplikacja nie powinna mieć, zgodnie ze specyfikacją J2EE 1.4. Więcej informacji na temat uprawnień zawierają strony pokrewne dotyczące plików strategii zabezpieczeń Java 2.
Wartość domyślna: | Wyłączone |
Tę opcję należy włączyć, aby ograniczyć dostęp aplikacji do istotnych danych uwierzytelniania odwzorowania JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Opcja Ogranicz dostęp do danych uwierzytelniania zasobu powoduje dodanie sprawdzania szczegółowych uprawnień zabezpieczeń Java 2 do domyślnego odwzorowania głównego implementacji WSPrincipalMappingLoginModule. Jeśli są włączone opcje Użyj zabezpieczeń Java 2, aby ograniczyć dostęp aplikacji do zasobów lokalnych oraz Ogranicz dostęp do danych uwierzytelniania zasobu, należy nadać jawne uprawnienie aplikacjom Java 2 Platform, Enterprise Edition (J2EE) wykorzystującym bezpośrednio implementację WSPrincipalMappingLoginModule do logowania JAAS (Java Authentication and Authorization Service).
Wartość domyślna: | Wyłączone |
Określa bieżące ustawienie aktywnego repozytorium użytkowników.
To pole jest tylko do odczytu.
Określa dostępne repozytoria kont użytkowników.
Włącza repozytorium użytkowników po jego skonfigurowaniu.
Jeśli uruchamianie
przeprowadzane jest przez użytkownika niebędącego administratorem w systemie UNIX lub odbywa się w środowisku wielowęzłowym, wymagany jest rejestr
użytkowników LDAP lub niestandardowy rejestr użytkowników.
Należy wybrać to
ustawienie wtedy, gdy skonfigurowany serwer zabezpieczeń zgodny z
funkcją
RACF
(Resource Access Control Facility) lub SAF (System Authorization Facility) ma
być używany jako rejestr użytkowników serwera aplikacji.
Nie
można użyć lokalnego systemu operacyjnego w środowisku wielowęzłowym lub gdy
nie jest on uruchomiony jako system główny na platformie UNIX.
Rejestr użytkowników lokalnego systemu
operacyjnego jest poprawny tylko wtedy, gdy używany jest kontroler domeny lub
gdy komórka wdrażania sieciowego znajduje się w pojedynczym komputerze. W tym
drugim przypadku nie można rozprzestrzeniać wielu węzłów w komórce na wiele
komputerów, ponieważ ta konfiguracja, używająca rejestru użytkowników lokalnego
systemu operacyjnego, nie jest poprawna.
To ustawienie należy wybrać, aby używać ustawień autonomicznego rejestru LDAP, gdy użytkownicy i grupy rezydują w zewnętrznym katalogu LDAP. Jeśli zabezpieczenia są włączone, a dowolna z tych właściwości ulegnie zmianie, należy przejść do panelu Zabezpieczenia > Zabezpieczenia globalne i kliknąć przycisk Zastosuj lub OK, aby sprawdzić poprawność zmian.
Wartość domyślna: | Wyłączone |
Służy do konfigurowania globalnych ustawień zabezpieczeń.
W obszarze Uwierzytelnianie rozwiń menu Zabezpieczenia WWW i SIP, aby wyświetlić łącza:
Wybranie tej opcji umożliwia określenie ustawień uwierzytelniania WWW.
Wybranie tej opcji umożliwia określenie wartości konfiguracji dla pojedynczego logowania (SSO).
Dzięki obsłudze pojedynczego logowania użytkownicy WWW mogą być uwierzytelniani jeden raz zarówno podczas uzyskiwania dostępu do zasobów serwera WebSphere Application Server, takich jak strony HTML, pliki JSP (JavaServer Pages), serwlety i komponenty EJB, jak i do zasobów produktu Lotus Domino.
Mechanizm SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pozwala klientom WWW negocjować z serwerem przez sieć WWW protokół uwierzytelniania umożliwiający komunikację.
Wybranie tej opcji umożliwia określenie ustawień powiązania zaufanego. Powiązanie zaufane jest używane do łączenia odwrotnych serwerów proxy z serwerami aplikacji.
Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
W obszarze Uwierzytelnianie rozwiń menu Zabezpieczenia RMI/IIOP, aby wyświetlić łącza:
Wybranie tej opcji pozwala określić ustawienia uwierzytelniania dla żądań odbieranych oraz ustawienia transportu dla połączeń przyjmowanych przez ten serwer przy użyciu protokołu uwierzytelniania CSI (Common Secure Interoperability) grupy OMG (Object Management Group).
