Impostazioni di sicurezza globale

Questo pannello consente di configurare la politica di sicurezza dell'applicazione predefinita e di gestione. Questa configurazione di sicurezza si applica alla politica di sicurezza per tutte le funzioni di gestione e viene utilizzata come una politica di sicurezza predefinita per le applicazioni dell'utente. È possibile definire i domini di sicurezza per sovrascrivere e personalizzare le politiche di sicurezza per le applicazioni dell'utente.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza>Sicurezza globale.

[AIX Solaris HP-UX Linux Windows] [iSeries] La sicurezza ha degli impatti sulle prestazioni delle applicazioni. tali impatti variano a seconda delle caratteristiche del carico di lavoro delle applicazioni. È necessario prima determinare se il livello di sicurezza necessario è abilitato per le applicazioni e quindi misurare l'impatto della sicurezza sulle prestazioni.

Una volta configurata la sicurezza, convalidare qualsiasi modifica apportata ai pannelli del registro o del meccanismo di autenticazione. Fare clic su Applica per convalidare le impostazioni del registro utenti. Viene effettuato un tentativo di autenticazione dell'ID server o di convalida dell'ID di gestione (se è stato utilizzato internalServerID) sul registro utenti configurato. La convalida delle impostazioni del registro utenti, dopo aver abilitato la sicurezza globale, può evitare dei problemi quando si riavvia il server per la prima volta.

Procedura guidata Configurazione di sicurezza

Avvia una procedura guidata che consente di configurare le impostazioni di gestione e di sicurezza delle applicazioni. Questo processo limita le attività di gestione e le applicazioni agli utenti autorizzati.

Mediante questa procedura guidata, è possibile configurare la sicurezza delle applicazioni, le risorse o la sicurezza J2C (Java 2 Connector) e un registro utente. È possibile configurare un registro esistente e abilitare la sicurezza di gestione, delle applicazioni o delle risorse.

Quando si applicano le modifiche apportate mediante la procedura guidata della configurazione della sicurezza, la sicurezza di gestione è disabilitata.

Report di configurazione di sicurezza

Genera un report di configurazione di sicurezza che visualizza le impostazioni di sicurezza principali del server delle applicazioni. Il report visualizza anche gli utenti e i gruppi di gestione e le regole di denominazione CORBA.

Una limitazione corrente del report è che non visualizza le informazioni sulla sicurezza al livello di applicazione. Il report non visualizza le informazioni sulla sicurezza JMS (Java Message Service), sulla sicurezza dei bus o sulla sicurezza dei servizi Web.

Quando vengono configurati più domini di sicurezza, il report visualizza la configurazione di sicurezza associata a ciascun dominio.

Abilita sicurezza di gestione

Specifica se abilitare la sicurezza di gestione per questo dominio del server delle applicazioni. La sicurezza di gestione richiede l'autenticazione degli utenti prima di poter ottenere un controllo di gestione del server delle applicazioni.

Per ulteriori informazioni, consultare i collegamenti relativi per i ruoli e l'autenticazione di gestione.

Se viene abilitata la sicurezza, impostare la configurazione del meccanismo di autenticazione e specificare un ID utente valido e la password (o un ID di gestione valido se si utilizza la funzione internalServerID) nella configurazione del registro selezionato.

Nota: Esiste una differenza tra l'ID utente (normalmente detto ID di gestione), che identifica gli amministratori che gestiscono l'ambiente, e un ID server che viene invece utilizzato per la comunicazione tra server. Non è necessario immettere un ID utente e una password validi se si utilizza la funzione di ID server interno. Tuttavia, se si desidera è possibile specificare un ID server e una password. Per specificare l'ID server e la password, effettuare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Repository account utenti, selezionare il repository e fare clic su Configura.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Specificare l'ID server e la password nella sezione Identità utente server.

[z/OS] È possibile specificare solo l'opzione the z/OS ha avviato l'attività quando il registro utente è Local OS.

Se si verificano dei problemi, ad esempio il server non si avvia dopo aver abilitato la sicurezza nel dominio sicurezza, si consiglia di sincronizzare di nuovo tutti i file provenienti dalla cella su questo nodo. Per effettuare quest'ultima operazione, eseguire questo comando dal nodo: syncNode -username id_utente -password password_utente. Questo comando collega al gestore distribuzione e risincronizza tutti i file.

