Biztonsági tartományok beállítása

Ezen az oldalon tartományok biztonsági attribútumai konfigurálhatók, illetve a tartományok hozzárendelhetők cella erőforrásokhoz. Az egyes biztonsági attribútumok esetében használhatja a globális biztonsági beállításokat vagy személyre szabhatja a tartomány beállításait.

Az alábbi adminisztrációs konzol oldal megtekintéséhez kattintson a Biztonság > Biztonsági tartományok elemre. A Biztonsági tartományok gyűjteménye oldalon meglévő tartományokat választhat ki konfiguráláshoz, léthozhat új tartományokat vagy meglévőket másolhat.

A következő témakört elolvasva mélyebben megismerheti a többszörös biztonsági tartományok működését, és azok WebSphere Application Server jelenlegi változata általi támogatottságát: Több biztonsági tartomány

Név

Megadja a tartomány egyedi nevét. Ez a név a kezdeti megadás után többet nem módosítható.

A tartomány nevének egyedinek kell lenni egy cellán belül, és nem tartalmazhat érvénytelen karaktereket.

Leírás

Megadja a tartomány leírását.

Hozzárendelt hatáskörök

A cellatopológia megjelenítéséhez válassza ezt a lehetőséget. Hozzárendelheti a biztonsági tartományt az egész cellához vagy kijelölhet egyes fürtöket, csomópontokat és szolgáltatásintegrációs buszokat a biztonsági tartományhoz.

Ha az Összes hatáskör lehetőséget választja, akkor a teljes cellatopológia megjelenik.

Ha a Hozzárendelt hatáskörök lehetőséget választja, akkor a cellatopológia a jelenlegi tartományhoz rendelt kiszolgálókkal és fürtökkel jelenik meg.

A kifejezetten hozzárendelt tartományok neve megjelenik az erőforrások mellett. Bejelölt jelölőnégyzetek jelzik a jelenleg a tartományhoz rendelt erőforrásokat. Kiválaszthat más erőforrásokat is, és az Alkalmaz vagy OK gombra kattintva hozzárendelheti őket a jelenlegi tartományhoz.

A bejelölés nélküli (tiltott) erőforrások nincsenek az aktuális tartományhoz rendelve, és előbb el kell őket távolítani egy másik tartományból, mielőtt a jelenlegihez engedélyezhetővé válnának.

Ha egy erőforrásnak nincsen kifejezetten hozzárendelt tartománya, akkor az a cellához rendelt erőforrást fogja használni. Ha a cellához nincs tartomány rendelve, akkor az erőforrás a globális beállításokat fogja használni.

A fürttagok nem rendelhetők egyedenként tartományokhoz; a teljes fürt azonos tartományt kell használjon.

Alkalmazásbiztonság:

Válassza az Alkalmazásbiztonság engedélyezése elemet a felhasználói alkalmazások biztonságának engedélyezéséhez vagy letiltásához. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.

Ha ez a beállítás tiltott, akkor a biztonsági tartomány egyik EJB komponense és webalkalmazása sincs védve. Ezen erőforrások hozzáférhetőek felhasználó hitelesítés nélkül. Ha bejelöli a jelölőnégyzetet, azzal minden EJB és webalkalmazás számára kötelezővé teszi a J2EE biztonsági szolgáltatásainak használatát. A J2EE biztonság csak akkor kerül foganatosításra, ha a Globális biztonság engedélyezett a globális biztonsági konfigurációban (vagyis az alkalmazásbiztonság a globális szintű Globális biztonság engedélyezése nélkül nem kapcsolható be).

Alkalmazás biztonság engedélyezése

Engedélyezi az alkalmazások biztonságát a környezetben. A biztonság ezen típusa az alkalmazás elkülönítését, és az alkalmazás felhasználóinak hitelesítési követelményeit adja meg

A WebSphere Application Server korábbi kiadásaiban, ha a felhasználó engedélyezte a globális biztonságot, akkor az adminisztratív és az alkalmazás biztonság is engedélyezett lett. A WebSphere Application Server 6.1 változatban a globális biztonság korábbi megvalósítása adminisztratív biztonságra és alkalmazásbiztonságra volt felosztva, amelyek külön voltak engedélyezhetők.

