Konfigurovat doménu zabezpečení

Prostřednictvím této stránky můžete konfigurovat atributy zabezpečení domény a přiřazovat doménu k prostředkům buňky. Pro každý atribut zabezpečení můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro příslušnou doménu.

Chcete-li zobrazit tuto stránku administrativní konzoly, klepněte na volbu Zabezpečení > Domény zabezpečení. Na stránce kolekcí Domény zabezpečení vyberte nějakou existující doménu, kterou budete konfigurovat, vytvořte novou doménu nebo zkopírujte existující doménu.

V dokumentaci Více domén zabezpečení najdete popis konceptu zabezpečení více domén a podpory tohoto konceptu v této verzi produktu WebSphere Application Server.

Název

Určuje jedinečný název pro doménu. Tento název již nelze po počátečním zadání upravovat.

Název domény musí být jedinečný v rámci buňky a nesmí obsahovat neplatný znak.

Popis

Určuje popis pro doménu.

Přiřazené obory

Tuto volbu vyberte, chcete-li zobrazit topologii buňky. Můžete přiřadit doménu zabezpečení k celé buňce nebo vybrat konkrétní klastry, uzly a sběrnice pro integraci služeb, které mají být v této doméně zabezpečení zahrnuty.

Pokud vyberete volbu Všechny obory, bude zobrazena kompletní topologie buňky.

Pokud vyberete volbu Přiřazené obory, bude zobrazena topologie buňky s těmi servery a klastry, které jsou přiřazeny k aktuální doméně.

Vedle prostředků je zobrazen název explicitně přiřazené domény. Zaškrtávací políčko indikuje prostředky, které jsou aktuálně přiřazeny doméně. Můžete také vybrat jiné prostředky a klepnutím na tlačítko Použít nebo OK je přiřadit aktuální doméně.

Prostředek, který není zaškrtnutý (zakázaný), indikuje, že není přiřazen k aktuální doméně a aby bylo možné jej povolit pro tuto doménu, je nutné jej odebrat z jiné domény.

Pokud nějaký prostředek nemá explicitně přiřazenou doménu, používá doménu přiřazenou buňce. Pokud buňka nemá přiřazenu žádnou doménu, prostředek používá globální nastavení.

Členové klastru nemohou být individuálně přiřazeni doménám; vstupní klastr používá stejnou doménu.

Zabezpečení aplikace:

Chcete-li povolit nebo zakázat zabezpečení uživatelských aplikací, vyberte volbu Povolit zabezpečení aplikací. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Je-li tento výběr zakázán, nejsou žádné objekty EJB a webové aplikace v doméně zabezpečení nadále chráněny. Pro tyto prostředky je přístup udělen bez ověřování uživatelů. Pokud tento výběr povolíte, je pro objekty EJB a webové aplikace v doméně zabezpečení vynuceno zabezpečení J2EE. Zabezpečení J2EE je vynuceno pouze v případě, že je v globální konfiguraci zabezpečení povoleno Globální zabezpečení (není tedy možné povolit zabezpečení aplikací bez předchozího povolení Globálního zabezpečení na globální úrovni).

Povolit zabezpečení aplikací

Povolí zabezpečení pro aplikace v příslušném prostředí. Tento typ zabezpečení poskytuje oddělení aplikací a požadavky pro ověřování uživatelů aplikací.

V předchozích verzích produktu WebSphereApplication Server bylo při povolení globálního zabezpečení uživatelem povoleno zabezpečení správy i aplikací. V produktu WebSphere Application Server verze 6.1 byla dřívější koncepce globálního zabezpečení rozdělena na zabezpečení správy a zabezpečení aplikací, přičemž každé lze povolit samostatně.

V důsledku tohoto rozdělení musí klienti produktu WebSphere Application Server vědět, zda je na cílovém serveru zakázáno zabezpečení aplikací. Zabezpečení správy je při výchozím nastavení povoleno. Zabezpečení aplikací je při výchozím nastavení zakázáno. Chcete-li povolit zabezpečení aplikací, je třeba povolit zabezpečení správy. Zabezpečení aplikací je využíváno pouze v případě, že je povoleno zabezpečení správy.

