Configurar Domínios de Segurança

Utilize essa página para configurar os atributos de segurança de um domínio e designar o domínio a recursos de célula. Para cada atributo de segurança, você pode utilizar as configurações de segurança global ou customizar as configurações para o domínio.

Para visualizar essa página do console administrativo, clique em Segurança > Domínios de Segurança. Na página Coleta de Domínios de Segurança, selecione um domínio existente para ser configurado, crie um novo ou copie um domínio existente.

Leia o Múltiplos Domínios de Segurança para obter melhor conhecimento sobre vários domínios de segurança e como eles são suportados nesta versão do WebSphere Application Server.

Nome

Especifica um nome exclusivo para o domínio. Esse nome não pode ser editado após o envio inicial.

Um nome de domínio deve ser exclusivo em uma célula e não pode conter um caractere inválido.

Descrição

Especifica uma descrição para o domínio.

Escopos Designados

Selecione para exibir a topologia da célula. Você pode designar o domínio de segurança à célula inteira ou selecionar os clusters, nós e barramentos de integração de serviços específicos para serem incluídos no domínio de segurança.

Se você selecionar Todos os Escopos, a topologia da célula inteira será exibida.

Se você selecionar Escopos Designados, a topologia da célula será exibida com os servidores e clusters designados ao domínio atual.

O nome de um domínio designado explicitamente aparece próximo a qualquer recurso. As caixas marcadas indicam recursos designados atualmente ao domínio. Também é possível selecionar outros recursos e clicar em Aplicar ou OK para designá-los ao domínio atual.

Um recurso não marcado (desativado) indica que ele não está designado ao domínio atual e deve ser removido de um outro domínio antes de ser ativado para o domínio atual.

Se um recurso não tiver um domínio designado explicitamente, ele utilizará o domínio designado à célula. Se nenhum domínio estiver designado à célula, o recurso utilizará configurações globais.

Os membros de cluster não podem ser designados individualmente a domínios; o cluster inteiro utiliza o mesmo domínio.

Segurança do Aplicativo:

Selecione Ativar Segurança do Aplicativo para ativar ou desativar a segurança para aplicativos de usuário. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Quando essa seleção é desativada, todos os EJBs e aplicativos da Web no domínio de segurança não são mais protegidos. É concedido acesso a esses recursos sem autenticação de usuário. Quando você ativa essa seleção, a segurança J2EE é aplicada para todos os EJBs e aplicativos da Web no domínio de segurança. A segurança J2EE é aplicada apenas quando a Segurança Global está ativada na configuração de segurança global (ou seja, não é possível ativar a segurança do aplicativo sem primeiro ativar a Segurança Global no nível global).

Ativar Segurança do Aplicativo

Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo

Em releases anteriores do WebSphere Application Server, quando um usuário ativava a segurança global, a segurança administrativa e a segurança do aplicativo eram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global era dividida em segurança administrativa e segurança do aplicativo, cada uma ativada separadamente.

Como resultado dessa divisão, os clientes do WebSphere Application Server devem saber se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, é necessário ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.

Quando essa seleção é desativada, todos os EJBs e aplicativos da Web no domínio de segurança não são mais protegidos. É concedido acesso a esses recursos sem autenticação de usuário. Quando você ativa essa seleção, a segurança J2EE é aplicada para todos os EJBs e aplicativos da Web no domínio de segurança. A segurança J2EE é aplicada apenas quando a Segurança Global está ativada na configuração de segurança global (ou seja, não é possível ativar a segurança do aplicativo sem primeiro ativar a Segurança Global no nível global).

Segurança Java 2:

Selecione Utilizar Segurança do Java 2 para ativar ou desativar a segurança do Java 2 no nível de domínio ou para designar ou incluir propriedades relacionadas à segurança do Java 2. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Essa opção permite ativar ou desativar a segurança do Java 2 no nível de processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar a segurança do Java 2.

Utilizar Configurações de Segurança Global

Selecione para especificar as configurações de segurança global que estão sendo utilizadas.

Customizar para este Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Utilizar a Segurança Java 2 para Restringir o Acesso do Aplicativo a Recursos Locais

Selecione para especificar se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. Você pode optar por desativar a segurança Java 2, mesmo quando a segurança do aplicativo está ativada.

Quando a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais for ativada e um aplicativo necessitar de mais permissões de segurança Java 2 do que concedidas na política padrão, o aplicativo talvez não seja executado corretamente até que as permissões necessárias sejam concedidas no arquivo app.policy ou no arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas.

Avisar se Permissões Customizadas São Concedidas aos Aplicativos

Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões definidas pelos aplicativos de usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.

O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um modelo de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação J2EE 1.4.

Importante: Não é possível ativar essa opção sem ativar a opção Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais.
Restringir o Acesso a Dados de Autenticação de Recursos

Essa opção estará desativada se a segurança Java 2 não foi ativada.