A felosztás eredményként a WebSphere Application Server ügyfeleknek tudniuk kell, hogy az alkalmazásbiztonság tiltott-e a célkiszolgálón. Az adminisztratív biztonság alapértelmezésben engedélyezett. Az alkalmazásbiztonság alapértelmezésben tiltott. Az alkalmazásbiztonság engedélyezéséhez engedélyezni kell az adminisztratív biztonságot. Az alkalmazásbiztonság csak akkor lép hatályba, ha az adminisztratív biztonság engedélyezett.

Ha ez a beállítás tiltott, akkor a biztonsági tartomány egyik EJB komponense és webalkalmazása sincs védve. Ezen erőforrások hozzáférhetőek felhasználó hitelesítés nélkül. Ha bejelöli a jelölőnégyzetet, azzal minden EJB és webalkalmazás számára kötelezővé teszi a J2EE biztonsági szolgáltatásainak használatát. A J2EE biztonság csak akkor kerül foganatosításra, ha a Globális biztonság engedélyezett a globális biztonsági konfigurációban (vagyis az alkalmazásbiztonság a globális szintű Globális biztonság engedélyezése nélkül nem kapcsolható be).

Java 2 biztonság:

Válassza ki a Java 2 biztonság használata elemet a Java 2 biztonság engedélyezéséhez vagy letiltásához tartomány szinten, vagy a Java 2 biztonsághoz kapcsolódó tulajdonságok hozzárendeléséhez vagy felvételéhez. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.

Ez a választás a Java 2 biztonságot folyamat (JVM) szinten engedélyezi vagy tiltja, így minden alkalmazás (beleértve adminisztrátorit és felhasználóit is) engedélyezheti vagy letilthatja a Java 2 biztonságot.

Globális biztonsági beállítások alkalmazása

A használandó globális biztonsági beállítások megadásához válassza ezt a lehetőséget.

Személyre szabás ehhez a tartományhoz

A tartományban meghatározott beállítások megadásához, mint amilyenek az alkalmazás és Java 2 biztonságot engedélyező beállítások és a tartomány által minősített hitelesítési adatok válassza ezt a lehetőséget.

Java 2 biztonság használata, hogy a helyi erőforrásokhoz az alkalmazások hozzáférése korlátozott legyen

Kiválasztásával meghatározható a Java 2 biztonsági engedély ellenőrzés engedélyezése vagy tiltása. Alapértelmezésben a helyi erőforrásokhoz nem korlátozott a hozzáférés. Letilthatja a Java 2 biztonságot, még ha az alkalmazás biztonság engedélyezett is.

Amikor a Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében beállítás engedélyezett, és ha egy alkalmazásnak az alapértelmezett irányelvben megadottól több Java 2 biztonsági engedélyre van szüksége, akkor előfordulhat, hogy az elkelmezás nem fut sikeresem, amíg meg nem kapja a szükséges engedélyeket az alkalmazás app.policy vagy was.policy fájljában. Az igényelt engedélyekkel nem rendelkező alkalmazások AccessControl kivételeket idéznek elő.

Figyelmeztetés egyéni alkalmazás-engedélyek megadása esetén

Meghatározza, hogy alkalmazás telepítés és alkalmazás indítás során a biztonsági környezet figyelmeztetést hoz létre, ha az alkalmazások bármilyen egyéni engedélyt kapnak. Az egyéni engedélyek a felhasználói alkalmazások által meghatározott engedélyek, nem Java API engedélyek. A Java API engedélyek a java.* és a javax.* csomagokban meglévő angedélyek.

