Ta strona służy do konfigurowania atrybutów zabezpieczeń domeny i przypisywania jej do zasobów komórek. Dla każdego atrybutu zabezpieczeń można użyć globalnych ustawień zabezpieczeń lub dostosować ustawienia danej domeny.
Aby wyświetlić tę stronę Konsoli administracyjnej, kliknij opcję Zabezpieczenia > Domeny zabezpieczeń. Na stronie Kolekcja domen zabezpieczeń należy wybrać istniejącą domenę do skonfigurowania, utworzyć nową albo skopiować istniejącą.
Dodatkowe informacje umożliwiające lepsze poznanie zastosowań wielu domen zabezpieczeń i ich obsługi w tej wersji serwera WebSphere Application Server można znaleźć w sekcji Domeny z wieloma zabezpieczeniami.
Określa unikalną nazwę dla danej domeny. Po pierwszym przesłaniu tej nazwy nie można już edytować.
Nazwa domeny musi być unikalna w obrębie komórki i nie może zawierać nieobsługiwanych znaków.
Określa opis dla danej domeny.
Wybranie tej opcji umożliwia wyświetlenie topologii komórki. Istnieje możliwość przypisania domeny zabezpieczeń do całej komórki albo wybrania określonych klastrów, węzłów i magistral integracji usług, które mają być uwzględnione w domenie zabezpieczeń.
W przypadku wybrania opcji Wszystkie zasięgi zostanie wyświetlona cała topologia komórki.
W przypadku wybrania opcji Przypisane zasięgi zostanie wyświetlona topologia komórki z serwerami i klastrami przypisanymi do bieżącej domeny.
Nazwa jawnie przypisanej domeny jest wyświetlana obok każdego zasobu. Pola wyboru wskazują zasoby, które są obecnie przypisane do domeny. Można wybrać inne zasoby i kliknąć przycisk Zastosuj lub OK, aby przypisać je do bieżącej domeny.
Brak wyboru (wyłączenie) zasobu wskazuje, że nie jest on przypisany do bieżącej domeny i musi zostać usunięty z innej domeny, aby możliwe było jego włączenie dla domeny bieżącej.
Jeśli do zasobu nie jest jawnie przypisana domena, używa on domeny przypisanej do komórki. Jeśli do komórki nie jest przypisana żadna domena, zasób używa globalnych ustawień zabezpieczeń.
Elementy klastra nie mogą być pojedynczo przypisywane do domen — cały klaster używa tej samej domeny.
Wybranie opcji Włącz zabezpieczenia aplikacji umożliwia włączenie lub wyłączenie zabezpieczeń dla aplikacji użytkownika. Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
W przypadku wyłączenia tej opcji wszystkie komponenty EJB i aplikacje WWW w danej domenie zabezpieczeń nie będą chronione. Dostęp do tych zasobów będzie przyznawany bez uwierzytelniania użytkowników. W przypadku włączenia tej opcji zabezpieczenia J2EE będą wymuszane dla wszystkich komponentów EJB i aplikacji WWW w domenie zabezpieczeń. Zabezpieczenia J2EE są wymuszane jedynie w przypadku włączenia opcji Zabezpieczenia globalne w globalnej konfiguracji zabezpieczeń. Oznacza to, że nie można włączyć zabezpieczeń aplikacji bez wcześniejszego włączenia opcji Zabezpieczenia globalne na poziomie globalnym.
Służy do włączania zabezpieczeń dla aplikacji w danym środowisku. Ten typ zabezpieczeń zapewnia odseparowanie aplikacji i udostępnia wymagania na potrzeby uwierzytelniania użytkowników aplikacji.
W poprzednich wersjach serwera WebSphere Application Server po włączeniu przez użytkownika zabezpieczeń globalnych włączane były zarówno zabezpieczenia administracyjne, jak i aplikacji. W produkcie WebSphere Application Server 6.1 pojęcie zabezpieczeń globalnych uległo podziałowi na zabezpieczenia administracyjne i zabezpieczenia aplikacji, a każde z tych zabezpieczeń może być włączone oddzielnie.