Je-li tento výběr zakázán, nejsou žádné objekty EJB a webové aplikace v doméně zabezpečení nadále chráněny. Pro tyto prostředky je přístup udělen bez ověřování uživatelů. Pokud tento výběr povolíte, je pro objekty EJB a webové aplikace v doméně zabezpečení vynuceno zabezpečení J2EE. Zabezpečení J2EE je vynuceno pouze v případě, že je v globální konfiguraci zabezpečení povoleno Globální zabezpečení (není tedy možné povolit zabezpečení aplikací bez předchozího povolení Globálního zabezpečení na globální úrovni).

Zabezpečení Java 2:

Vyberte volbu Použít zabezpečení Java 2, a tak povolte nebo zakažte zabezpečení Java 2 na úrovni domén nebo přiřaďte či přidejte vlastnosti související se zabezpečením Java 2. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Tato volba povolí nebo zakáže zabezpečení Java 2 na úrovni procesů (JVM), takže všechny aplikace (administrátorské i uživatelské) mohou povolit nebo zakázat zabezpečení Java 2.

Použít nastavení globálního zabezpečení

Tuto volbu vyberte, chcete-li určit použití nastavení globálního zabezpečení.

Přizpůsobit pro tuto doménu

Tuto volbu vyberte, chcete-li určit nastavení, která jsou definována v rámci domény, například volby pro povolení zabezpečení aplikace a Java 2, a použít údaje o ověřování kvalifikovaná pro sféru.

Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům

Tuto volbu vyberte, chcete-li určit, zda má být aktivována či deaktivována kontrola oprávnění pro zabezpečení prostředí Java 2. Ve výchozím nastavení není přístup k lokálním prostředkům omezen. Zabezpečení prostředí Java 2 můžete deaktivovat i v případě, že je zabezpečení aplikace aktivováno.

Pokud je aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a pokud aplikace vyžaduje více oprávnění zabezpečení prostředí Java 2, než je jí uděleno ve výchozí zásadě, nemusí tato aplikace pracovat správně, dokud jí nebudou udělena potřebná oprávnění v souboru app.policy nebo v souboru was.policy aplikace. Aplikace, kterým nejsou udělena všechna potřebná oprávnění, generují výjimky AccessControl.

Varovat pokud jsou aplikacím udělena vlastní oprávnění

Určuje, že pokud je během zavádění a spouštění aplikací těmto aplikacím udělena vlastní oprávnění, běhový modul zabezpečení zobrazí varovnou zprávu. Vlastními oprávněními se rozumí oprávnění definovaná uživatelskými aplikacemi, nikoli oprávnění rozhraní API Java. Oprávnění rozhraní API Java jsou oprávnění v balících java.* a javax.*.

Aplikační server poskytuje podporu pro správu souborů zásad. V tomto produktu je k dispozici celá řada souborů zásad. Některé z nich jsou statické, jiné dynamické. Dynamická zásada je šablona oprávnění pro konkrétní typ prostředku. V šabloně dynamické zásady není definován žádný základ kódu ani žádný relativní základ kódu. Skutečný základ kódu je dynamicky vytvářen z konfiguračních dat a dat vytvářených během zpracování. Soubor filter.policy obsahuje seznam oprávnění, která aplikace nemá mít, podle specifikace J2EE 1.4.

Důležité: Tuto volbu nelze aktivovat, aniž by byla aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům.
Omezit přístup k datům ověřování prostředků

Tato volba je zakázána, není-li povoleno zabezpečení Java 2.

Povolení této volby zvažte v případě, že jsou splněny obě následující podmínky:
  • Je povoleno zabezpečení prostředí Java 2.
  • Kódu aplikace je uděleno oprávnění WebSphereRuntimePermission accessRuntimeClasses v souboru was.policy obsaženém v souboru podnikového archivu aplikace (EAR). Kódu aplikace je oprávnění uděleno například v případě, že soubor was.policy obsahuje následující řádek:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

Volba Omezit přístup k datům ověřování prostředků umožňuje přidat detailní kontrolu oprávnění zabezpečení Java 2 do výchozího hlavního mapování implementace WSPrincipalMappingLoginModule. Je třeba udělit explicitní oprávnění aplikacím v rámci platformy J2EE (Java 2 Enterprise Edition), které používají implementaci WSPrincipalMappingLoginModule přímo pro přihlášení služby JAAS (Java Authentication and Authorization Service), pokud jsou aktivovány volby Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a Omezit přístup k datům ověřování prostředků.