Az alkalmazáskiszolgáló támogatást nyújt az irányelv fájl kezeléshez. A termékben számos irányelv fájl található, egyik részük statikus, másik részük dinamikus. A dinamikus irányelv egy bizonyos erőforrás típusra vonatkozó engedélysablon. A dinamikus engedélysablonban nincs kódalap meghatározva és nem is használt relatív kódalap. A valós kódalap a konfigurációból és futási adatokból dinamikusan jön létre. A filter.policy fájl a J2EE 1.4 specifikáció szerint tartalmazza az engedélyek listáját, melyeket a felhasználó nem kíván megadni az alkalmazásoknak.

Fontos: Ezt a beállítást nem engedélyezheti a Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében beállítás engedélyezése nélkül.
Erőforrás hitelesítési adatokhoz hozzáférés tiltása

Ha a Java 2 biztonság nincs engedélyezve, akkor ez a beállítás tiltott.

A lehetőség engedélyezését a következő két feltétel egyidejű teljesülése esetén fontolja meg:
  • Java 2 biztonság foganatosított.
  • Az alkalmazás megkapta az accessRuntimeClasses WebSphereRuntimePermission engedélyt az alkalmazás EAR fájljában található was.policy fájlban. Például az alkalmazáskód megkapta az engedélyt, ha a was.policy fájlban megtalálható a következő sor:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

A Hozááférés tiltása erőforrás hitelesítési adatokhoz lehetőség finoman szabályozható Java 2 engedély ellenőrzést ad a WSPrincipalMappingLoginModule megvalósítás alapértelmezett azonosítókiosztásához. Engedélyezett Java 2 biztonság használata az alkalmazás helyi erőforrásokhoz való hozzáférésének korlátozása érdekében és Hozzáférés tiltása erőforrás hitelesítési adatokhoz beállítások esetén kifejezett engedélyt kell adnia a Java 2 Platform, Enterprise Edition (J2EE) alkalmazásoknak, melyek a Java hitelesítési és jogosultsági szolgáltatás (JAAS) bejelentkezésnél közvetlenül a WSPrincipalMappingLoginModule megvalósítást használják.

Alapértelmezett: Tiltott
Felhasználói tartomány:

Ez a rész lehetővé teszi a biztonsági tartomány felhasználói nyilvántartásának konfigurálását. A tartományszinten használt egyesített lerakatot kivéve külön konfigurálhat bármilyen nyilvántartást. Az egyesített lerakat csak globális szinten konfigurálható, de tartomány szinten is használható.

Nyilvántartás tartomány szintű konfigurálása során saját tartománynevet határozhat meg a nyilvántartásnak. A tartománynév megkülönbözteti a felhasználói nyilvántartásokat egymástól. A tartománynév több helyen is előfordul: a Java ügyfél bejelentkezés paneljén felszólítja a felhasználót, a hitelesítési gyorsítótárban és natív hitelesítés esetén.

Globális konfigurációs szinten a rendszer hozza létre a tartományt a felhasználói nyilvántartáshoz. A WebSphere Application Server előző kiadásaiban csak egy felhasználói nyilvántartás kerül konfigurálásra a rendszerben. Többszörös biztonsági tartományok esetén a rendszeren több nyilvántartás is beállítható. A biztonsági tartománynak állítson be saját tartománynevet, hogy egyedi legyen a tartományok közt. Azt is választhatja, hogy a rendszer hozzon létre egyedi tartománynevet, hogy bizonyosan egyedi legyen. Utóbbi esetben a tartománynév a használt nyilvántartáson alapul.

Tanúsítvány hozzárendelés:

A megbízhatóság hozzárendelés beállításainak megadásához válassza ezt a lehetőséget. Megbízhatóság hozzárendeléssel fordított proxykiszolgálók csatlakoztathatók alkalmazáskiszolgálókhoz.

Az megbízhatóság hozzárendelés a IBM WebSphere Application Server biztonság és más harmadik féltől származó biztonsági kiszolgálók integrációját teszi lehetővé. Tehát egy fordított proxykiszolgáló előfeldolgozó hitelesítés kiszolgálóként szerepelhet, míg a termék saját hitelesítési irányelvét alkalmazza az eredményül kapott és a proxykiszolgáló által átadott hitelesítési adatokra.