W wyniku tego podziału klienty serwera WebSphere Application Server muszą mieć informacje o tym, czy zabezpieczenia aplikacji na serwerze docelowym są wyłączone. Zabezpieczenia administracyjne są domyślnie włączone. Zabezpieczenia aplikacji są domyślnie wyłączone. W celu włączenia zabezpieczeń aplikacji, konieczne jest włączenie zabezpieczeń administracyjnych. Zabezpieczenia aplikacji działają tylko przy włączonych zabezpieczeniach administracyjnych.
W przypadku wyłączenia tej opcji wszystkie komponenty EJB i aplikacje WWW w danej domenie zabezpieczeń nie będą chronione. Dostęp do tych zasobów będzie przyznawany bez uwierzytelniania użytkowników. W przypadku włączenia tej opcji zabezpieczenia J2EE będą wymuszane dla wszystkich komponentów EJB i aplikacji WWW w domenie zabezpieczeń. Zabezpieczenia J2EE są wymuszane jedynie w przypadku włączenia opcji Zabezpieczenia globalne w globalnej konfiguracji zabezpieczeń. Oznacza to, że nie można włączyć zabezpieczeń aplikacji bez wcześniejszego włączenia opcji Zabezpieczenia globalne na poziomie globalnym.
Wybranie opcji Użyj zabezpieczeń Java 2 umożliwia włączenie lub wyłączenie zabezpieczeń Java 2 na poziomie domeny albo przypisanie lub dodanie właściwości powiązanych z zabezpieczeniami Java 2. Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
Ta opcja umożliwia włączenie lub wyłączenie zabezpieczeń Java 2 na poziomie procesu (maszyny JVM), dzięki czemu wszystkie aplikacje (administracyjne i użytkownika) mogą mieć włączone lub wyłączone zabezpieczenia Java 2.
Wybranie tej opcji umożliwia określenie użycia globalnych ustawień zabezpieczeń.
Wybranie tej opcji umożliwia określenie ustawień definiowanych w domenie, na przykład opcji włączenia zabezpieczeń aplikacji i Java 2 lub użycia danych uwierzytelniania kwalifikowanych przez dziedzinę.
Wybranie tej opcji umożliwia określenie, czy należy włączyć, czy też wyłączyć sprawdzanie uprawnień zabezpieczeń Java 2. Domyślnie dostęp do lokalnych zasobów nie jest ograniczony. Można wyłączyć zabezpieczenia Java 2, nawet jeśli zabezpieczenia aplikacji są włączone.
Jeśli zostanie włączona opcja Użyj zabezpieczeń Java 2, aby ograniczyć dostęp aplikacji do zasobów lokalnych, a aplikacja wymaga większych uprawnień zabezpieczeń Java 2 niż uprawnienia przyznawane w strategii domyślnej, może ona działać błędnie, jeśli żądane uprawnienia nie zostaną przyznane w pliku app.policy lub pliku was.policy tej aplikacji. Wyjątki kontroli dostępu AccessControl są generowane przez aplikacje, które nie mają wszystkich wymaganych uprawnień.
Służy do określania, że podczas wdrażania i uruchamiania aplikacji środowisko wykonawcze zabezpieczeń wyśle ostrzeżenie, jeśli aplikacji zostaną przyznane dowolne uprawnienia niestandardowe. Uprawnienia niestandardowe to uprawnienia, które są definiowane przez aplikacje użytkownika, a nie uprawnienia interfejsu API Java. Uprawnienia interfejsu API Java są to uprawnienia w pakietach java.* i javax.*.
Serwer aplikacji udostępnia obsługę zarządzania plikami strategii. W produkcie tym dostępna jest pewna liczba plików strategii, niektóre z nich są statyczne, a niektóre dynamiczne. Strategia dynamiczna jest to szablon uprawnień dla konkretnego typu zasobów. W szablonie strategii dynamicznej nie jest określony kod podstawowy i nie jest używany kod względny. Podstawowy kod jest tworzony dynamicznie w oparciu o dane konfiguracji i dane czasu wykonywania. Plik filter.policy zawiera listę uprawnień, których aplikacja nie powinna mieć, zgodnie ze specyfikacją J2EE 1.4.