[iSeries] [z/OS] Se il server non viene riavviato dopo aver abilitato la sicurezza globale, è possibile disabilitare la sicurezza. Passare alla directory root_server_app/bin ed eseguire il comando wsadmin -conntype NONE. Sul prompt wsadmin>, immettere securityoff, quindi exit per ritornare al prompt dei comandi. Riavviare il server con la sicurezza disabilitata per verificare eventuali impostazioni non corrette nella console di gestione.

[z/OS] Utenti registro utenti OS locale: se si seleziona OS locale come registro utenti del sistema operativo locale attivo, non è necessario fornire una password nella configurazione del registro utenti.

Valore predefinito: Abilitato
Abilitazione della sicurezza dell'applicazione

Abilita la sicurezza per le applicazioni nell'ambiente. Questo tipo di sicurezza fornisce l'isolamento e i requisiti per l'autenticazione degli utenti dell'applicazione

Nei precedenti release di WebSphere Application Server, quando un utente abilitava la sicurezza globale, venivano abilitare sia la sicurezza amministrativa che dell'applicazione. In WebSphere Application Server Versione 6.1, il concetto di sicurezza globale viene diviso in sicurezza amministrativa e sicurezza dell'applicazione, ciascuna dei quali può essere abilitata separatamente.

Come risultato di questa scissione, i client di WebSphere Application Server devono sapere se la sicurezza dell'applicazione è disabilitata sul server di destinazione. La sicurezza amministrativa viene attivata per impostazione predefinita. La sicurezza dell'applicazione viene disabilitata per impostazione predefinita. Per abilitare la sicurezza dell'applicazione, è necessario abilitare la sicurezza amministrativa. La sicurezza dell'applicazione diventa operativa solo quando è abilitata la sicurezza amministrativa.

Valore predefinito: Disabilitato
Utilizzo della sicurezza Java 2 per limitare l'accesso delle applicazioni alle risorse locali

Specifica se abilitare o disabilitare il controllo delle autorizzazioni di sicurezza Java 2. Per impostazione predefinita, l'accesso alle risorse locali non è limitato. Si può scegliere di disattivare la sicurezza Java 2 anche quando è attivata la sicurezza delle applicazioni.

Quando l'opzione Utilizza sicurezza Java 2 per limitare l'accesso alle risorse locali è abilitata e se un'applicazione richiede più autorizzazioni di sicurezza Java 2 di quelle concesse nella politica predefinita, l'applicazione potrebbe non funzionare correttamente fino a quando non vengono concesse tali autorizzazioni nel file app.policy o was.policy dell'applicazione. Le eccezioni AccessControl non sono concesse dalle applicazioni che non dispongono di tutte le autorizzazioni necessarie. Consultare i collegamenti relativi per ulteriori informazioni sulla sicurezza Java 2.

Valore predefinito: Disabilitato
Emetti avvertenza se sono concesse autorizzazioni personalizzate alle applicazioni

Specifica che durante la distribuzione e l'avvio di un'applicazione, il runtime di sicurezza emette un'avvertenza nel caso in cui vengano concesse delle autorizzazioni personalizzate alle applicazioni. Le autorizzazioni personalizzate sono autorizzazioni definite dalle applicazioni utente e non dalle autorizzazioni API Java. Le autorizzazioni API Java sono autorizzazioni nei package java.* e javax.*.

Il server delle applicazioni fornisce supporto per la gestione dei file delle politiche. In questo prodotto è disponibile un numero di file contenenti le politiche, alcune di queste sono statiche, altre dinamiche. Le politiche dinamiche rappresentano un modello di autorizzazioni per un tipo particolare di risorsa. Nessun code base è definito e nessun codice relativo viene utilizzato nel modello delle politiche dinamiche. Il code base reale viene creato in modo dinamico dai dati di configurazione e di runtime. Il file filter.policy contiene un elenco di autorizzazioni che le applicazioni non dovrebbero avere in base alla specifica J2EE 1.4. Per ulteriori informazioni sulle autorizzazioni, consultare il relativo collegamento sui file delle politiche di sicurezza Java 2.

