Questa pagina consente di configurare gli attributi di sicurezza di un dominio e di assegnare il dominio alle risorse della cella. Per ogni attributo di sicurezza, è possibile utilizzare le impostazioni di sicurezza globali o personalizzare le impostazioni per il dominio.
Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Domini di sicurezza. Nella pagina Raccolta dei domini di sicurezza, selezionare un dominio esistente da configurare, crearne uno nuovo o copiare un dominio esistente.
Consultare le informazioni su Domini di sicurezza multipli per una maggiore comprensione del domini di sicurezza multipli e della modalità con cui vengono supportati in questa versione di WebSphere Application Server.
Specifica un nome univoco per il dominio. In seguito all'invio iniziale, non è possibile modificare questo nome.
Il nome di dominio deve essere univoco nella cella e non può contenere caratteri errati.
Specifica una descrizione per il dominio.
Selezionare per visualizzare la topologia di cella. È possibile assegnare il dominio di sicurezza all'intera cella o selezionare determinati cluster, nodi e i service integration bus da includere nel dominio di sicurezza.
Se si seleziona Tutti gli ambiti, viene visualizzata l'intera topologia di cella.
Se si seleziona Ambiti assegnati, viene visualizzata la topologia di cella con i server e i cluster assegnati al dominio corrente.
Il nome di un dominio esplicitamente assegnato viene visualizzato accanto alle risorse. Le caselle selezionate indicano le risorse attualmente assegnate al dominio. È anche possibile selezionare altre risorse e fare clic su Applica o OK per assegnarle al dominio corrente.
Una risorsa che non è selezionata (disabilitata) indica che non è assegnata al dominio corrente e occorre rimuoverla da un altro dominio prima che venga abilitata per il dominio corrente.
Se una risorsa non presenta un dominio esplicitamente assegnato, viene utilizzato il dominio assegnato alla cella. Se non viene assegnato alcun dominio alla cella, la risorsa utilizza le impostazioni globali.
I membri del cluster non possono essere assegnati singolarmente a domini; il cluster inserito utilizza lo stesso dominio.
Selezionare Abilita protezione applicazioni per abilitare o disabilitare la protezione per le applicazioni dell'utente. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
Quando questa selezione è disabilitata, tutti i moduli EJB e le applicazioni Web nel dominio di sicurezza non sono più progetti. È consentito l'accesso a queste risorse senza l'autenticazione da parte dell'utente. Quando si abilita questa selezione, la sicurezza J2EE viene applicata a tutti i moduli EJB e applicazioni Web del dominio di sicurezza. La protezione J2EE viene applicata soltanto quando è abilitata la Sicurezza globale nella relativa configurazione, (ovvero, non è possibile abilitare la protezione delle applicazioni senza prima abilitare la Sicurezza globale al livello globale).
Abilita la sicurezza per le applicazioni nell'ambiente. Questo tipo di sicurezza fornisce l'isolamento e i requisiti per l'autenticazione degli utenti dell'applicazione
Nei precedenti release di WebSphere Application Server, quando un utente abilitava la sicurezza globale, venivano abilitare sia la sicurezza amministrativa che dell'applicazione. In WebSphere Application Server Versione 6.1, il concetto di sicurezza globale veniva diviso in sicurezza amministrativa e sicurezza dell'applicazione, ciascuna dei quali può essere abilitata separatamente.
Come risultato di questa scissione, i client di WebSphere Application Server devono sapere se la sicurezza dell'applicazione è disabilitata sul server di destinazione. La sicurezza amministrativa viene attivata per impostazione predefinita. La sicurezza dell'applicazione viene disabilitata per impostazione predefinita. Per abilitare la sicurezza dell'applicazione, è necessario abilitare la sicurezza amministrativa. La sicurezza dell'applicazione diventa operativa solo quando è abilitata la sicurezza amministrativa.
Quando questa selezione è disabilitata, tutti i moduli EJB e le applicazioni Web nel dominio di sicurezza non sono più progetti. È consentito l'accesso a queste risorse senza l'autenticazione da parte dell'utente. Quando si abilita questa selezione, la sicurezza J2EE viene applicata a tutti i moduli EJB e applicazioni Web del dominio di sicurezza. La protezione J2EE viene applicata soltanto quando è abilitata la Sicurezza globale nella relativa configurazione, (ovvero, non è possibile abilitare la protezione delle applicazioni senza prima abilitare la Sicurezza globale al livello globale).
