Configurare domenii de securitate

Utilizaţi această pagină pentru a configura atributele de securitate ale unui domeniu şi pentru a aloca domeniul la resurse de celule. Pentru fiecare atribut de securitate, puteţi utiliza setările de securitate globală sau personalizaţi setările pentru domeniu.

Pentru a vizualiza această pagină de consolă administrativă, apăsaţi pe Securitate > Domenii de securitate. Pe pagina Colecţie domenii de securitate, selectaţi un domeniu existent de configurat, pentru a crea unul nou sau pentru a copia un domeniu existent.

Citiţi despre Domenii de securitate multiple pentru o mai bună înţelegere a ce sunt domeniile de securitate multiple şi cum sunt ele suportate în această versiune de WebSphere Application Server.

Nume

Specifică un nume unic pentru domeniu. Acest nume nu poate fi editat după lansarea iniţială.

Un nume de domeniu trebuie să fie unic într-o celulă şi nu poate conţine un caracter nevalid.

Descriere

Specifică o descriere pentru domeniu.

Domenii alocate

Selectaţi pentru a afişa topologia celulei. Puteţi aloca domeniul de securitate la întreaga celulă sau puteţi selecta clusterele specifice, noduri şi magistrale de integrare a serviciilor de inclus în domeniul de securitate.

Dacă selectaţi Toate domeniile, se afişează întreaga topologie a celulei.

Dacă selectaţi Domenii alocate, topologia celulei este afişată cu acele servere şi clustere care sunt alocate domeniului curent.

Numele unui domeniu alocat explicit apare lângă orice resursă. Casetele bifate indică resursele care sunt alocate momentan domeniului. De asemenea, puteţi selecta alte resurse şi apăsaţi pe Aplicare sau OK pentru a le aloca domeniului curent.

O resursă care nu este bifată (dezactivată) indică faptul că nu este alocată domeniului curent şi trebuie înlăturată de la alt domeniu înainte de a putea fi activată pentru domeniul curent.

Dacă o resursă nu are un domeniu alocat explicit, utilizează domeniul alocat celulei. Dacă nu este alocat nici un domeniu celulei, atunci resursa utilizează setările globale.

Membrii clusterului nu pot fi alocaţi individual la domenii; clusterul de intrare utilizează acelaşi domeniu.

Securitate aplicaţie:

Selectaţi Activare securitate aplicaţie pentru a activa sau a dezactiva securitatea pentru aplicaţiile de utilizator. Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.

Când această selecţie este dezactivată, toate EJB-urile şi aplicaţiile web din domeniul de securitate nu mai sunt protejate. Se acordă acces la aceste resurse fără autentificare de utilizator. Când activaţi această selecţie, securitatea J2EE este impusă pentru toate EJB-urile şi aplicaţiile web din domeniul de securitate. Securitatea J2EE este impusă numai când Securitatea globală este activată în configuraţia de securitate globală (adică, nu puteţi activa securitatea aplicaţiei fără a activa mai întâi Securitatea globală la nivelul global).

Activare securitate aplicaţie

Activează securitatea pentru aplicaţiile din mediul dumneavoastră. Acest tip de securitate furnizează izolarea aplicaţiei şi cerinţe pentru autentificarea utilizatorilor aplicaţiei

În ediţiile anterioare ale WebSphere Application Server, când un utilizator activa securitatea globală, erau activate şi securitatea administrativă şi cea de aplicaţie. În WebSphere Application Server Versiunea 6.1, noţiunea anterioară de securitate globală era împărţită în securitate administrativă şi securitate de aplicaţie, pe fiecare dintre ele putând-o activa separat.

Ca rezultat al acestei împărţiri, clienţii WebSphere Application Server trebuie să ştie dacă securitatea aplicaţiei este dezactivată la serverul destinaţie. Securitatea administrativă este activată implicit. Securitatea aplicaţiei este dezactivată implicit. Pentru a activa securitatea aplicaţiei, trebuie să activaţi securitatea administrativă. Securitatea aplicaţiei are efect numai când este activată securitatea administrativă.