Ta opcja jest wyłączona, jeśli nie zostały włączone zabezpieczenia Java 2.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Opcja Ogranicz dostęp do danych uwierzytelniania zasobu powoduje dodanie sprawdzania szczegółowych uprawnień zabezpieczeń Java 2 do domyślnego odwzorowania głównego implementacji WSPrincipalMappingLoginModule. Jeśli są włączone opcje Użyj zabezpieczeń Java 2, aby ograniczyć dostęp aplikacji do zasobów lokalnych oraz Ogranicz dostęp do danych uwierzytelniania zasobu, należy nadać jawne uprawnienie aplikacjom Java 2 Platform, Enterprise Edition (J2EE) wykorzystującym bezpośrednio implementację WSPrincipalMappingLoginModule do logowania JAAS (Java Authentication and Authorization Service).
Wartość domyślna: | Wyłączone |
Ta sekcja umożliwia skonfigurowanie rejestru użytkowników dla domeny zabezpieczeń. Istnieje możliwość oddzielnego skonfigurowania każdego rejestru oprócz rejestru stowarzyszonego, który jest używany na poziomie domeny. Repozytorium stowarzyszone może być konfigurowane jedynie na poziomie globalnym, ale można go używać na poziomie domeny.
Podczas konfigurowania rejestru na poziomie domeny użytkownik może wybrać zdefiniowanie własnej nazwy dziedziny dla rejestru. Nazwa dziedziny umożliwia odróżnienie poszczególnych rejestrów użytkowników. Nazwa dziedziny jest używana w wielu miejscach: w panelu logowania klienta Java (w celu wyświetlenia monitu dla użytkownika), w pamięci podręcznej uwierzytelniania i podczas używania autoryzacji rodzimej.
Na globalnym poziomie konfiguracji dziedzina rejestru użytkowników jest tworzona przez system. W poprzednich wersjach produktu WebSphere Application Server w systemie jest konfigurowany tylko jeden rejestr użytkowników. W przypadku użycia wielu domen zabezpieczeń można skonfigurować w systemie wiele rejestrów. Aby zapewnić unikalność dziedzin w tych domenach, należy określić własną nazwę dziedziny dla domeny zabezpieczeń. Można również wybrać opcję utworzenia przez system unikalnej nazwy dziedziny, jeśli zachodzi pewność co do jej unikalności. W tym drugim przypadku nazwa dziedziny jest tworzona na podstawie używanego rejestru.
Wybranie tej opcji umożliwia określenie ustawień powiązania zaufanego. Powiązanie zaufane jest używane do łączenia odwrotnych serwerów proxy z serwerami aplikacji.
Powiązanie zaufane umożliwia integrację zabezpieczeń serwera IBM WebSphere Application Server i serwerów zabezpieczeń innych firm. Odwrotny serwer proxy może działać jako frontowy serwer uwierzytelniania, jeśli produkt zastosuje własną strategię uwierzytelniania do uwierzytelnień przekazanych przez serwer proxy.
Moduły Trust Association Interceptor produktu Tivoli Access Manager mogą być konfigurowane tylko na poziomie globalnym. Konfiguracja domeny również może z nich korzystać, ale nie może zawierać innej wersji przechwytywacza powiązania zaufania. W danym systemie może istnieć tylko jedna instancja modułu Trust Association Interceptor produktu Tivoli Access Manager.
Wybranie tej opcji umożliwia uzyskanie dostępu do informacji dotyczących zaufania dla odwrotnych serwerów proxy lub określenie tych informacji.