A Tivoli Access Manager megbízható társítási eljárás elfogói csak a globális szinten állíthatók be. A tartomány konfiguráció is használhatja őket, de az megbízhatóság hozzárendelés elfogó változatának azonosnak kell lennie. A Tivoli Access Manager megbízható társítási eljárás elfogóinak csak egy példánya lehet a rendszerben.

Megjegyzés: Az megbízhatóság hozzárendelés elfogók (TAI-k) használata Egyszerű és védett GSS-API egyeztetési mechanizmus (SPNEGO) hitelesítéshez elavult. Az SPNEGO webes hitelesítési paneljei segítségével az SPNEGO sokkal egyszerűbben konfigurálható.
Megszakítók

A fordított proxykiszolgálók tanúsítvány információinak megadásához vagy eléréséhez válassza ezt a lehetőséget.

Tanúsítvány hozzárendelés engedélyezése

A IBM WebSphere Application Server biztonság és más harmadik féltől származó biztonsági kiszolgálók integrációjához válassza ezt a lehetőséget. Tehát egy fordított proxykiszolgáló előfeldolgozó hitelesítés kiszolgálóként szerepelhet, míg a termék saját hitelesítési irányelvét alkalmazza az eredményül kapott és a proxykiszolgáló által átadott hitelesítési adatokra.

SPNEGO Webes hitelesítés:

Az Egyszerű és védett GSS-API egyeztetés (SPNEGO) webes hitelesítési mechanizmus beállításait határozza meg.

Az SPNEGO beállítását webes erőforrás hitelesítéshez lehetővé tevő SPNEGO webes hitelesítés tartomány szinten konfigurálható.

Megjegyzés: A WebSphere Application Server 6.1-es változatában megjelent a SPNEGO mechanizmust alkalmazó TAI szolgáltatás, amellyel biztonságosan egyeztethetők és hitelesíthetők a védett erőforrásokat érintő HTTP-kérések. A WebSphere Application Server 7.0 változatban ez a funkció már elavult. A helyét az SPNEGO webes hitelesítés vette át, ami az SPNEGO szűrők dinamikus újratöltését kínálja, valamint lehetővé teszi az alkalmazás bejelentkezési módszerhez való visszalépést.
RMI/IIOP biztonság:

A Távoli módszerhívás Internet Inter-ORB Protokoll fölött (RMI/IIOP) beállításait határozza meg.

Az ORB kezeli az ügyfelek és a kiszolgálók közötti interakciókat az Internet InterORB Protocol (IIOP) segítségével. Lehetővé teszi az ügyfelek számára a kérések küldését és fogadását a kiszolgálóktól egy szétosztott hálózati környezetben.

Ha tartomány szinten konfigurálja ezen attribútumokat, akkor kényelmi szempontokból az RMI/IIOP globális szintű biztonsági konfiguráció kerül másolásra. Ebben megváltoztathatók azon attribútumok, amelyeknek tartomány szinten eltérőnek kell lenniük. A CSIv2 bejövő kommunikáció Szállítás rétegbeállítása azonos kell legyen mind globális mind tartomány szinten. Ha különböznek, akkor a tartomány szintű attribútumok kerülnek alkalmazásra a folyamat összes alkalmazása esetén.

Ha egy folyamat eltérő tartományban lévő másik folyamattal kommunikál, akkor az LTPA hitelesítés és a terjesztési jelsorok a lefelé irányuló kiszolgálók felé továbbításra kerülnek, kivéve ha a kiszolgáló fel van sorolva a kimenő megbízható tartományok listájában. Ez a Megbízható hitelesítési tartományok - kimenő hivatkozással tehető meg a CSIv2 kimenő kommunikáció panelen.