Výchozí hodnota: Zakázáno
Sféra uživatele:

Tato sekce vám umožní konfigurovat registr uživatelů pro doménu zabezpečení. Můžete samostatně konfigurovat libovolný registr kromě sdruženého registru, který je používán na úrovni domény. Sdružená úložiště lze konfigurovat pouze na globální úrovni, avšak je možné jej použít na úrovni domény.

Při konfiguraci registru na úrovni domény můžete pro registr definovat svůj vlastní název sféry. Název sféry odlišuje jeden registr uživatelů od druhého. Název sféry je používán na několika místech - na panelu přihlášení klienta Java pro dotaz na uživatele, v mezipaměti ověření a při použití nativní autorizace.

Na úrovni globální konfigurace systém vytvoří sféru pro registr uživatelů. V předchozích vydáních produktu WebSphere Application Server byl v systému konfigurován pouze jeden registr uživatelů. Pokud máte více domén zabezpečení, můžete v systému konfigurovat více registrů. Aby byly sféry v rámci těchto domén jedinečné, konfigurujte svůj vlastní název pro doménu zabezpečení. Můžete také určit, že má systém vytvořit jedinečný název sféry, pokud má být zaručeně jedinečný. V takovém případě bude název sféry založen na používaném registru.

Přiřazení důvěry:

Tuto volbu vyberte, chcete-li určit nastavení pro přiřazení důvěry. Pomocí přiřazení důvěry se k aplikačním serverům připojují reverzní servery proxy.

Přiřazení důvěry povolí integraci zabezpečení produktu IBM WebSphere Application Server a zabezpečovacích serverů jiných výrobců. Přesněji řečeno, reverzní server proxy může fungovat jako ověřovací server ve vyšší vrstvě, zatímco produkt použije u výsledného pověření předaného serverem proxy svou vlastní zásadu autorizace.

Přiřazení důvěry produktu Tivoli Access Manager lze konfigurovat pouze na globální úrovni. Konfigurace domény je také může používat, avšak nemůže mít jinou verzi zachytávače přiřazení důvěry. V systému může existovat pouze jedna instance zachytávačů přiřazení důvěry produktu Tivoli Access Manager.

Poznámka: Použití zachytávačů přiřazení důvěry (TAI) pro ověřování SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) je nyní zamítnuto. Panely webového ověřování SPNEGO poskytují mnohem snadnější způsob konfigurování mechanismu SPNEGO.
Zachytávače

Toto volbu vyberte, pokud chcete určit informace o důvěryhodnosti pro reverzní servery proxy.

Povolit přiřazení důvěry

Toto volbu vyberte, pokud chcete povolit integraci zabezpečení produktu IBM WebSphere Application Server a zabezpečovacích serverů jiných výrobců. Přesněji řečeno, reverzní server proxy může fungovat jako ověřovací server ve vyšší vrstvě, zatímco produkt použije u výsledného pověření předaného serverem proxy svou vlastní zásadu autorizace.

Webové ověřování SPNEGO

Určuje nastavení pro mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) jako prostředek webového ověřování.

Webové ověřování SPNEGO, které vám umožní konfigurovat mechanismus SPNEGO pro ověření webových prostředků, lze konfigurovat na úrovni domén.

Poznámka: V produktu WebSphere Application Server verze 6.1 byl zaveden modul TAI, který využívá mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) k zabezpečenému vyjednávání a ověřování požadavků HTTP pro zabezpečené prostředky. V produktu WebSphere Application Server 7.0 byla tato funkce zamítnuta. Webové ověřování SPNEGO nyní poskytuje dynamické načtení filtrů SPNEGO a umožňuje využití přihlašovacích metod aplikací.
Zabezpečení RMI/IIOP:

Určuje nastavení pro protokol RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Zprostředkovatel žádostí o objekty (ORB) spravuje komunikaci mezi klienty a servery pomocí protokolu IIOP (Internet InterORB Protocol). Umožňuje klientům zadávat požadavky a přijímat odezvy ze serverů v distribuovaném síťovém prostředí.

