使用此面板来配置管理和缺省应用程序安全策略。此安全性配置应用于所有管理功能的安全策略并用作用户应用程序的缺省安全策略。可以定义安全域来覆盖和定制用户应用程序的安全策略。
要查看此管理控制台页面,单击安全性 > 全局安全性。
安全性会对应用程序的性能产生一定程度的影响。性能影响随应用程序工作负载特征的不同而有所变化。您首先必须确定已经对应用程序启用了所需的安全性级别,然后测量安全性对应用程序性能的影响程度。
配置安全性后,请验证对用户注册表面板或认证机制面板所作的任何更改。单击应用以验证用户注册表设置。将尝试向已配置的用户注册表认证服务器标识或验证管理标识(如果使用了 internalServerID 的话)。启用管理安全性后,通过验证用户注册表设置,可以避免第一次重新启动服务器时发生问题。
启动一个向导,该向导使您能够配置基本管理安全性设置和应用程序安全性设置。此过程只允许授权用户执行管理任务和应用程序。
通过使用此向导,可以配置应用程序安全性、资源或 Java™ 2 连接器(J2C)安全性以及用户注册表。可以配置现有的注册表并启用管理安全性、应用程序安全性和资源安全性。
在应用使用安全性配置向导所作的更改时,缺省情况下将启用管理安全性。
启动报告,该报告收集和显示应用程序服务器的当前安全性设置。该报告将收集有关核心安全性设置、管理用户和组、CORBA 命名角色和 cookie 保护的信息。当配置了多安全性域时,该报告将显示与每个域相关联的安全性配置。
目前,该报告有一项限制,既未显示应用程序级安全性信息。并且,该报告也未显示有关 Java 消息服务 (JMS) 安全性、总线安全性或 Web Service 安全性的信息。
指定是否对此应用程序服务器域启用管理安全性。管理安全性要求用户先进行认证,然后才能获取应用程序服务器的管理控制权。
有关更多信息,请参阅管理角色和管理认证的相关链接。
启用安全性时,请设置认证机制配置并指定所选注册表配置中的有效用户标识和密码(或者,当使用了 internalServerID 功能时,指定有效的管理标识)。
仅当用户注册表为本地操作系统时,才能指定 z/OS® 已启动的任务选项。
如果遇到问题(例如在安全域中启用安全性后服务器无法启动),请使该节点上的所有文件重新与单元中的文件同步。要对文件进行再同步,请从该节点运行以下命令:syncNode -username your_userid -password your_password。此命令将连接到 Deployment Manager 并对所有文件进行再同步。
如果服务器在您启用管理安全性后无法重新启动,那么可以禁用安全性。转至 app_server_root/bin 目录并运行 wsadmin -conntype NONE 命令。在 wsadmin> 提示处,输入 securityoff,然后输入 exit 以返回命令提示符。在禁用了安全性的情况下重新启动服务器,以通过管理控制台检查任何不正确的设置。
本地操作系统用户注册表用户:如果选择本地操作系统作为活动用户注册表,那么不需要在用户注册表配置中提供密码。
缺省值: | 已启用 |
在环境中对应用程序启用安全性。这种类型的安全性为认证应用程序用户提供应用程序隔离和需求。
在 WebSphere® Application Server 的先前发行版中,当用户启用了全局安全性时,就同时启用了管理安全性和应用程序安全性。在 WebSphere Application Server V6.1 中,先前的全局安全性概念被划分成管理安全性和应用程序安全性,可以单独启用每一种安全性。
由于进行了此划分,因此 WebSphere Application Server 客户机必须知道目标服务器中是否禁用了应用程序安全性。缺省情况下将启用管理安全性。缺省情况下将禁用应用程序安全性。要启用应用程序安全性,必须启用管理安全性。仅当启用了管理安全性时应用程序安全性才有效。
缺省值: | 已禁用 |
指定在应用程序部署和应用程序启动时,如果应用程序被授予任何定制许可权,安全性运行时就发出警告。定制许可权是用户应用程序定义的许可权,而不是 Java API 许可权。Java API 许可权是 java.* 和 javax.* 包中的许可权。
应用程序服务器支持管理策略文件。本产品提供了许多策略文件,其中有些是静态的,有些是动态的。动态策略是特定类型资源的许可权模板。在动态策略模板中,未定义代码库,也未使用相对代码库。实际的代码库是根据配置和运行时数据动态创建的。filter.policy 文件包含根据 J2EE 1.4 规范而不想让应用程序拥有的许可权列表。有关许可权的更多信息,请参阅有关 Java 2 安全策略文件的相关链接。
缺省值: | 已禁用 |
启用此选项以限制应用程序对敏感的 Java 连接器体系结构 (JCA) 映射认证数据的访问。
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