Când această selecţie este dezactivată, toate EJB-urile şi aplicaţiile web din domeniul de securitate nu mai sunt protejate. Se acordă acces la aceste resurse fără autentificare de utilizator. Când activaţi această selecţie, securitatea J2EE este impusă pentru toate EJB-urile şi aplicaţiile web din domeniul de securitate. Securitatea J2EE este impusă numai când Securitatea globală este activată în configuraţia de securitate globală (adică, nu puteţi activa securitatea aplicaţiei fără a activa mai întâi Securitatea globală la nivelul global).

Securitatea Java 2:

Selectaţi Utilizare securitate Java 2 pentru a activa sau a dezactiva securitatea Java 2 la nivelul domeniului sau pentru a aloca sau adăuga proprietăţi legate de securitatea Java 2. Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.

Această alegere activează sau dezactivează securitatea Java 2 la nivelul procesului (JVM) astfel încât toate aplicaţiile (atât administrative cât şi de utilizator) să poată activa sau dezactiva securitatea Java 2.

Utilizare setări de securitate globală

Selectaţi să se specifice setările de securitate globală care sunt utilizate.

Personalizare pentru acest domeniu

Selectaţi pentru a specifica setările care sunt definite în domeniu, cum ar fi opţiunile de activa aplicaţia şi securitatea Java 2 şi de a utiliza date de autentificare calificate pentru regiune.

Utilizaţi securitatea Java 2 pentru a restricţiona accesul aplicaţiei la resursele locale

Selectaţi să se specifice dacă să se activeze sau să se dezactiveze verificarea permisiunii securităţii Java 2. Implicit, accesul la resursele locale nu este restricţionat. Puteţi alege să dezactivaţi securitatea Java 2, chiar atunci când este activată securitatea aplicaţiei.

Când este activată opţiunea Utilizare securitate Java 2 pentru a restricţiona accesul aplicaţiei la resurse locale şi dacă o aplicaţie necesită mai multe permisiuni de securitate Java 2 decât îi sunt acordate în politica implicită, aplicaţia ar putea eşua să ruleze corespunzător până când permisiunile necesare sunt acordate în fişierul app.policy sau în fişierul was.policy al aplicaţiei. Excepţiile AccessControl sunt generate de aplicaţii care nu au toate permisiunile necesare.

Avertisment dacă aplicaţiilor li se acordă permisiuni personalizate

Specifică faptul că în timpul implementării aplicaţiei şi al pornirii aplicaţiei, runtime-ul de securitate emite un avertisment dacă aplicaţiilor li se acordă vreo permisiune personalizată. Permisiunile personalizate sunt permisiuni care sunt definite de aplicaţiile de utilizator, nu permisiuni API Java. Permisiunile API Java sunt permisiuni din pachetele java.* and javax.*.

Serverul de aplicaţii furnizează suport pentru gestiunea fişierelor de politici. Un număr de fişiere de politici sunt disponibile în acest produs, unele dintre ele sunt statice şi altele dinamice. Politica dinamică este un şablon de permisiuni pentru un anumit tip de resursă. Nu este definită nici o bază de cod şi nu se utilizează nici o bază de cod relativă în şablonul politicii dinamice. Baza de cod reală este creată dinamic din configuraţie şi datele de runtime. Fişierul filter.policy conţine o listă de permisiuni pe care nu doriţi ca o aplicaţie să le aibă, conform Specificaţiei J2EE 1.4.

Important: Nu puteţi activa această opţiune fără a activa opţiunea Utilizare securitate Java 2 pentru a restricţiona accesul aplicaţiei la resursele locale.
Restricţionare acces la datele de autentificare ale resursei

Această opţiune este dezactivată dacă securitatea Java 2 nu a fost activată.