Pokud konfigurujete tyto atributy na úrovni domény, bude pro jednodušší zpracování zkopírována konfigurace zabezpečení RMI/IIOP na globální úrovni. Můžete změnit atributy, které mají být na úrovni domény odlišné. Nastavení transportní vrstvy pro příchozí komunikace CSIv2 by mělo být shodné pro globální úroveň i úroveň domény. Pokud jsou tato nastavení různá, budou pro všechny aplikace ve zpracování uplatněna nastavení pro úroveň domény.

Pokud nějaký proces komunikuje s jiným procesem s jinou sférou, ověření LTPA a tokeny šíření jsou předány na další server v posloupnosti zpracování, pokud je tento server uvedený v seznamu odchozích důvěryhodných serverů. Toto nastavení lze provést pomocí odkazu Důvěryhodné sféry ověření - odchozí na panelu Odchozí komunikace CSIv2.

Příchozí komunikace CSIv2

Tuto volbu vyberte, chcete-li určit nastavení ověřování pro obdržené požadavky a nastavení přenosu pro připojení přijatá tímto serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).

Produkt WebSphere Application Server umožňuje určit ověření IIOP (Internet Inter-ORB Protocol) pro příchozí a odchozí požadavky na ověření. Pro příchozí požadavky můžete určit typ přijímaných ověření, například základní ověřování.

Odchozí komunikace CSIv2

Tuto volbu vyberte, chcete-li určit nastavení ověřování pro odeslané požadavky a nastavení přenosu pro připojení zahájená serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).

Produkt WebSphere Application Server umožňuje určit ověření IIOP (Internet Inter-ORB Protocol) pro příchozí a odchozí požadavky na ověření. Pro odchozí požadavky můžete určit vlastnosti, například, typ ověřování, deklarace identity nebo konfigurace přihlašování, které jsou používány pro požadavky na další servery v toku zpracování.

Přihlášení aplikací JAAS

Tuto volbu vyberte, chcete-li definovat konfigurace přihlašování používané službou JAAS.

Aliasy pro přihlášení aplikací JAAS, přihlášení systému JAAS a autentizační údaje JAAS J2C mohou být konfigurovány na úrovni domény. Při výchozím nastavení mají všechny aplikace v systému přístup k přihlášením JAAS konfigurovaným na globální úrovni. Procesy zabezpečení za běhu nejprve zkontrolují přihlášení JAAS na úrovni domény. Pokud je nenajdou, zkusí je vyhledat v konfiguraci globálního zabezpečení. Tato přihlášení JAAS konfigurujte na úrovni domény pouze v případě, že potřebujete určit přihlášení, které má být používáno výhradně nějakou aplikací v doméně zabezpečení.

Pokud jsou pro doménu upraveny globální atributy, pro přihlášení JAAS a přizpůsobené vlastnosti mohou být tyto vlastnosti i nadále používány uživatelskými aplikacemi.

Neodebírejte přihlašovací konfigurace ClientContainer, DefaultPrincipalMapping a WSLogin, protože je mohou používat jiné aplikace. Pokud tyto konfigurace odeberete, může v jiných aplikacích dojít k selhání.

Používat globální přihlašovací jména a přihlašovací jména specifická pro konkrétní doménu

Tuto volbu vyberte, chcete-li určit nastavení, která jsou definována v rámci domény, například volby pro povolení zabezpečení aplikace a Java 2, a použít údaje o ověřování kvalifikovaná pro sféru.

Přihlášení systému JAAS:

Určuje nastavení konfigurace pro přihlášení systému služby JAAS. Můžete použít globální nastavení konfigurace zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Přihlášení systému

Tuto volbu vyberte, chcete-li definovat konfigurace přihlášení JAAS používané systémovými prostředky včetně mechanismu ověřování, mapování činitelů a mapování pověření.

