Globální nastavení zabezpečení

Prostřednictvím tohoto panelu lze konfigurovat administraci a výchozí zásadu zabezpečení aplikací. Tato konfigurace zabezpečení se vztahuje na zásadu zabezpečení pro všechny administrativní funkce a používá se jako výchozí zásada zabezpečení pro uživatelské aplikace. Domény zabezpečení lze definovat tak, aby přepisovaly a přizpůsobovaly zásady zabezpečení pro uživatelské aplikace.

Chcete-li zobrazit tuto stránku konzoly pro správu, klepněte na volbu Zabezpečení > Globální zabezpečení.

[AIX Solaris HP-UX Linux Windows] [iSeries] Zabezpečení má určitý dopad na výkon používaných aplikací. Tento vliv na výkon aplikací může záviset na charakteristice zatížení aplikací. Nejprve je nutné zajistit aktivaci potřebné úrovně zabezpečení pro aplikace a poté lze změřit dopad zabezpečení na výkon aplikací.

Po konfiguraci zabezpečení ověřte všechny změny na panelu registru uživatelů nebo ověřovacího mechanizmu. Klepnutím na tlačítko Použít ověříte nastavení registru uživatelů. Byl proveden pokus o ověření ID serveru nebo o ověření ID administrátora (je-li použit parametr internalServerID) oproti konfigurovanému registru uživatelů. Pokud po aktivaci zabezpečení správy ověříte nastavení registru uživatelů, vyhnete se případným problémům při prvním restartu serveru.

Průvodce konfigurací zabezpečení

Spustí průvodce, který umožňuje konfigurovat základní nastavení zabezpečení správy a aplikací. Pro tento proces jsou úlohy správy a činnost aplikací omezeny na autorizované uživatele.

Pomocí tohoto průvodce můžete konfigurovat zabezpečení aplikací, prostředků či konektoru J2C (Java 2 Connector) a registr uživatelů. Můžete konfigurovat existující registr a aktivovat zabezpečení správy, aplikací a prostředků.

Pokud použijete změny provedené pomocí průvodce konfigurací zabezpečení, bude ve výchozím nastavení aktivováno zabezpečení správy.

Sestava konfigurace zabezpečení

Spustí sestavu, která získá a zobrazí aktuální nastavení zabezpečení aplikačního serveru. Budou získávány informace o základním nastavení zabezpečení, administrativních uživatelích a skupinách, rolích pojmenování CORBA a ochraně souborů cookie. Je-li konfigurováno více domén zabezpečení, je v rámci sestavy zobrazena konfigurace zabezpečení přidružená k jednotlivým doménám.

V současné době je zobrazení sestavy omezeno a nejsou v ní uvedeny údaje zabezpečení na úrovni aplikací. V sestavě nejsou zobrazeny ani informace týkající se zabezpečení JMS (Java Message Service), zabezpečení sběrnice ani zabezpečení webových služeb.

Povolit zabezpečení správy

Určuje, zda má být pro tuto doménu aplikačního serveru aktivováno zabezpečení správy. Zabezpečení správy vyžaduje ověření uživatelů předtím, než získají administrativní kontrolu nad aplikačním serverem.

Další informace můžete získat prostřednictvím souvisejících odkazů týkajících se rolí pro správu a administrativního ověření.

Při aktivaci zabezpečení je třeba nastavit konfigurační údaje mechanizmu ověřování a zadat platné jméno a heslo uživatele (nebo platné ID administrátora při použití parametru internalServerID) ve zvolené konfiguraci registru.

Poznámka: Je nutné rozlišovat mezi jménem (ID) uživatele (obvykle označovaným jako ID administrátora), které označuje administrátory spravující dané prostředí, a identifikátorem (ID) serveru, který je používán při komunikaci mezi servery. Při použití interní funkce serveru není nutné zadávat identifikátor (ID) a heslo serveru. Volitelně lze však tento identifikátor (ID) a heslo serveru zadat. Chcete-li zadat identifikátor (ID) a heslo serveru, proveďte následující kroky:
  1. Klepněte na volbu Zabezpečení > Globální zabezpečení.
  2. V části Úložiště uživatelských účtů vyberte úložiště a klepněte na volbu Konfigurovat.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Zadejte identifikátor (ID) a heslo serveru v sekci Identita uživatele serveru.

[z/OS] Volbu Úloha spuštěná v systému z/OS můžete zadat pouze v případě, že registrem uživatelů je Lokální operační systém.