Selezionare Utilizza sicurezza Java 2 per abilitare o disabilitare la sicurezza Java 2 al livello del dominio o per assegnare o aggiungere le proprietà relative alla sicurezza Java 2. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
Questa opzione abilita o disabilita la sicurezza Java 2 al livello del processo (JVM) in modo tale che tutte le applicazioni (sia di gestione che dell'utente) possono abilitare o disabilitare la sicurezza Java 2.
Selezionare per specificare le impostazioni di sicurezza globale utilizzate.
Selezionare per specificare le impostazioni definite nel dominio, come ad esempio le opzioni per abilitare l'applicazione e la sicurezza Java 2 e per utilizzare i dati di autenticazione qualificati dal realm.
Selezionare per specificare se abilitare o disabilitare il controllo delle autorizzazioni di sicurezza Java 2. Per impostazione predefinita, l'accesso alle risorse locali non è limitato. Si può scegliere di disattivare la sicurezza Java 2 anche quando è attivata la sicurezza delle applicazioni.
Quando l'opzione Utilizza sicurezza Java 2 per limitare l'accesso alle risorse locali è abilitata e se un'applicazione richiede più autorizzazioni di sicurezza Java 2 di quelle concesse nella politica predefinita, l'applicazione potrebbe non funzionare correttamente fino a quando non vengono concesse tali autorizzazioni nel file app.policy o was.policy dell'applicazione. Le eccezioni AccessControl non sono concesse dalle applicazioni che non dispongono di tutte le autorizzazioni necessarie.
Specifica che durante la distribuzione e l'avvio di un'applicazione, il runtime di sicurezza emette un'avvertenza nel caso in cui vengano concesse delle autorizzazioni personalizzate alle applicazioni. Le autorizzazioni personalizzate sono autorizzazioni definite dalle applicazioni utente e non dalle autorizzazioni API Java. Le autorizzazioni API Java sono autorizzazioni nei package java.* e javax.*.
Il server delle applicazioni fornisce supporto per la gestione dei file delle politiche. In questo prodotto è disponibile un numero di file contenenti le politiche, alcune di queste sono statiche, altre dinamiche. Le politiche dinamiche rappresentano un modello di autorizzazioni per un tipo particolare di risorsa. Nessun code base è definito e nessun codice relativo viene utilizzato nel modello delle politiche dinamiche. Il code base reale viene creato in modo dinamico dai dati di configurazione e di runtime. Il file filter.policy contiene un elenco di autorizzazioni che le applicazioni non dovrebbero avere in base alla specifica J2EE 1.4.
Questa opzione è disabilitata se la sicurezza Java 2 non è stata abilitata.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
L'opzione Limita accesso ai dati di autenticazione delle risorse aggiunge una verifica dell'autorizzazione di sicurezza Java 2 approfondita all'associazione principale predefinita dell'implementazione WSPrincipalMappingLoginModule. È necessario concedere un'autorizzazione esplicita alle applicazioni J2EE J2EE (Java 2 Platform, Enterprise Edition) che utilizzano l'implementazione WSPrincipalMappingLoginModule direttamente nel login JAAS (Java Authentication and Authorization Service) quando sono abilitate le opzioni Utilizza la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali e Limita accesso ai dati di autenticazione delle risorse.
Valore predefinito: | Disabilitato |
Questa sezione consente di configurare il registro utente per il dominio di sicurezza. È possibile configurare separatamente qualsiasi registro ad eccezione del registro federato utilizzato al livello del dominio. Il repository federato può essere configurato soltanto al livello globale ma può essere utilizzato al livello del dominio.
Durante la configurazione di un registro al livello di dominio è possibile scegliere di definire il nome del proprio realm per il registro. Il nome del realm distingue un registro utente dall'altro. Il nome del realm viene utilizzato in più posizioni – nel pannello di login del client Java sulla richiesta dell'utente, nella cache di autenticazione e quando utilizzare l'autorizzazione nativa.