Luaţi în considerare activarea acestei opţiuni când ambele condiţii următoare sunt adevărate:
  • Securitatea Java 2 este impusă.
  • Codul aplicaţiei primeşte permisiunea accessRuntimeClasses WebSphereRuntimePermission în fişierul was.policy găsit în fişierul EAR (enterprise archive) al aplicaţiei. De exemplu, codul aplicaţiei primeşte permisiunea când se găseşte următoarea linie în fişierul dumneavoastră was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

Opţiunea Restricţionare acces la datele de autentificare resursă adaugă o verificare a permisiunii de securitate Java 2 cu granulaţie fină la maparea principală implicită a implementării WSPrincipalMappingLoginModule. Trebuie să acordaţi permisiune explicită aplicaţiilor Java 2 Platform, Enterprise Edition (J2EE) care utilizează implementarea WSPrincipalMappingLoginModule direct în logarea Java Authentication and Authorization Service (JAAS) când sunt activate opţiunile Utilizare securitate Java 2 pentru a restricţiona accesul aplicaţiei la resursele locale şi Restricţionare acces la datele de autentificare resursă.

Implicit: Dezactivat
Regiune utilizator:

Această secţiune vă permite să configuraţi registrul de utilizatori pentru domeniul de securitate. Puteţi configura separat orice registru cu excepţia registrului federalizat care este utilizat la nivelul domeniului. Magazia federalizată poate fi configurată numai la nivelul global, dar poate fi utilizată la nivelul domeniului.

Când configuraţi un registru la nivelul domeniului, puteţi alege să definiţi propriul nume de regiune pentru registru. Numele regiunii distinge un registru de utilizatori de altul. Numele regiunii este utilizat în mai multe locuri - în panoul de logare client Java pentru a prompta utilizatorul, în cache-ul de autorizare şi când se utilizează autorizarea nativă.

La nivelul configurării globale, sistemul creează regiunea pentru registrul de utilizatori. În ediţiile anterioare ale WebSphere Application Server, numai un registru de utilizatori este configurat în sistem. Când aveţi mai multe domenii de securitate, puteţi configura mai mulţi regiştri în sistem. Pentru ca regiunile să fie unice în aceste domenii, configuraţi-vă propriul nume de regiune pentru un domeniu de securitate. De asemenea, puteţi alege ca sistemul să creeze un nume de regiune unic dacă este sigur că este unic. În ultimul caz, numele regiuni se bazează pe registrul care este utilizat.

Asociere de încredere:

Selectaţi să se specifice setările pentru asocierea de încredere. Asocierea de încredere este utilizată pentru a conecta serverele proxy invers la serverele de aplicaţii.

Asocierea de încredere permite integrarea securităţii IBM WebSphere Application Server şi a serverelor de securitate de terţă parte. Mai precis, un server proxy invers poate acţiona ca server de autentificare front-end în timp ce produsul îşi aplică propria politică de autorizare asupra acreditărilor rezultante care sunt transmise de serverul proxy.

Interceptorii de asociere ai de încredere Tivoli Access Manager pot fi configuraţi numai la nivelul global. Şi configuraţia domeniului îi poate utiliza, dar nu poate avea o versiune diferită de interceptorul asocierii de încredere. O singură instanţă de interceptor de asociere de încredere Tivoli Access Manager poate exista în sistem.

Note: Utilizarea interceptorilor de asociere de încredere (TAI) pentru autentificarea SPNEGO este depreciată. Panourile de autentificare web SPNEGO furnizează o modalitate mai uşoară de a configura SPNEGO.
Interceptori

Selectaţi pentru a accesa sau pentru a specifica informaţii de încredere pentru servere proxy inverse.

Activare asociere de încredere

Selectaţi pentru a activa integrarea securităţii IBM WebSphere Application Server şi a serverelor de securitate de terţă parte. Mai precis, un server proxy invers poate acţiona ca server de autentificare front-end în timp ce produsul îşi aplică propria politică de autorizare asupra acreditărilor rezultante care sunt transmise de serverul proxy.

Autentificare web SPNEGO:

Specifică setările pentru Simple and Protected GSS-API Negotiation (SPNEGO) ca mecanism de autentificare web.

Autentificarea web SPNEGO, care vă permite să configuraţi SPNEGO pentru autentificarea resurselor web, poate fi configurată la nivelul domeniului.

