Prostřednictvím tohoto panelu lze konfigurovat administraci a výchozí zásadu zabezpečení aplikací. Tato konfigurace zabezpečení se vztahuje na zásadu zabezpečení pro všechny administrativní funkce a používá se jako výchozí zásada zabezpečení pro uživatelské aplikace. Domény zabezpečení lze definovat tak, aby přepisovaly a přizpůsobovaly zásady zabezpečení pro uživatelské aplikace.
Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení.
Zabezpečení má určitý dopad na výkon používaných aplikací. Tento vliv na výkon aplikací může záviset na charakteristice zatížení aplikací. Nejprve je nutné zajistit aktivaci potřebné úrovně zabezpečení pro aplikace a poté
lze změřit dopad zabezpečení na výkon aplikací.
Po konfiguraci zabezpečení ověřte všechny změny na panelu registru uživatelů nebo ověřovacího mechanizmu. Klepnutím na tlačítko Použít ověříte nastavení registru uživatelů. Byl proveden pokus o ověření ID serveru nebo o ověření ID administrátora (je-li použit parametr internalServerID) oproti konfigurovanému registru uživatelů. Pokud po aktivaci zabezpečení správy ověříte nastavení registru uživatelů, vyhnete se případným problémům při prvním restartu serveru.
Spustí průvodce, který umožňuje konfigurovat základní nastavení zabezpečení správy a aplikací. Pro tento proces jsou úlohy správy a činnost aplikací omezeny na autorizované uživatele.
Pomocí tohoto průvodce můžete konfigurovat zabezpečení aplikací, prostředků či konektoru J2C (Java 2 Connector) a registr uživatelů. Můžete konfigurovat existující registr a aktivovat zabezpečení správy, aplikací a prostředků.
Pokud použijete změny provedené pomocí průvodce konfigurací zabezpečení, bude ve výchozím nastavení aktivováno zabezpečení správy.
Spustí sestavu, která získá a zobrazí aktuální nastavení zabezpečení aplikačního serveru. Budou získávány informace o základním nastavení zabezpečení, administrativních uživatelích a skupinách, rolích pojmenování CORBA a ochraně souborů cookie. Je-li konfigurováno více domén zabezpečení, je v rámci sestavy zobrazena konfigurace zabezpečení přidružená k jednotlivým doménám.
V současné době je zobrazení sestavy omezeno a nejsou v ní uvedeny údaje zabezpečení na úrovni aplikací. V sestavě nejsou zobrazeny ani informace týkající se zabezpečení JMS (Java Message Service), zabezpečení sběrnice ani zabezpečení webových služeb.
Určuje, zda má být pro tuto doménu aplikačního serveru aktivováno zabezpečení správy. Zabezpečení správy vyžaduje ověření uživatelů předtím, než získají administrativní kontrolu nad aplikačním serverem.
Další informace můžete získat prostřednictvím souvisejících odkazů týkajících se rolí pro správu a administrativního ověření.
Při aktivaci zabezpečení je třeba nastavit konfigurační údaje mechanizmu ověřování a zadat platné jméno a heslo uživatele (nebo platné ID administrátora při použití parametru internalServerID) ve zvolené konfiguraci registru.
Volbu Úloha spuštěná v systému z/OS můžete zadat pouze v případě, že registrem uživatelů je Lokální operační systém.
Pokud se vyskytnou problémy (například server nebude po aktivaci zabezpečení v rámci domény zabezpečení spuštěn), proveďte opětovnou synchronizaci všech souborů z buňky na tento uzel. Chcete-li provést opětovnou synchronizaci souborů, spusťte z daného uzlu následující příkaz: syncNode -username vaše_jméno_uživatele -password vaše_heslo. Tento příkaz připojí správce zavedení a provede opětnou synchronizaci všech souborů.
Pokud se server po povolení zabezpečení správy nerestartuje, můžete zabezpečení zakázat. Přejděte do adresáře
kořenový_adresář_aplikačního_serveru/bin a
spusťte příkaz wsadmin -conntype NONE. Po zobrazení výzvy wsadmin> zadejte příkaz securityoff a poté se zadáním příkazu exit vraťte k výzvě pro zadávání příkazů. Restartujte server se zakázaným zabezpečením a prostřednictvím konzoly pro správu ověřte, zda se nevyskytují nesprávná
nastavení.
Registr uživatelů lokálního OS: Pokud jste jako aktivní registr uživatelů vybrali volbu Lokální OS, není nutné v konfiguraci registru uživatelů zadávat heslo.
Výchozí hodnota: | Povoleno |
Povolí zabezpečení pro aplikace v příslušném prostředí. Tento typ zabezpečení poskytuje oddělení aplikací a požadavky pro ověřování uživatelů aplikací.