Al livello di configurazione globale, il sistema crea il realm per il registro utente. Nei precedenti release di WebSphere Application Server, soltanto un registro utente viene configurato nel sistema. Quando sono disponibili più domini di sicurezza, è possibile configurare più registri nel sistema. Affinché le aree di autenticazione siano univoche in questi domini, configurare il nome del proprio realm per un dominio di sicurezza. È anche possibile scegliere il sistema per creare un nome univoco del realm se si è certi che sia univoco. Nell'ultimo caso, il nome dell'area di autenticazione è basato sul registro utilizzato.
Selezionare per specificare le impostazioni per l'associazione trust. L'associazione trust consente di collegare i server proxy inversi ai server delle applicazioni.
L'associazione trust consente l'integrazione della sicurezza di IBM WebSphere Application Server e dei server di terze parti. In particolare, consente a un server proxy inverso di agire come server di autenticazione front-end mentre il prodotto applica le politiche di autorizzazione sulle credenziali risultanti inviate dal server proxy.
Gli intercettori dell'associazione trust di Tivoli Access Manager possono essere configurati soltanto al livello globale. La configurazione di dominio può utilizzarli, ma non può presentare una versione diversa dell'intercettore dell'associazione trust. Soltanto un'istanza degli intercettori dell'associazione trust di Tivoli Access Manager può esistere nel sistema.
Selezionare per accedere o specificare le informazioni sul trust per i server proxy inversi.
Selezionare per abilitare l'integrazione della sicurezza di IBM WebSphere Application Server e dei server di terze parti. In particolare, consente a un server proxy inverso di agire come server di autenticazione front-end mentre il prodotto applica le politiche di autorizzazione sulle credenziali risultanti inviate dal server proxy.
Specifica le impostazioni per SPNEGO (Simple and Protected GSS-API Negotiation) come meccanismo di autenticazione Web.
L'autenticazione Web SPNEGO, che consente di configurare SPNEGO per l'autenticazione delle risorse Web, può essere configurata al livello di dominio.
Specifica le impostazioni per RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).
Un ORB (Object Request Broker) gestisce l'interazione tra client e server usando il protocollo IIOP (Internet InterORB Protocol). Consente ai client di inviare richieste e di ricevere risposte dai server in un ambiente distribuito in rete.
Durante la configurazione di questi attributi al livello di dominio, viene copiata la configurazione della sicurezza RMI/IIOP al livello globale. È possibile modificare gli attributi che devono essere diversi sul livello di dominio. Le impostazioni del livello di trasporto per le comunicazioni in entrata CSIv2 devono coincidere sia per il livello di dominio che per il livello globale. Se differiscono, gli attributi del livello di dominio sono applicati a tutte le applicazioni nel processo.
Quando un processo comunica con un altro processo dotato di un diverso realm, l'autenticazione LTPA e i token di propagazione vengono distribuiti sul server downstream a meno che il server non sia elencato nell'elenco delle aree di autenticazione trusted in uscita. Tale azione può essere eseguita utilizzando il collegamento Realm di autenticazione trusted – in uscita sul pannello Comunicazione in uscita CSIv2.
Selezionare per specificare le impostazioni di autenticazione per le richieste ricevute e le impostazioni di trasporto per le connessioni accettate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).
WebSphere Application Server consente di specificare l'autenticazione IIOP (Internet Inter-ORB Protocol) sia per le richieste in entrata che in uscita. Per le richieste in entrata, è possibile specificare il tipo di autenticazione accettata, ad esempio l'autenticazione di base.
Selezionare per specificare le impostazioni di autenticazione per le richieste inviate e le impostazioni di trasporto per le connessioni avviate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).
WebSphere Application Server consente di specificare l'autenticazione IIOP (Internet Inter-ORB Protocol) sia per le richieste in entrata che in uscita. Per le richieste in uscita, è possibile specificare le proprietà come il tipo di autenticazione, l'asserzione di identità o le configurazioni di login utilizzate per richieste ai server downstream.
Selezionare per definire le configurazioni di login utilizzate da JAAS.
Gli alias dei login di applicazione JAAS, dei login di sistema JAAS e dei dati di autenticazione JAAS J2C possono essere configurati al livello di dominio. Per impostazione predefinita, tutte le applicazioni nel sistema hanno accesso ai login JAAS configurati al livello globale. Il runtime di sicurezza verifica prima i login JAAS al livello di dominio. Se non vengono rilevati, li verifica nella configurazione di sicurezza globale. Configurare uno di questi login JAAS in un dominio soltanto quando occorre specificare un login che viene utilizzato esclusivamente dalle applicazioni nel dominio di sicurezza.