Note: În WebSphere Application Server Versiunea 6.1, s-a introdus un TAI care utilizează SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pentru a negocia sigur şi pentru a autentifica cereri HTTP pentru resurse securizate. În WebSphere Application Server 7.0, această funcţie este acum depreciată. Autentificarea web SPNEGO i-a luat locul pentru a furniza o reîncărcare dinamică a filtrelor SPNEGO şi pentru a activa regresul la metoda de logare a aplicaţiei.
Securitate RMI/IIOP:

Specifică setările pentru Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP).

Un Object Request Broker (ORB) gestionează interacţiunea dintre clienţi şi servere, utilizând Internet InterORB Protocol (IIOP). Permite clienţilor să facă cereri şi să primească răspunsuri de la servere într-un mediu distribuit în reţea.

Când configuraţi aceste atribute la nivelul domeniului, configuraţia de securitate RMI/IIOP la nivelul global este copiată pentru convenienţă. Puteţi modifica atributele care trebuie să fie diferite la nivelul domeniului. Setările nivelului de transport pentru comunicaţii de intrare CSIv2 ar trebui să fie aceleaşi pentru nivelurile globale şi de domeniu. Dacă sunt diferite, atributele nivelului de domeniu sunt aplicate tuturor aplicaţiilor din proces.

Când un proces comunică cu alt proces cu o regiune diferită, autentificarea LTPA şi token-urile de propagare sunt propagate la serverul din aval cu excepţia cazului în care acel server este listat în lista de regiuni de încredere de ieşire. Acest lucru se poate face utilizând legătura Regiuni de autentificare de încredere - ieşire de pe panoul Comunicaţii de ieşire CSIv2.

Comunicaţii de intrare CSIv2

Selectaţi pentru a specifica setările de autentificare pentru cereri care sunt primite şi setări de transport pentru conexiuni care sunt acceptate de acest server utilizând protocolul de autentificare Object Management Group (OMG) Common Secure Interoperability (CSI).

WebSphere Application Server vă permite să specificaţi autentificarea Internet Inter-ORB Protocol (IIOP) atât pentru cererile de autentificare de intrare, cât şi pentru cele de ieşire. Pentru cererile de intrare, puteţi specifica tipul de autentificare acceptat, cum ar fi autentificarea de bază.

Comunicaţii de ieşire CSIv2

Selectaţi pentru a specifica setările de autentificare pentru cereri care sunt trimise şi setări de transport pentru conexiuni care sunt iniţiate de server utilizând protocolul de autentificare Object Management Group (OMG) Common Secure Interoperability (CSI).

WebSphere Application Server vă permite să specificaţi autentificarea Internet Inter-ORB Protocol (IIOP) atât pentru cererile de autentificare de intrare, cât şi pentru cele de ieşire. Pentru cererile de ieşire, puteţi specifica proprietăţi precum tipul autentificării, aserţiunea identităţii sau configuraţii de logare care sunt utilizate pentru cereri la servere din aval.

Logări de aplicaţie JAAS

Selectaţi pentru a defini configuraţiile de logare care sunt utilizate de JAAS.

Logările de aplicaţie JAAS, logările de sistem JAAS şi aliasurile de date de autentificare JAAS J2C pot fi toate configurate la nivelul domeniului. Implicit, toate aplicaţiile din sistem au acces la logările JAAS configurate la nivelul global. Runtime-ul de securitate verifică mai întâi logările JAAS la nivelul doemniului. Dacă nu le găseşte, le caută apoi în configuraţia de securitate globală. Configuraţi oricare dintre aceste logări JAAS la un domeniu numai când trebuie să specificaţi o logare care este utilizată exclusiv de aplicaţiile din domeniul de securitate.

Doar pentru proprietăţile personalizate şi JAAS, odată ce atributele globale sunt personalizate pentru un domeniu, încă pot fi utilizate de aplicaţiile de utilizator.

Nu înlăturaţi configuraţiile de logare ClientContainer, DefaultPrincipalMapping şi WSLogin pentru că alte aplicaţii le-ar putea utiliza. Dacă aceste configuraţii sunt înlăturate, alte aplicaţii ar putea eşua.

Utilizare logări specifice domeniului şi globale

Selectaţi pentru a specifica setările care sunt definite în domeniu, cum ar fi opţiunile de activa aplicaţia şi securitatea Java 2 şi de a utiliza date de autentificare calificate pentru regiune.