Wybranie tej opcji umożliwia integrację zabezpieczeń serwera IBM WebSphere Application Server i serwerów zabezpieczeń innych firm. Odwrotny serwer proxy może działać jako frontowy serwer uwierzytelniania, jeśli produkt zastosuje własną strategię uwierzytelniania do uwierzytelnień przekazanych przez serwer proxy.
Określa ustawienia mechanizmu SPNEGO (Simple and Protected GSS-API Negotiation) jako mechanizmu uwierzytelniania WWW.
Uwierzytelnianie WWW SPNEGO umożliwiające skonfigurowanie mechanizmu SPNEGO dla uwierzytelniania zasobów WWW może być skonfigurowane na poziomie domeny.
Określa ustawienia protokołu RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).
Obiektowy broker zapytań (Object Request Broker - ORB) zarządza interakcją między klientami a serwerami za pomocą protokołu Internet InterORB (IIOP). Umożliwia on klientom zgłaszanie zapytań i otrzymywanie odpowiedzi z serwerów w rozproszonym środowisku sieciowym.
Podczas konfigurowania tych atrybutów na poziomie domeny konfiguracja zabezpieczeń RMI/IIOP na poziomie globalnym jest kopiowana w celu ułatwienia pracy. Użytkownik może zmienić atrybuty wymagające modyfikacji na poziomie domeny. Ustawienia warstwy transportowej dla komunikacji przychodzącej protokołu CSIv2 powinny być takie same na poziomie globalnym i poziomie domeny. Jeśli tak nie będzie, atrybuty na poziomie domeny zostaną zastosowane do wszystkich aplikacji w ramach procesu.
W trakcie komunikacji procesu z innym procesem o innej dziedzinie znaczniki uwierzytelniania LTPA i propagacji są przekazywane do następnego serwera, jeśli dany serwer nie jest umieszczony na liście zaufanych dziedzin wychodzących. Aby umieścić serwer na tej liście, należy użyć odsyłacza Zaufane dziedziny uwierzytelniania — wychodzące w panelu Komunikacja wychodząca protokołu CSIv2.
Wybranie tej opcji pozwala określić ustawienia uwierzytelniania dla żądań odbieranych oraz ustawienia transportu dla połączeń przyjmowanych przez ten serwer przy użyciu protokołu uwierzytelniania CSI (Common Secure Interoperability) grupy OMG (Object Management Group).
Serwer WebSphere Application Server umożliwia określenie uwierzytelniania protokołu IIOP (Internet Inter-ORB Protocol) zarówno dla przychodzących, jak i wychodzących żądań uwierzytelnienia. W przypadku żądań przychodzących można określić typ akceptowanego uwierzytelniania, na przykład uwierzytelnianie podstawowe.
Wybranie tej opcji pozwala określić ustawienia uwierzytelniania dla żądań wysyłanych oraz ustawienia transportu dla połączeń inicjowanych przez ten serwer przy użyciu protokołu uwierzytelniania CSI (Common Secure Interoperability) grupy OMG (Object Management Group).
Serwer WebSphere Application Server umożliwia określenie uwierzytelniania protokołu IIOP (Internet Inter-ORB Protocol) zarówno dla przychodzących, jak i wychodzących żądań uwierzytelnienia. W przypadku żądań wychodzących można określić właściwości, takie jak typ uwierzytelniania, zapewnianie o tożsamości i konfiguracje logowania, używane w żądaniach dla następnych serwerów.
Wybranie tej opcji umożliwia zdefiniowanie konfiguracji logowania używanych przez usługę JAAS.
Logowania do aplikacji JAAS, logowania do systemu JAAS i aliasy danych uwierzytelniania J2C JAAS mogą być skonfigurowane na poziomie domeny. Domyślnie wszystkie aplikacje w systemie mają dostęp do logowań JAAS skonfigurowanych na poziomie globalnym. Element wykonawczy zabezpieczeń sprawdza w pierwszej kolejności dostępność logowań JAAS na poziomie domeny. W przypadku ich braku element wykonawczy wyszukuje je w konfiguracji zabezpieczeń globalnych. Wybrane logowania JAAS należy skonfigurować na poziomie domeny, jeśli zachodzi konieczność określenia logowania używanego wyłącznie przez aplikacje w domenie zabezpieczeń.