É recomendável ativar esta opção quando as duas condições a seguir forem verdadeiras:
  • A segurança Java 2 é aplicada.
  • O código do aplicativo recebe a permissão accessRuntimeClasses WebSphereRuntimePermission no arquivo was.policy localizado no arquivo EAR (Enterprise Archive) do aplicativo. Por exemplo, o código do aplicativo recebe a permissão quando a seguinte linha é encontrada no arquivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

A opção Restringir o acesso a dados de autenticação de recursos inclui a verificação de permissão de segurança Java 2 de baixa granularidade para o mapeamento de proprietários padrão da implementação WSPrincipalMappingLoginModule. Você deve conceder permissão explícita para aplicativos J2EE (Java 2 Platform, Enterprise Edition) que utilizam a implementação WSPrincipalMappingLoginModule diretamente no login JAAS (Java Authentication and Authorization Service) quando as opções Utilizar a segurança Java 2 para restringir o acesso do aplicativo a recursos locais e Restringir o acesso a dados de autenticação de recursos estiverem ativadas.

Padrão: Desativado
Região do Usuário:

Essa seção possibilita configurar o registro do usuário para o domínio de segurança. Você pode configurar separadamente qualquer registro, exceto o registro federado utilizado no nível do domínio. O repositório federado só pode ser configurado no nível global, mas pode ser utilizado no nível do domínio.

Ao configurar um registro no nível do domínio, você pode optar por definir seu próprio nome de região para o registro. O nome da região distingue um registro do usuário de outro. O nome da região é utilizado em vários lugares – no painel de login do cliente Java para avisar o usuário, no cache de autenticação e durante o uso de autorização nativa.

No nível da configuração global, o sistema cria a região para o registro do usuário. Nos releases anteriores do WebSphere Application Server, apenas um registro do usuário será configurado no sistema. Quando há vários domínios de segurança, você pode configurar vários registros no sistema. Para que as regiões sejam exclusivas nesses domínios, configure seu próprio nome de região para um domínio de segurança. Também é possível optar por deixar que o sistema crie um nome de região exclusivo, se tiver certeza de que ele é exclusivo. Neste último caso, o nome da região baseia-se no registro utilizado.

Associação de Confiança:

Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos aos servidores de aplicativos.

A associação de confiança possibilita a integração de servidores de segurança do IBM WebSphere Application Server e de terceiros. Mais especificamente, um servidor proxy reverso pode agir como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.

Os Trust Association Interceptors do Tivoli Access Manager podem ser configurados apenas no nível global. A configuração de domínio também podem utilizá-los, mas não pode ter uma versão diferente do interceptor de associação de confiança. Apenas uma instância do Trust Association Interceptors do Tivoli Access Manager pode existir no sistema.

Nota: O uso de TAIs (Trust Association Interceptors) para autenticação SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) é reprovado. Os painéis de autenticação da Web SPNEGO fornecem uma maneira muito mais fácil de configurar o SPNEGO.
Interceptores

Selecione para acessar ou especificar as informações de confiança para servidores proxy reversos.

Ativar Associação Confiável

Selecione para ativar a integração de servidores de segurança do IBM WebSphere Application Server e de terceiros. Mais especificamente, um servidor proxy reverso pode agir como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.

Autenticação da Web SPNEGO:

Especifica as configurações para SPNEGO (Simple and Protected GSS-API Negotiation) como o mecanismo de autenticação da Web.

A autenticação da Web SPNEGO, que possibilita configurar o SPNEGO para autenticação de recursos da Web, pode ser configurada no nível do domínio.

Nota: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos de HTTP para recursos protegidos. No WebSphere Application Server 7.0, essa função está agora reprovada. A autenticação da Web de SPNEGO tem ocorrido para fornecer recarga dinâmica dos filtros de SPNEGO e para ativar a retirada do método de login do aplicativo.
Segurança RMI/IIOP:

Especifica as configurações para o RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Um ORB (Agente de Pedido de Objetos) gerencia a interação entre clientes e servidores, utilizando o IIOP (Internet InterORB Protocol). Ele permite que clientes façam pedidos e recebam respostas de servidores em um ambiente distribuído em rede.

Ao configurar esses atributos no nível do domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência. Você pode alterar os atributos que precisam ser diferentes no nível do domínio. As configurações da camada de transporte para comunicações de entrada CSIv2 devem ser iguais para o nível global e nível do domínio. Se forem diferentes, os atributos de nível do domínio serão aplicados a todos os aplicativos no processo.

Quando um processo se comunica com um outro processo em uma região diferente, a autenticação LTPA e os tokens de propagação são propagados para o servidor de recebimento de dados, a menos que o servidor esteja na lista de regiões confiáveis de saída. Isso pode ser feito utilizando o link Regiões de Autenticação Confiáveis – Saída no painel Comunicação de Saída CSIv2.

Comunicações de Entrada CSIv2

Selecione para especificar configurações de autenticação para pedidos recebidos e configurações de transporte para conexões aceitas por esse servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).

O WebSphere Application Server possibilita especificar a autenticação IIOP (Internet Inter-ORB Protocol) para pedidos de autenticação de entrada e de saída. Para os pedidos de entrada, você pode especificar o tipo de autenticação aceita, como a autenticação básica.