Importante: Non è possibile abilitare questa opzione senza abilitare l'opzione Utilizza sicurezza Java 2 per limitare l'accesso delle applicazioni alle risorse locali.
Valore predefinito: Disabilitato
Limita accesso ai dati di autenticazione delle risorse

Attivare questa opzione per limitare l'accesso delle applicazioni ai dati di autenticazione sensibili delle associazioni JCA (Java Connector Architecture).

Considerare l'abilitazione di questa opzione nel caso in cui si verifichino entrambe le seguenti condizioni:
  • Viene applicata la sicurezza Java 2.
  • Al codice applicazione viene concessa l'autorizzazione WebSphereRuntimePermission accessRuntimeClasses nel file was.policy che si trova nel file EAR (Enterprise ARchive) dell'applicazione. Ad esempio, al codice applicazione viene concessa l'autorizzazione se la seguente riga si trova nel file was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

L'opzione Limita accesso ai dati di autenticazione delle risorse aggiunge una verifica dell'autorizzazione di sicurezza Java 2 approfondita all'associazione principale predefinita dell'implementazione WSPrincipalMappingLoginModule. È necessario concedere un'autorizzazione esplicita alle applicazioni J2EE J2EE (Java 2 Platform, Enterprise Edition) che utilizzano l'implementazione WSPrincipalMappingLoginModule direttamente nel login JAAS (Java Authentication and Authorization Service) quando sono abilitate le opzioni Utilizza la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali e Limita accesso ai dati di autenticazione delle risorse.

Valore predefinito: Disabilitato
Definizione realm corrente

Specifica l'impostazione corrente per il repository utente attivo.

Questo campo è di sola lettura.

Definizioni ambito disponibili

Specifica i repository di account utente disponibili.

Le selezioni vengono mostrate in un elenco a discesa contenente:
  • Sistema operativo locale
  • Registro LDAP autonomo
  • Registro personalizzato autonomo
Imposta come corrente [AIX Solaris HP-UX Linux Windows] [z/OS]

Abilita il repository utente una volta configurato.

[AIX Solaris HP-UX Linux Windows] Durante l'esecuzione come utente non root di UNIX o in un ambiente a più nodi, è necessario disporre di LDAP o di un registro utenti personalizzato.

È possibile configurare le impostazioni per uno dei seguenti repository utente:
Contenitori associati
Specificare questa impostazione per gestire i profili in più repository in un singolo ambito. L'ambito può essere costituito da identità in:
  • Nel repository integrato nel sistema
  • Uno o più repository esterni
  • Sia il repository integrato basato sui file che uno o più repository esterni
Nota: Soltanto un utente con privilegi di amministratore può visualizzare la configurazione dei repository federati.
Sistema operativo locale

[z/OS] Specificare questa impostazione se si desidera che il server di sicurezza RACF (Resource Access Control Facility) configurato (o compatibile con SAF (System Authorization Facility)) sia utilizzato come registro utenti del server delle applicazioni.

[AIX Solaris HP-UX Linux Windows] [iSeries] Non è possibile utilizzare il sistema operativo locale su più nodi o in esecuzione come non root su una piattaforma UNIX.

[AIX Solaris HP-UX Linux Windows] Il registro del sistema operativo locale è valido solo si utilizza un controller di dominio o se la cella Network Deployment si trova su una macchina singola. Nell'ultimo caso, non è possibile distribuire più nodi in una cella su più macchine in quanto questa configurazione, che utilizza il registro utenti OS locale, non è valida.

Registro LDAP autonomo

Specificare questa impostazione per utilizzare le impostazioni di registro LDAP autonome quando gli utenti e i gruppi si trovano in una directory LDAP esterna. Se è abilitata la sicurezza e una di queste proprietà cambia, passare al pannello Sicurezza > Sicurezza globale e fare clic su Applica o su OK per convalidare le modifiche.

Nota: Poiché sono supportati più server LDAP, questa impostazione non implica un registro LDAP.
Registro personalizzato autonomo
Specificare questa impostazione per implementare il proprio registro personalizzato autonomo che implementa l'interfaccia com.ibm.websphere.security.UserRegistry. Quando è abilitata la sicurezza e viene cambiata una qualsiasi di queste proprietà, passare al pannello Sicurezza globale e fare clic su Applica oppure su OK per convalidare i cambiamenti.
Valore predefinito: Disabilitato
Configura...