限制对资源认证数据的访问选项将细粒度的 Java 2 安全许可权检查添加到 WSPrincipalMappingLoginModule 实现的缺省主体映射中。当启用了使用 Java 2 安全性来限制应用程序对本地资源的访问和限制对资源认证数据的访问选项时,对于在进行 Java 认证和授权服务 (JAAS) 登录时直接使用 WSPrincipalMappingLoginModule 实现的 Java 2 Platform, Enterprise Edition (J2EE) 应用程序来说,必须将显式的许可权授予这些应用程序。
缺省值: | 已禁用 |
指定活动用户资源库的当前设置。
此字段是只读的。
指定可用的用户帐户存储库。
在配置用户资源库后将其启用。
当作为 UNIX® 非 root 用户运行或者在多节点环境中运行时,LDAP 或定制用户注册表是必需的。
如果要将已配置的资源访问控制设施 (RACF®) 或与系统授权工具 (SAF) 一致的安全性服务器用作应用程序服务器用户注册表,那么指定此设置。
在多节点环境中,或者在 UNIX 平台上作为非 root 用户运行时,不能使用“本地操作系统”。
仅当使用单一机器上的域控制器或 Network Deployment 单元时,本地操作系统注册表才有效。在后一种情况中,不能将单元中的多个节点分布在多台机器上,在使用本地操作系统用户注册表时,这种配置是无效的。
当用户和组在外部 LDAP 目录中时,指定此设置以使用独立 LDAP 注册表设置。如果已启用安全性,在更改任何这些属性后,请转至安全性 > 全局安全性面板并单击应用或确定以验证更改。
缺省值: | 已禁用 |
选择此项以配置全局安全性设置。
在“认证”下,展开“Web 和 SIP 安全性”以查看与下列各项的链接:
选择此项以指定 Web 认证设置。
选择此项以指定单点登录 (SSO)的配置值。
借助 SSO 支持,一旦访问 WebSphere Application Server 资源(例如,HTML 文件、JavaServer Pages (JSP) 文件、servlet、企业 bean)和 Lotus® Domino® 资源时,Web 用户就可以进行认证。
简单且受保护的 GSS-API 协商机制 (SPNEGO) 为 Web 客户端和服务器提供了一种方法来协商用于允许通信的 Web 认证协议。
选择此项以指定信任关联的设置。信任关联用于将逆向代理服务器连接到应用程序服务器。
您可以使用全局安全性设置或者定制某个域的设置。
在“认证”下,展开 RMI/IIOP 安全性以查看与下列各项的链接:
选择此项以指定接收到的请求的认证设置和此服务器使用对象管理组(OMG)公共安全互操作性(CGI)认证协议接受的连接的传输设置。
选择此项以指定发送的请求的认证设置和此服务器使用对象管理组(OMG)公共安全互操作性(CGI)认证协议启动的连接的传输设置。
在“认证”下,展开 Java 认证和授权服务以查看与下列各项的链接:
选择此项以定义供 JAAS 使用的登录配置。
请不要除去 ClientContainer、DefaultPrincipalMapping 和 WSLogin 这些登录配置,因为其他应用程序可能在使用它们。如果除去了这些配置,那么其他应用程序可能会失败。
选择此项以定义供系统资源使用的 JAAS 登录配置,其中包括认证机制、主体映射和凭证映射。
选择此项以指定 Java 认证和授权服务 (JAAS) Java 2 连接器(J2C)认证数据的设置。
您可以使用全局安全性设置或者定制某个域的设置。
选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。
对于在服务器之间交换的认证信息进行加密涉及到轻量级第三方认证(LTPA)机制。
选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。
选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。
对于在服务器之间交换的认证信息进行加密涉及到 KRB5 的 LTPA 机制。
选择此项以设置认证高速缓存设置。
指定方法(例如 getUserPrincipal() 方法)返回的用户名由它们所在的安全性域限定。
使用“安全域”链接来配置用户应用程序的其他安全性配置。
例如,如果您希望对一组用户应用程序使用的用户注册表与全局级别使用的用户注册表不同,那么可以创建具有该用户注册表的安全性配置,并使此配置与该组应用程序相关联。这些附加的安全性配置可以与各种作用域(单元、集群/服务器和 SIBus)相关联。一旦安全性配置已经与一个作用域相关联,那么该作用域中的所有应用程序都将使用此安全性配置。请阅读多个安全性域以了解更详细的信息。
对于每个安全性属性,可以使用全局安全性设置或者定制此域的设置。
选择此项以指定是使用缺省授权配置还是使用外部授权提供程序。
外部提供程序必须根据 Java Authorization Contract for Containers (JACC) 规范来处理 Java(TM) 2 Platform, Enterprise Edition (J2EE) 授权。除非已将外部安全提供程序配置为 JACC 授权提供程序,否则请不要修改授权提供程序面板上的任何设置。
选择此项以指定数据的“名称/值”对,其中,名称是属性关键字,值是一个字符串。
标有(在线)的链接要求访问因特网。