Solo per le JAAS e le proprietà personalizzate, una volta personalizzati gli attributi globali per un dominio, essi possono essere ancora utilizzati dalle applicazioni utente.
Non rimuovere le configurazioni di login ClientContainer, DefaultPrincipalMapping e WSLogin in quanto potrebbero essere utilizzate da altre applicazioni. Se queste configurazioni vengono rimosse, altre applicazioni potrebbero non funzionare correttamente.
Selezionare per specificare le impostazioni definite nel dominio, come ad esempio le opzioni per abilitare l'applicazione e la sicurezza Java 2 e per utilizzare i dati di autenticazione qualificati dal realm.
Specifica le impostazioni di configurazione per i login di sistema JAAS. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di configurazione per un dominio.
Selezionare per definire le configurazioni di login JAAS utilizzate dalle risorse di sistema, incluso il meccanismo di autenticazione, l'associazione principale e l'associazione di credenziali
Specifica le impostazioni per i dati di autenticazione JAAS J2C. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
Le voci dei dati di autenticazione del connettore J2EE (Java 2 Platform Enterprise Edition) vengono utilizzate dagli adattatori risorse e dalle origini dati JDBC (Java DataBase Connectivity).
Selezionare per specificare le impostazioni definite nel dominio, come ad esempio le opzioni per abilitare l'applicazione e la sicurezza Java 2 e per utilizzare i dati di autenticazione qualificati dal realm.
Specifica le varie impostazioni di cache che occorre applicare al livello di dominio.
Specifica le impostazioni per il provider di autorizzazione. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
È possibile configurare un provider JACC (Java Authorization Contract for Containers) di terze parti esterno al livello di dominio. Il provider JACC di Tivoli Access Manager può essere configurato soltanto al livello globale. È possibile ancora utilizzare i domini di sicurezza se non sovrascrivono il provider di autorizzazione con un altro provider JACC o con l'autorizzazione nativa integrata.
Selezionare Autorizzazione predefinita o Autorizzazione esterna utilizzando un provider JAAC. Il pulsante Configura è abilitato soltanto quando è selezionata Autorizzazione esterna utilizzando un provider JAAC.
Per l'autorizzazione SAF (System Authorization Facility), se si imposta il prefisso del profilo SAF a livello del dominio, viene applicato al livello del server in modo che tutte le applicazioni (amministratore e utente) vengano abilitate o disabilitate in quel
server
Specifica le impostazioni per z/OS. È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
Selezionare per indicare se occorre abilitare un thread del sistema operativo per la sincronizzazione con l'identità J2EE (Java 2 Platform, Enterprise Edition), utilizzata in fase di runtime del server delle applicazioni se un'applicazione viene codificata per richiedere questa funzione.
La sincronizzazione dell'identità del sistema operativo con l'identità J2EE determina la sincronizzazione dell'identità del sistema operativo con il chiamante autenticato o con l'identità RunAs delegata in un servlet o file EJB (Enterprise JavaBeans). Tale sincronizzazione o associazione indica che il chiamante o l'identità del ruolo di sicurezza, anziché l'identità dell'area server, vengono utilizzati per le richieste di servizio del sistema z/OS, come l'accesso ai file.
Se questo valore viene impostato a livello del dominio, viene applicato a livello del server in modo che tutte le applicazioni (amministratore e utente) vengano abilitate o disabilitate in quel server.
Selezionare per specificare le coppie nome-valore dei dati, dove il nome è una chiave proprietà e il valore è una stringa.
Impostare nuove o diverse proprietà personalizzate al livello del dominio da quelle presenti al livello globale. Per impostazione predefinita, è possibile accedere a tutte le proprietà personalizzate sulla configurazione di sicurezza globale da tutte le applicazioni del sistema. Il runtime di sicurezza verifica prima la proprietà personalizzata al livello di dominio. Se non viene rilevata, tenta di ottenere la proprietà personalizzata dalla configurazione di sicurezza globale.
Fare clic su Binding impostati della politica predefinita per impostare i binding del client e del provider predefiniti del dominio.
I collegamenti contrassegnati (online) richiedono un accesso a Internet.