Selezionare per configurare le impostazioni di sicurezza globale.

Sicurezza Web e SIP

In Autenticazione, espandere la sicurezza Web e SIP per visualizzare i collegamenti a:

  • Impostazioni generali
  • SSO (Single sign-on)
  • Autenticazione Web SPNEGO
  • Associazione trust
Impostazioni generali

Selezionare per specificare le impostazioni per l'autenticazione Web.

SSO (Single sign-on)

Selezionare per specificare i valori di configurazione di SSO (Single Sign-On).

Con il supporto SSO, gli utenti Web possono essere autenticati una sola volta durante l'accesso alle risorse di WebSphere Application Server, come HTML, file JSP (JavaServer Pages), servlet, bean enterprise e risorse Lotus Domino.

Autenticazione Web SPNEGO

SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fornisce un metodo per i server e i client Web di negoziare il protocollo di autenticazione Web, utilizzato per consentire le comunicazioni.

Associazione trust

Selezionare per specificare le impostazioni per l'associazione trust. L'associazione trust consente di collegare i server proxy inversi ai server delle applicazioni.

È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

Nota: L'utilizzo di TAI (trust association interceptor) per l'autenticazione SPNEGO è obsoleto. I pannelli di autenticazione Web SPNEGO forniscono un metodo più semplice per configurare SPNEGO.
Sicurezzs RMI/IIOP

In Autenticazione, espandere la sicurezza RMI/IIOP per visualizzare i collegamenti a:

  • Comunicazioni in entrata CSIv2
  • Comunicazioni in uscita CSIv2
Comunicazioni in entrata CSIv2

Selezionare per specificare le impostazioni di autenticazione per le richieste ricevute e le impostazioni di trasporto per le connessioni accettate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).

Le funzioni di autenticazione comprendono tre livelli di autenticazione, che possono essere utilizzati contemporaneamente:
  • Livello di attributo CSIv2. Il livello di attributo può contenere un token di identità che rappresenta un'identità proveniente da un server a monte ed è già autenticato. Il livello di identità ha la priorità più alta ed è seguito dal livello di messaggio e, quindi, da quello di trasporto. Se un client li invia tutti e tre, viene utilizzato solo il livello di identità. Il certificato client SSL viene utilizzato come identità, solo se questo rappresenta le uniche informazioni fornite durante la richiesta. Il client recupera IOR (Interoperable Object Reference) dallo spazio nome e legge i valori dal componente contrassegnato per determinare ciò di cui ha bisogno il server per la sicurezza.
  • Livello di trasporto CSIv2. Il livello di trasporto, quello più basso, potrebbe contenere, come identità, un certificato client SSL (Secure Sockets Layer).
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Livello di messaggio CSIv2. Il livello di messaggio può contenere un ID utente e una password oppure un token autenticato con scadenza.
Comunicazioni in uscita CSIv2

Selezionare per specificare le impostazioni di autenticazione per le richieste inviate e le impostazioni di trasporto per le connessioni avviate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).

Le funzioni di autenticazione comprendono tre livelli di autenticazione, che possono essere utilizzati contemporaneamente:
  • Livello di attributo CSIv2. Il livello di attributo può contenere un token di identità che rappresenta un'identità proveniente da un server a monte ed è già autenticato. Il livello di identità ha la priorità più alta ed è seguito dal livello di messaggio e, quindi, da quello di trasporto. Se un client li invia tutti e tre, viene utilizzato solo il livello di identità. Il certificato client SSL viene utilizzato come identità, solo se questo rappresenta le uniche informazioni fornite durante la richiesta. Il client recupera IOR (Interoperable Object Reference) dallo spazio nome e legge i valori dal componente contrassegnato per determinare ciò di cui ha bisogno il server per la sicurezza.
  • Livello di trasporto CSIv2. Il livello di trasporto, quello più basso, potrebbe contenere, come identità, un certificato client SSL (Secure Sockets Layer).
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Livello di messaggio CSIv2. Il livello di messaggio può contenere un ID utente e una password oppure un token autenticato con scadenza.
Autorizzazione JAAS (Java authentication and Authorization Service)

In Autenticazione, espandere il servizio di autorizzazione e autenticazione Java per visualizzare i collegamenti a:

  • Login di applicazione
  • Login di sistema
  • Dati di autenticazione J2C
Login di applicazione

Selezionare per definire le configurazioni di login utilizzate da JAAS.