Autentizační údaje JAAS J2C:

Určuje nastavení pro autentizační údaje J2C služby JAAS. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Položky ověřovacích dat konektoru J2EE (Java 2 Platform, Enterprise Edition) jsou používány adaptéry prostředků a zdroji dat JDBC (Java DataBase Connectivity).

Používat globální položky a položky specifické pro konkrétní doménu

Tuto volbu vyberte, chcete-li určit nastavení, která jsou definována v rámci domény, například volby pro povolení zabezpečení aplikace a Java 2, a použít údaje o ověřování kvalifikovaná pro sféru.

Atributy mechanismu ověřování:

Určuje různá nastavení mezipaměti, která musí být použita na úrovni domény.

  • Nastavení mezipaměti ověřování - tato volba slouží k určení nastavení mezipaměti ověřování. Konfigurace určená na tomto panelu je použita pouze pro tuto doménu.
  • Časový limit LTPA - na úrovni domény můžete definovat různé časové limity ověřování LTPA. Výchozí časový limit je 120 minut, tato hodnota je nastavena na globální úrovni. Pokud je časový limit ověřování LTPA nastaven na úrovni domény, jakýkoli token vytvořený v doméně zabezpečení při přístupu do uživatelské aplikace bude vytvořen s touto maximální dobou platnosti.
  • Použít jména uživatelů kvalifikovaná na úrovni sféry - Pokud je povolen tento výběr, jména uživatelů vrácená metodami jako getUserPrincipal( ) budou kvalifikována sférou zabezpečení (registr uživatelů) použitou aplikací v doméně zabezpečení.
Poskytovatel autorizace:

Určuje nastavení pro poskytovatele autorizace. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Na úrovni domény můžete konfigurovat externího poskytovatele JACC (Java Authorization Contract for Containers). Poskytovatele JAAC produktu Tivoli Access Manager lze konfigurovat pouze na globální úrovni. Domény zabezpečení je i nadále mohou používat, pokud nepřepíšou poskytovatele autorizace jiným poskytovatelem JACC nebo integrovanou nativní autorizací.

Vyberte volbu Výchozí autorizace nebo Externí autorizace pomocí poskytovatele JAAC. Tlačítko Konfigurovat je k dispozici pouze v případě výběru volby Externí autorizace pomocí poskytovatele JAAC.

[z/OS] Pokud v autorizaci SAF (System Authorization Facility) nastavíte předponu profilu autorizace SAF na úrovni domény, bude použita na úrovni serveru, takže bude pro všechny aplikace (administrativní i uživatelské) na serveru povolena nebo zakázána.

Volby zabezpečení z/OS:

Určuje nastavení pro systém z/OS. Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Přizpůsobené vlastnosti

Tuto volbu vyberte, chcete-li určit dvojice dat obsahující název a hodnotu, kde název odpovídá klíči vlastnosti a hodnota je řetězcová hodnota.

Na úrovni domény nastavte přizpůsobené vlastnosti, které jsou odlišné nebo nejsou zahrnuty mezi vlastnostmi na globální úrovni. Při výchozím nastavení mohou být všechny přizpůsobené vlastnosti v globální konfiguraci zabezpečení přistupovány všemi aplikacemi v systému. Procesy zabezpečení za běhu nejprve zkontrolují přizpůsobené vlastnosti na úrovni domény. Pokud je nenajdou, zkusí je vyhledat v konfiguraci globálního zabezpečení.

Vazby webových služeb

Klepnutím na volbu Výchozí vazby sady zásad nastavte vazby klienta a výchozího poskytovatele domény.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související pojmy
Související odkazy
Nastavení samostatného registru LDAP
Nastavení položek konfigurace pro službu JAAS (Java Authentication and Authorization Service)
Nastavení položky ověřovacích dat rozhraní J2C (Java 2 Connector)
Nastavení externího poskytovatele JACC (Java Authorization Contract for Containers)
Související informace
Přizpůsobené vlastnosti zabezpečení


Název souboru: usec_sec_domains_edit.html