Logări sistem JAAS:

Specifică setările de configurare pentru logările de sistem JAAS. Puteţi utiliza setările de securitate globală sau personalizaţi setările de configurare pentru un domeniu.

Logări sistem

Selectaţi pentru a defini configuraţiile de logare JAAS care sunt utilizate de resursele sistemului, inclusiv mecanismul de autentificare, maparea principală şi maparea acreditărilor

Date de autentificare JAAS J2C:

Specifică setările pentru datele de autentificare JAAS J2C. Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.

Intrările de date de autentificare Java 2 Platform, Enterprise Edition (J2EE) Connector sunt utilizate de adaptoarele de resurse şi sursele de date Java DataBase Connectivity (JDBC).

Utilizare intrări specifice domeniului şi globale

Selectaţi pentru a specifica setările care sunt definite în domeniu, cum ar fi opţiunile de activa aplicaţia şi securitatea Java 2 şi de a utiliza date de autentificare calificate pentru regiune.

Atribute mecanism de autentificare:

Specifică diversele setări de cache care trebuie aplicate la nivelul domeniului.

  • Setări cache autentificare - utilizaţi pentru a vă specifica setările cache de autentificare. Configuraţia specificată pe acest panou este aplicată numai acestui domeniu.
  • Timeout LTPA - Puteţi configura o altă valoare de timeout LTPA la nivelul domeniului. Valoarea de timeout implicită este de 12o de minute, care este setată la nivel global. Dacă timeout-ul LTPA este setat la nivelul domeniului, orice token care este creat în domeniul de securitate când se accesează aplicaţiile de utilizator, este creta cu această oră de expirare.
  • Utilizare nume de utilizator calificate pentru regiune - Când este activată această selecţie, numele de utilizator returnate de metode cum ar fi getUserPrincipal( ) sunt calificate cu regiunea de securitate (registru de utilizatori) utilizată de aplicaţii în domeniul de securitate.
Furnizor autorizaţie:

Specifică setările pentru furnizorul de autorizare. Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.

Puteţi configura un furnizor JACC de terţă parte extern (Java Authorization Contract for Containers) la nivelul domeniului. Furnizorul Tivoli Access Manager JACC poate fi configurat numai la nivel global. Domeniile de securitate încă-l pot utiliza dacă nu înlocuiesc furnizorul de autorizare cu alt furnizor JACC sau cu autorizarea nativă încorporată.

Selectaţi fie Autorizare implicită fie Autorizare externă utilizând un furnizor JAAC. Butonul Configurare este activat numai când se selectează Autorizare externă utilizând un furnizor JAAC.

[z/OS] Pentru autorizarea SAF (System Authorization Facility), dacă setaţi prefixul profilului SAF la nivelul domeniului, se aplică la nivelul serverului astfel încât toate aplicaţiile (administrative şi de utilizator) îl vor activa sau dezactiva în acel server

Opţiuni de securitate z/OS:

Specifică setările pentru z/OS. Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.

Proprietăţi personalizate

Selectaţi pentru a specifica perechi de date nume-valoare, unde numele este o cheie de proprietate şi valoarea este un şir.

Setaţi proprietăţi personalizate la nivelul domeniului care sunt fie noi, fie diferite de cele de la nivelul global. Implicit, toate proprietăţile personalizate din configurarea de securitate globală pot fi accesate de toate aplicaţiile din sistem. Codul de runtime securitate caută mai întâi proprietatea personalizată la nivelul domeniului. Dacă nu o găseşte, încearcă atunci să obţină proprietatea personalizată din configuraţia de securitate globală.

Legări servicii web

Apăsaţi pe Legări set de politici implicite pentru a seta furnizorul implicit de domeniu şi legările de client.




Legăturile marcate (online) necesită acces la internet.

Related concepts
Related reference
Setările registrului LDAP independent
Setările de configurare a intrării pentru Java Authentication and Authorization Service
Setările intrării de date de autentificare Java 2 Connector
Setările furnizorului Java Authorization Contract for Containers extern
Related information
Proprietăţi personalizate de securitate


Nume fişier: usec_sec_domains_edit.html