V předchozích verzích produktu WebSphereApplication Server bylo při povolení globálního zabezpečení uživatelem povoleno zabezpečení správy i aplikací. V produktu WebSphere Application Server verze 6.1 je dřívější koncepce globálního zabezpečení rozdělena na zabezpečení správy a zabezpečení aplikací, přičemž každé lze povolit samostatně.
V důsledku tohoto rozdělení musí klienti produktu WebSphere Application Server vědět, zda je na cílovém serveru zakázáno zabezpečení aplikací. Zabezpečení správy je při výchozím nastavení povoleno. Zabezpečení aplikací je při výchozím nastavení zakázáno. Chcete-li povolit zabezpečení aplikací, je třeba povolit zabezpečení správy. Zabezpečení aplikací je využíváno pouze v případě, že je povoleno zabezpečení správy.
Výchozí hodnota: | Zakázáno |
Určuje, zda má být aktivována či deaktivována kontrola oprávnění pro zabezpečení prostředí Java 2. Ve výchozím nastavení není přístup k lokálním prostředkům omezen. Zabezpečení prostředí Java 2 můžete deaktivovat i v případě, že je zabezpečení aplikace aktivováno.
Pokud je aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a pokud aplikace vyžaduje více oprávnění zabezpečení prostředí Java 2, než je jí uděleno ve výchozí zásadě, nemusí tato aplikace pracovat správně, dokud jí nebudou udělena potřebná oprávnění v souboru app.policy nebo v souboru was.policy aplikace. Aplikace, kterým nejsou udělena všechna potřebná oprávnění, generují výjimky AccessControl. Další informace o zabezpečení Java 2 můžete získat prostřednictvím souvisejících odkazů.
Výchozí hodnota: | Zakázáno |
Určuje, že pokud je během zavádění a spouštění aplikací těmto aplikacím udělena vlastní oprávnění, běhový modul zabezpečení zobrazí varovnou zprávu. Vlastními oprávněními se rozumí oprávnění definovaná uživatelskými aplikacemi, nikoli oprávnění rozhraní API Java. Oprávnění rozhraní API Java jsou oprávnění v balících java.* a javax.*.
Aplikační server poskytuje podporu pro správu souborů zásad. V tomto produktu je k dispozici celá řada souborů zásad. Některé z nich jsou statické, jiné dynamické. Dynamická zásada je šablona oprávnění pro konkrétní typ prostředku. V šabloně dynamické zásady není definován žádný základ kódu ani žádný relativní základ kódu. Skutečný základ kódu je dynamicky vytvářen z konfiguračních dat a dat vytvářených během zpracování. Soubor filter.policy obsahuje seznam oprávnění, která aplikace nemá mít, podle specifikace J2EE 1.4. Další informace týkající se oprávnění můžete získat prostřednictvím souvisejícího odkazu týkajícího se souborů zásad zabezpečení prostředí Java 2.
Výchozí hodnota: | Zakázáno |
Tuto možnost povolte, chcete-li omezit přístup aplikací k citlivým ověřovacím datům mapování JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Volba Omezit přístup k datům ověřování prostředků umožňuje přidat detailní kontrolu oprávnění zabezpečení Java 2 do výchozího hlavního mapování implementace WSPrincipalMappingLoginModule. Je třeba udělit explicitní oprávnění aplikacím v rámci platformy J2EE (Java 2 Enterprise Edition), které používají implementaci WSPrincipalMappingLoginModule přímo pro přihlášení služby JAAS (Java Authentication and Authorization Service), pokud jsou aktivovány volby Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a Omezit přístup k datům ověřování prostředků.
Výchozí hodnota: | Zakázáno |
Určuje aktuální nastavení pro aktivní úložiště uživatelů.
Toto pole je určeno pouze pro čtení.
Určuje dostupná úložiště uživatelských účtů.
Povolí úložiště uživatelů po jeho konfigurování.
Při práci pod jiným než kořenovým uživatelem systému UNIX nebo při práci v prostředí s více uzly je vyžadován registr uživatelů LDAP nebo vlastní registr.
Tuto volbu vyberte, chcete-li jako registr uživatelů aplikačního serveru použít nakonfigurovaný server zabezpečení, který je kompatibilní s prostředky RACF (Resource Access Control Facility) nebo SAF (System Authorization Facility).
U platforem UNIX nelze volbu Lokální operační systém použít v konfiguracích s více uzly ani při spuštění pod jiným jménem uživatele než root.
Registr lokálního operačního systému je platný pouze při použití řadiče domény nebo tehdy, pokud je buňka Network Deployment umístěna na samostatném počítači. V tomto druhém případě nelze rozmístit více uzlů v buňce do více počítačů, protože při této konfiguraci by nebylo použití registru lokálního operačního systému platné.