CSIv2 bejövő kommunikáció

A kiszolgáló által Objektumkezelési csoport (OMG) Közös biztonságos együttműködés (CSI) hitelesítési protokollal kapott kérések hitelesítési beállításainak és ugyanezen protokollal elfogadott kapcsolatok szállítási beállításainak megadásához válassza ezt a lehetőséget.

A WebSphere Application Server lehetővé teszi Internet Inter-ORB Protokoll (IIOP) hitelesítés megadását bejövő és kimenő hitelesítési kérésekhez egyaránt. Bejövő kérések esetén megadhatja az elfogadott hitelesítési típust is, például az alapvető hitelesítést.

CSIv2 kimenő kommunikáció

A kiszolgáló által Objektumkezelési csoport (OMG) Közös biztonságos együttműködés (CSI) hitelesítési protokollal küldött kérések hitelesítési beállításainak és ugyanezen protokollal kezdeményezett kapcsolatok szállítási beállításainak megadásához válassza ezt a lehetőséget.

A WebSphere Application Server lehetővé teszi Internet Inter-ORB Protokoll (IIOP) hitelesítés megadását bejövő és kimenő hitelesítési kérésekhez egyaránt. Kimenő kérések esetében megadhat olyan tulajdonságokat, mint például hitelesítés típusa, azonosság-érvényesítés vagy lefelé irányuló kiszolgálók kéréseihez használt bejelentkezési konfigurációk.

JAAS alkalmazás bejelentkezések

Ezzel a lehetőséggel JAAS által használt bejelentkezési konfigurációkat határozhat meg.

A JAAS alkalmazás bejelentkezések, a JAAS rendszer bejelentkezések és a JAAS J2C hitelesítési álnevek mind tartományi szinten konfigurálhatók. Alapértelmezésben a rendszer alkalmazásai hozzáférnek a globális szinten konfigurált JAAS bejelentkezésekhez. A biztonsági futási környezet először tartományszinten keresi a JAAS bejelentkezéseket. Ha nem találja azokat, akkor megnézi a globális biztonsági konfigurációt is. Ezen JAAS bejelentkezéseket csak akkor konfigurálja tartományokhoz, ha kifejezetten a biztonsági tartomány alkalmazásainak szeretne bejelentkezést megadni.

JAAS és egyéni tulajdonságok esetében egy tartomány globális attribútumainak személyre szabása után azok továbbra is felhasználhatók felhasználói alkalmazások által.

Ne távolítsa el a ClientContainer, DefaultPrincipalMapping és WSLogin bejelentkezési konfigurációkat, mert más alkalmazásoknak szükségük lehet rájuk. Ha ezek a konfigurációk eltávolításra kerülnek, akkor egyes alkalmazások meghibásodhatnak.

Globális és tartományspecifikus bejelentkezések alkalmazása

A tartományban meghatározott beállítások megadásához, mint amilyenek az alkalmazás és Java 2 biztonságot engedélyező beállítások és a tartomány által minősített hitelesítési adatok válassza ezt a lehetőséget.

JAAS rendszer bejelentkezések:

A JAAS rendszer bejelentkezések konfigurációs beállításait határozza meg. Használhatja a globális biztonsági beállításokat vagy személyre szabhatja egy tartomány konfigurációs beállításait.

Rendszer bejelentkezések

Válassza ezt a lehetőséget a rendszer erőforrásai által használt JAAS bejelentkezési konfigurációk meghatározásához, beleértve a hitelesítési mechanizmust, azonosítókiosztást és hitelesítési adatok kiosztását.

JAAS J2C hitelesítési adatok:

A JAAS J2C hitelesítési adatok beállításait határozza meg. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.

A Java 2 Platform, Enterprise Edition (J2EE) Connector hitelesítési adat bejegyzéseket erőforrás illesztők és Java DataBase Connectivity (JDBC) adatforrások használják.

Globális és tartományspecifikus bejegyzések alkalmazása

A tartományban meghatározott beállítások megadásához, mint amilyenek az alkalmazás és Java 2 biztonságot engedélyező beállítások és a tartomány által minősített hitelesítési adatok válassza ezt a lehetőséget.