Non rimuovere le configurazioni di login ClientContainer, DefaultPrincipalMapping e WSLogin in quanto potrebbero essere utilizzate da altre applicazioni. Se queste configurazioni vengono rimosse, altre applicazioni potrebbero non funzionare correttamente.

Login di sistema

Selezionare per definire le configurazioni di login JAAS utilizzate dalle risorse di sistema, incluso il meccanismo di autenticazione, l'associazione principale e l'associazione di credenziali.

Dati di autenticazione J2C

Selezionare per specificare le impostazioni dei dati di autenticazione J2C (Java 2 Connector) JAAS (Java Authentication and Authorization Service).

È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.

LTPA

Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server all'altro in modo sicuro.

La codifica delle informazioni di autenticazione scambiate tra i server interessa il meccanismo LTPA (Lightweight Third-Party Authentication).

Kerberos e LTPA

Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server all'altro in modo sicuro.

La codifica delle informazioni di autenticazione scambiate tra i server interessa il meccanismo Kerberos.
Nota: Prima di selezionare questa opzione, occorre configurare Kerberos.
Configurazione Kerberos

Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server all'altro in modo sicuro.

La codifica delle informazioni di autenticazione scambiate tra i server interessa il meccanismo KRB5 di LTPA.

Impostazioni della cache di autenticazione

Selezionare per impostare le impostazioni della cache di autenticazione.

Utilizza nomi utenti qualificati dal realm

Specifica che i nomi utenti restituiti dai metodi, come il metodo getUserPrincipal(), sono qualificati con il realm per la sicurezza in cui risiedono.

Domini di sicurezza

Il collegamento Dominio di sicurezza consente di configurare ulteriori configurazioni di sicurezza per le applicazioni dell'utente.

Ad esempio, se si desidera utilizzare un diverso registro utente per un gruppo di applicazioni utente rispetto a quello utilizzato al livello globale, è possibile creare una configurazione di sicurezza con tale registro utente e associarla a quel gruppo di applicazioni. Queste ulteriori configurazioni di sicurezza possono essere associate a diversi ambiti (cella, cluster/server, SIBus). Una volta associate le configurazioni di sicurezza con un ambito di tutte le applicazioni utente, utilizzare questa configurazione di sicurezza. Per ulteriori informazioni, fare riferimento a Domini di sicurezza multipli.

Per ogni attributo di sicurezza, è possibile utilizzare le impostazioni di sicurezza globali o personalizzare le impostazioni per il dominio.

Provider di autorizzazione esterni

Selezionare per specificare se utilizzare la configurazione di autorizzazione predefinita o un provider di autorizzazione esterno.

I provider esterni devono basarsi sulla specifica JACC (Java Authorization Contract for Containers) per gestire l'autorizzazione J2EE (Java(TM) 2 Platform, Enterprise Edition). Non modificare le impostazioni sui pannelli del provider di autorizzazione a meno che non sia configurato un provider di sicurezza esterno come provider di autorizzazione JACC.

Proprietà personalizzate

Selezionare per specificare le coppie nome-valore dei dati, dove il nome è una chiave proprietà e il valore è una stringa.




I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Concetti correlati
Attività correlate
[AIX Solaris HP-UX Linux Windows] [iSeries]
Riferimenti correlati
Meccanismi di autenticazione e scadenza
Impostazioni del sistema operativo locale
Impostazioni del registro LDAP autonomo
[z/OS] Riepilogo dei controlli
Impostazioni del registro personalizzato autonomo
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
[z/OS]
Informazioni correlate
[AIX Solaris HP-UX Linux Windows] [iSeries] Cryptographic Module Validation Program FIPS 140-1 and FIPS 140-2 Pre-validation List (on-line)


Nome file: usec_secureadminappinfra.html