Comunicações de Saída CSIv2

Selecione para especificar configurações de autenticação para pedidos enviados e configurações de transporte para conexões iniciadas pelo servidor utilizando o protocolo de autenticação OMG (Grupo de Gerenciamento de Objetos) CSI (Common Secure Interoperability).

O WebSphere Application Server possibilita especificar a autenticação IIOP (Internet Inter-ORB Protocol) para pedidos de autenticação de entrada e de saída. Para os pedidos de saída, você pode especificar propriedades como tipo de autenticação, asserção de identidade ou configurações de login que são utilizadas para pedidos para os servidores de recebimento de dados.

Logins do Aplicativo JAAS

Selecione para definir configurações de login que são utilizadas pelo JAAS.

Os logins de aplicativo JAAS, os logins de sistema JAAS e os aliases de dados de autenticação JAAS podem ser configurados no nível do domínio. Por padrão, todos os aplicativos no sistema têm acesso aos logins JAAS configurados no nível global. O tempo de execução de segurança verifica primeiro os logins do JAAS no nível de domínio. Se não localizá-los, ele os verificará na configuração de segurança global. Configure any of these JAAS logins at a domain only when you need to specify a login that is used exclusively by the applications in the security domain.

Apenas para propriedades JAAS e customizadas, quando os atributos globais são customizados para um domínio, ainda assim eles podem ser utilizados por aplicativos de usuário.

Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos poderão falhar.

Utilizar Logins Globais e Específicos do Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Logins de Sistema JAAS:

Especifica as definições de configuração para os logins de sistema JAAS. Você pode utilizar as configurações de segurança global ou customizar as definições de configuração para um domínio.

Logins de Sistema

Selecione para definir as configurações de login JAAS que são utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, o mapeamento de proprietários e o mapeamento de credenciais

Dados de Autenticação JAAS J2C:

Especifica as configurações para os dados de autenticação JAAS J2C. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

As entradas de dados de autenticação do Conector J2EE (Java 2 Platform, Enterprise Edition) são utilizadas por adaptadores de recursos e origens de dados JDBC (Java DataBase Connectivity).

Utilizar Entradas Globais e Específicas do Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Atributos do Mecanismo de Autenticação:

Especifica as diversas configurações de cache que devem ser aplicadas no nível do domínio.

  • Configurações do cache de autenticação - utilize para especificar suas configurações do cache de autenticação. A configuração especificada neste painel é aplicada apenas a este domínio.
  • Tempo Limite de LTPA - Você pode configurar um valor de tempo limite de LTPA diferente no nível do domínio. O valor de tempo limite padrão é de 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for definido no nível de domínio, todos os tokens criados no domínio de segurança ao acessar os aplicativos de usuário serão criados com esse tempo de vencimento.
  • Utilizar nomes de usuários qualificados por região - Quando essa seleção é ativada, os nomes de usuários retornados por métodos como o getUserPrincipal( ) são qualificados com a região de segurança (registro do usuário) utilizada por aplicativos no domínio de segurança.
Provedor de Autorização:

Especifica as configurações para o provedor de autorização. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

É possível configurar um provedor JACC (Java Authorization Contract for Containers) de terceiros externo no nível de domínio. O provedor JACC do Tivoli Access Manager pode ser configurado apenas no nível global. Os domínios de segurança ainda poderão ser utilizados se não substituírem o provedor de autorização por um outro provedor JACC ou pela autorização nativa integrada.

Selecione Autorização Padrão ou Autorização externa utilizando um provedor JAAC. O botão Configurar será ativado apenas quando Autorização externa utilizando um provedor JAAC for selecionado.

[z/OS] Para autorização do SAF (System Authorization Facility), se você configurar o prefixo do perfil do SAF no nível do domínio, ele será aplicado no nível do servidor para que todos os aplicativos (administrativo e usuário) o ativem ou o desativem nesse servidor

Opções de Segurança do z/OS:

Especifica as configurações para z/OS. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Propriedades Customizadas

Selecione para especificar pares nome-valor, em que o nome é uma chave da propriedade e o valor é uma cadeia.

Configure propriedades customizadas no nível do domínio que sejam novas ou diferentes daqueles no nível global. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos no sistema. O código de tempo de execução de segurança verifica primeiro a propriedade customizada no nível do domínio. Se não localizá-la, ele tentará obter a propriedade customizada da configuração de segurança global.

Ligações de Serviços da Web

Clique em Ligações do Conjunto de Políticas Padrão para configurar as ligações de provedor e de cliente padrão do domínio.




Links marcados (on-line) requerem acesso à Internet.

Conceitos relacionados
Referências relacionadas
Configurações do Registro LDAP Independente
Definições de Entrada de Configuração para o Java Authentication and Authorization Service
Configurações de Entrada de Dados de Autenticação do Java 2 Connector
Configurações do Provedor Java Authorization Contract for Containers Externo
Informações relacionadas
Propriedades Customizadas de Segurança


Nome do arquivo: usec_sec_domains_edit.html