Hitelesítés mechanizmus attribútumai:

Megadja a különféle tartomány szinten alkalmazandó gyorsítótár beállításokat.

  • Hitelesítési gyorsítótár beállításai - adja meg a hitelesítési gyorsítótár beállításait. A panelen megadott konfiguráció csak erre a tartományra vonatkozik.
  • LTPA időkorlát - Eltérő LTPA időkorlát állítható be tartomány szinten. Az alapértelmezett időkorlát a globális szinten beállított 120 perc. Ha az LTPA időkorlát tartomány szinten beállításra kerül, akkor a biztonsági tartományban alkalmazások elérésekor létrehozott tokenek ezzel a lejárati idővel jönnek létre.
  • Tartomány által minősített felhasználói nevek használata - Ha ez a lehetőség engedélyezett, akkor az olyan metódusok által visszaküldött felhasználói nevek, mint a getUserPrincipal( ), a biztonsági tartomány alkalmazásai által használt felhasználói nyilvántartással kerülnek minősítésre.
Hitelesítés szolgáltató:

A hitelesítés szolgáltató beállításait határozza meg. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.

Tartományszinten meghatározhat egy külső, harmadik féltől származó JACC (Java jogosultsági szerződés tárolókhoz) szolgáltatót. A Tivoli Access Manager JACC szolgáltatója csak globális szinten konfigurálható. Biztonsági tartományok továbbra is használhatják, feltéve hogy a hitelesítés szolgáltatót nem írják felül a más JACC szolgáltatóval vagy a beépített natív hitelesítéssel.

Válassza az Alapértelmezett hitelesítés vagy a Külső hitelesítés JAAC szolgáltatóval lehetőségek valamelyikét. A Beállítás gomb csak a Külső hitelesítés JAAC szolgáltatóval kiválasztásakor engedélyezett.

[z/OS] A Rendszer hitelesítési szolgáltatás (SAF) esetén, ha beállítja a SAF profil előtagot tartomány szinten, akkor a kiszolgáló szintjén kerül alkalmazásra, így minden alkalmazás (adminisztrációs és felhasználói egyaránt) engedélyezi vagy letiltja azt a kiszolgálón.

z/OS biztonsági beállítások:

A z/OS beállításait határozza meg. Használhatja a globális biztonsági beállításokat, vagy személyre szabhatja a globális biztonsági beállításokat egy tartomány számára.

Egyéni tulajdonságok

Ezen az oldalon tetszőleges név-érték párokat adhat meg, ahol a név egy tulajdonság kulcsa, az érték pedig egy karaktersorozat.

Olyan egyéni tulajdonságok beállítása tartomány szinten, amik újak vagy eltérnek a globális szint beállításairól. Alapértelmezésben a globális biztonság összes egyéni tulajdonsága elérhető a rendszer összes alkalmazása által. A biztonsági futtatókód először tartomány szinten ellenőrzi az egyéni tulajdonságokat. Ha nem talál ilyet, akkor megpróbálja beszerezni az egyéni tulajdonságokat a globális biztonsági konfigurációból.

Webszolgáltatások kötései

Kattintson az Alapértelmezett irányelvkötések lehetőségre a tartomány alapértelmezett szolgáltatói és ügyfélkötéseinek beállításához.




A jelzett hivatkozások (online) Internet-hozzáférést igényelnek.

Kapcsolódó fogalmak
Kapcsolódó hivatkozás
Önálló LDAP nyilvántartás beállítások
Java hitelesítési és felhatalmazási szolgáltatás (JAAS) konfigurációs bejegyzések beállítása
Java 2 Connector (J2C) hitelesítés adatbeviteli beállítások
Külső Java Tároló felhatalmazó szerződés (JACC) beállítások
Kapcsolódó tájékoztatás
Biztonsági egyéni tulajdonságok


Fájlnév: usec_sec_domains_edit.html