Wybranie tej opcji pozwala określić ustawienia uwierzytelniania dla żądań wysyłanych oraz ustawienia transportu dla połączeń inicjowanych przez ten serwer przy użyciu protokołu uwierzytelniania CSI (Common Secure Interoperability) grupy OMG (Object Management Group).
W obszarze Uwierzytelnianie rozwiń menu Usługa uwierzytelniania i autoryzacji Java, aby wyświetlić łącza:
Wybranie tej opcji umożliwia zdefiniowanie konfiguracji logowania używanych przez usługę JAAS.
Nie należy usuwać konfiguracji logowania ClientContainer, DefaultPrincipalMapping ani WSLogin, ponieważ mogą z nich korzystać inne aplikacje. Jeśli te konfiguracje zostaną usunięte, uruchamianie innych aplikacji może się nie powieść.
Wybranie tej opcji umożliwia zdefiniowanie konfiguracji logowania JAAS używanych przez zasoby systemowe, w tym mechanizmy uwierzytelniania, odwzorowywanie elementów głównych oraz odwzorowywanie referencji.
Wybranie tej opcji umożliwia określenie ustawień danych uwierzytelniania konektora J2C (Java 2 Connector) usługi JAAS (Java Authentication and Authorization Service).
Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
Wybranie tej opcji umożliwia szyfrowanie informacji uwierzytelniania w taki sposób, aby serwer aplikacji mógł przesyłać dane z jednego serwera do drugiego w bezpieczny sposób.
Do szyfrowania informacji uwierzytelniania wymienianych między serwerami używany jest mechanizm LTPA (Lightweight Third-Party Authentication).
Wybranie tej opcji umożliwia szyfrowanie informacji uwierzytelniania w taki sposób, aby serwer aplikacji mógł przesyłać dane z jednego serwera do drugiego w bezpieczny sposób.
Wybranie tej opcji umożliwia szyfrowanie informacji uwierzytelniania w taki sposób, aby serwer aplikacji mógł przesyłać dane z jednego serwera do drugiego w bezpieczny sposób.
Do szyfrowania informacji uwierzytelniania wymienianych między serwerami używany jest mechanizm KRB5 lub LTPA.
Wybranie tej opcji umożliwia określenie ustawień buforowania uwierzytelniania.
Określa, że nazwy użytkowników zwracane przez metody, takie jak metoda getUserPrincipal(), są kwalifikowane przez dziedzinę zabezpieczeń, w której rezydują.
Odsyłacz Domeny zabezpieczeń umożliwia skonfigurowanie dodatkowych konfiguracji zabezpieczeń dla aplikacji użytkownika.
Jeśli na przykład dla zestawu aplikacji użytkownika ma zostać skonfigurowany rejestr użytkowników inny niż używany na poziomie globalnym, można utworzyć konfigurację zabezpieczeń z żądanym rejestrem użytkowników i powiązać ją z tym zestawem aplikacji. Dodatkowe konfiguracje zabezpieczeń mogą być powiązane z różnymi zasięgami (komórki, klastrów/serwerów, magistral SIB). Po powiązaniu konfiguracji zabezpieczeń z zasięgiem wszystkie aplikacje użytkownika w tym zasięgu będą używać powiązanej konfiguracji. Więcej szczegółowych informacji można znaleźć w sekcji Domeny z wieloma zabezpieczeniami.
Dla każdego atrybutu zabezpieczeń można użyć globalnych ustawień zabezpieczeń lub dostosować ustawienia danej domeny.
Wybranie tej opcji pozwala na określenie, czy ma być używana domyślna konfiguracja autoryzacji, czy też zewnętrzny dostawca autoryzacji.
Zewnętrzni dostawcy muszą być zgodni ze specyfikacją Java Authorization Contract for Containers (JACC), aby obsłużyć autoryzację Java 2 Platform, Enterprise Edition (J2EE). Nie należy modyfikować żadnych ustawień w panelach dostawcy autoryzacji, jeśli nie skonfigurowano zewnętrznego dostawcy zabezpieczeń jako dostawcy autoryzacji JACC.
Wybranie tej opcji umożliwia określenie par danych nazwy i wartości, w których nazwa to klucz właściwości, a wartość to łańcuch.
Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.