Toto nastavení určete, chcete-li používat nastavení samostatného registru LDAP, pokud jsou uživatelé a skupiny umístěni v externím adresáři LDAP. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, přejděte na panel Zabezpečení > Globální zabezpečení a klepnutím na tlačítko Použít nebo OK změny ověřte.
Výchozí hodnota: | Zakázáno |
Vyberte konfiguraci globálního nastavení zabezpečení.
V části Ověření můžete pomocí rozbalení nabídky Webové zabezpečení a zabezpečení SIP zobrazit odkazy na následující položky:
Tuto volbu vyberte, chcete-li určit nastavení pro webové ověřování.
Tuto volbu vyberte, chcete-li určit konfigurační hodnoty pro jednotné přihlášení (SSO).
Díky podpoře jednotného přihlášení (SSO) lze webové uživatele ověřit jednou při přístupu k prostředkům produktu WebSphere Application Server, jako jsou soubory HTML, soubory JSP (JavaServer Pages), servlety, objekty enterprise bean, i k prostředkům produktu Lotus Domino.
Mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) poskytuje pro webové klienty a server možnost dohadování protokolu webového ověřování používaného k povolení komunikace.
Tuto volbu vyberte, chcete-li určit nastavení pro přiřazení důvěry. Pomocí přiřazení důvěry se k aplikačním serverům připojují reverzní servery proxy.
Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
V části Ověření můžete pomocí rozbalení nabídky Zabezpečení RMI/IIOP zobrazit odkazy na následující položky:
Tuto volbu vyberte, chcete-li určit nastavení ověřování pro obdržené požadavky a nastavení přenosu pro připojení přijatá tímto serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).
Tuto volbu vyberte, chcete-li určit nastavení ověřování pro odeslané požadavky a nastavení přenosu pro připojení zahájená serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).
V části Ověření můžete pomocí rozbalení nabídky Služba JAAS (Java Authentication and Authorization Service) zobrazit odkazy na následující položky:
Tuto volbu vyberte, chcete-li definovat konfigurace přihlašování používané službou JAAS.
Neodebírejte přihlašovací konfigurace ClientContainer, DefaultPrincipalMapping a WSLogin, protože je mohou používat jiné aplikace. Pokud tyto konfigurace odeberete, může v jiných aplikacích dojít k selhání.
Tuto volbu vyberte, chcete-li definovat konfigurace přihlášení JAAS používané systémovými prostředky včetně mechanizmu ověřování, mapování činitelů a mapování pověření.
Tuto volbu vyberte, chcete-li určit nastavení pro data ověřování konektoru J2C (Java 2 Connector) služby JAAS (Java Authentication and Authorization Service).
Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.
Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.
Šifrování autentizačních informací, které si servery vyměňují, zahrnuje mechanizmus LTPA (Lightweight Third-Party Authentication).
Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.
Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.
Šifrování autentizačních informací, které si servery vyměňují, zahrnuje protokol KRB5 mechanizmu LTPA .
Slouží k určení nastavení mezipaměti ověřování.
Určuje, zda jména uživatelů vracená různými metodami, například metodou getUserPrincipal(), mají být kvalifikována s použitím sféry zabezpečení, v níž jsou umístěna.
Prostřednictvím odkazu Doména zabezpečení lze nastavovat další konfigurace zabezpečení pro uživatelské aplikace.
Chcete-li například pro sadu uživatelských aplikací použít jiný registr uživatelů než ten, který je používán na globální úrovni, můžete vytvořit konfiguraci zabezpečení s příslušným registrem uživatelů a přidružit ji k této sadě aplikací. Tyto další konfigurace zabezpečení lze přidružit k různým oborům (buňka, klastry/servery, sběrnice SIB). Po přidružení konfigurace zabezpečení k oboru budou tuto konfiguraci zabezpečení používat všechny uživatelské aplikace v daném oboru. Podrobnější informace naleznete v části Více domén zabezpečení.
Pro každý atribut zabezpečení můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro příslušnou doménu.
Tuto volbu vyberte, chcete-li určit, zda má být použito výchozí nastavení autorizace nebo externí poskytovatel autorizace.
Externí poskytovatelé musí být založeni na specifikaci JACC (Java Authorization Contract for Containers), aby mohli zpracovávat autorizaci prostředí J2EE (Java(TM) 2 Platform, Enterprise Edition). Neměňte žádné parametry na panelech poskytovatele autorizace, pokud jste nenakonfigurovali externího poskytovatele zabezpečení jako poskytovatele autorizace JACC.
Tuto volbu vyberte, chcete-li určit dvojice dat obsahující název a hodnotu, kde název odpovídá klíči vlastnosti a hodnota je řetězcová hodnota.
Odkazy s označením (online) vyžadují přístup k Internetu.