W przypadku usługi JAAS i właściwości niestandardowych (wyłącznie) po dostosowaniu atrybutów globalnych dla określonej domeny mogą być one nadal używane przez aplikacje użytkownika.
Nie należy usuwać konfiguracji logowania ClientContainer, DefaultPrincipalMapping ani WSLogin, ponieważ mogą z nich korzystać inne aplikacje. Jeśli te konfiguracje zostaną usunięte, uruchamianie innych aplikacji może się nie powieść.
Wybranie tej opcji umożliwia określenie ustawień definiowanych w domenie, na przykład opcji włączenia zabezpieczeń aplikacji i Java 2 lub użycia danych uwierzytelniania kwalifikowanych przez dziedzinę.
Określa ustawienia konfiguracji logowania do systemu JAAS. Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień konfiguracji dla domeny.
Wybranie tej opcji umożliwia zdefiniowanie konfiguracji logowania JAAS używanych przez zasoby systemowe, w tym mechanizmy uwierzytelniania, odwzorowywanie elementów głównych oraz odwzorowywanie referencji.
Określa ustawienia danych uwierzytelniania JAAS J2C. Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
Wpisy danych uwierzytelniania konektora Java 2 Platform, Enterprise Edition (J2EE) są używane przez adaptery zasobów i źródła danych Java DataBase Connectivity (JDBC).
Wybranie tej opcji umożliwia określenie ustawień definiowanych w domenie, na przykład opcji włączenia zabezpieczeń aplikacji i Java 2 lub użycia danych uwierzytelniania kwalifikowanych przez dziedzinę.
Określa różne ustawienia pamięci podręcznej, które muszą zostać zastosowane na poziomie domeny.
Określa ustawienia dostawcy autoryzacji. Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
Zewnętrznego dostawcę JACC (Java Authorization Contract for Containers) innej firmy można skonfigurować na poziomie domeny. Dostawcę JACC produktu Tivoli Access Manager można skonfigurować jedynie na poziomie globalnym. Domeny zabezpieczeń mogą go nadal używać, o ile nie przesłaniają dostawcy autoryzacji przy użyciu innego dostawcy JACC lub wbudowanej autoryzacji rodzimej.
Należy wybrać opcję Autoryzacja domyślna lub Autoryzacja zewnętrzna przy użyciu dostawcy JAAC. Przycisk Konfiguruj jest włączony jedynie w przypadku wybrania opcji Autoryzacja zewnętrzna przy użyciu dostawcy JAAC.
Jeśli dla uwierzytelniania SAF na poziomie domeny ustawiono
przedrostek profilu SAF, będzie stosowany na poziomie serwera, aby wszystkie
aplikacje (administracyjne i użytkowników) mogły go włączać lub wyłączać na
serwerze.
Określa ustawienia dla systemu z/OS. Istnieje możliwość zarówno użycia ustawień zabezpieczeń globalnych, jak i dostosowania ustawień dla domeny.
Wybranie tej opcji umożliwia określenie par danych nazwy i wartości, w których nazwa to klucz właściwości, a wartość to łańcuch.
Na poziomie domeny należy ustawiać nowe właściwości niestandardowe lub takie, które odbiegają od właściwości na poziomie globalnym. Domyślnie wszystkie właściwości niestandardowe w konfiguracji zabezpieczeń globalnych są dostępne dla wszystkich aplikacji w systemie. Kod wykonawczy zabezpieczeń sprawdza w pierwszej kolejności dostępność właściwości niestandardowych na poziomie domeny. W przypadku ich braku kod wykonawczy podejmuje próbę ich uzyskania z konfiguracji zabezpieczeń globalnych.
Kliknięcie opcji Domyślne powiązania zestawu strategii umożliwia ustawienie domyślnych powiązań dostawcy i klienta domeny.
Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.