Pokud se vyskytnou problémy (například server nebude po aktivaci zabezpečení v rámci domény zabezpečení spuštěn), proveďte opětovnou synchronizaci všech souborů z buňky na tento uzel. Chcete-li provést opětovnou synchronizaci souborů, spusťte z daného uzlu následující příkaz: syncNode -username vaše_jméno_uživatele -password vaše_heslo. Tento příkaz připojí správce zavedení a provede opětnou synchronizaci všech souborů.

[iSeries] [z/OS] Pokud se server po povolení zabezpečení správy nerestartuje, můžete zabezpečení zakázat. Přejděte do adresáře kořenový_adresář_aplikačního_serveru/bin a spusťte příkaz wsadmin -conntype NONE. Po zobrazení výzvy wsadmin> zadejte příkaz securityoff a poté se zadáním příkazu exit vraťte k výzvě pro zadávání příkazů. Restartujte server se zakázaným zabezpečením a prostřednictvím konzoly pro správu ověřte, zda se nevyskytují nesprávná nastavení.

[z/OS] Registr uživatelů lokálního OS: Pokud jste jako aktivní registr uživatelů vybrali volbu Lokální OS, není nutné v konfiguraci registru uživatelů zadávat heslo.

Výchozí hodnota: Povoleno
Povolit zabezpečení aplikací

Povolí zabezpečení pro aplikace v příslušném prostředí. Tento typ zabezpečení poskytuje oddělení aplikací a požadavky pro ověřování uživatelů aplikací.

V předchozích verzích produktu WebSphereApplication Server bylo při povolení globálního zabezpečení uživatelem povoleno zabezpečení správy i aplikací. V produktu WebSphere Application Server verze 6.1 je dřívější koncepce globálního zabezpečení rozdělena na zabezpečení správy a zabezpečení aplikací, přičemž každé lze povolit samostatně.

V důsledku tohoto rozdělení musí klienti produktu WebSphere Application Server vědět, zda je na cílovém serveru zakázáno zabezpečení aplikací. Zabezpečení správy je při výchozím nastavení povoleno. Zabezpečení aplikací je při výchozím nastavení zakázáno. Chcete-li povolit zabezpečení aplikací, je třeba povolit zabezpečení správy. Zabezpečení aplikací je využíváno pouze v případě, že je povoleno zabezpečení správy.

Výchozí hodnota: Zakázáno
Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům

Určuje, zda má být aktivována či deaktivována kontrola oprávnění pro zabezpečení prostředí Java 2. Ve výchozím nastavení není přístup k lokálním prostředkům omezen. Zabezpečení prostředí Java 2 můžete deaktivovat i v případě, že je zabezpečení aplikace aktivováno.

Pokud je aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a pokud aplikace vyžaduje více oprávnění zabezpečení prostředí Java 2, než je jí uděleno ve výchozí zásadě, nemusí tato aplikace pracovat správně, dokud jí nebudou udělena potřebná oprávnění v souboru app.policy nebo v souboru was.policy aplikace. Aplikace, kterým nejsou udělena všechna potřebná oprávnění, generují výjimky AccessControl. Další informace o zabezpečení Java 2 můžete získat prostřednictvím souvisejících odkazů.

Výchozí hodnota: Zakázáno
Varovat pokud jsou aplikacím udělena vlastní oprávnění

Určuje, že pokud je během zavádění a spouštění aplikací těmto aplikacím udělena vlastní oprávnění, běhový modul zabezpečení zobrazí varovnou zprávu. Vlastními oprávněními se rozumí oprávnění definovaná uživatelskými aplikacemi, nikoli oprávnění rozhraní API Java. Oprávnění rozhraní API Java jsou oprávnění v balících java.* a javax.*.

Aplikační server poskytuje podporu pro správu souborů zásad. V tomto produktu je k dispozici celá řada souborů zásad. Některé z nich jsou statické, jiné dynamické. Dynamická zásada je šablona oprávnění pro konkrétní typ prostředku. V šabloně dynamické zásady není definován žádný základ kódu ani žádný relativní základ kódu. Skutečný základ kódu je dynamicky vytvářen z konfiguračních dat a dat vytvářených během zpracování. Soubor filter.policy obsahuje seznam oprávnění, která aplikace nemá mít, podle specifikace J2EE 1.4. Další informace týkající se oprávnění můžete získat prostřednictvím souvisejícího odkazu týkajícího se souborů zásad zabezpečení prostředí Java 2.

Důležité: Tuto volbu nelze aktivovat, aniž by byla aktivována volba Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům.
Výchozí hodnota: Zakázáno
Omezit přístup k datům ověřování prostředků

Tuto možnost povolte, chcete-li omezit přístup aplikací k citlivým ověřovacím datům mapování JCA (Java Connector Architecture).

Povolení této volby zvažte v případě, že jsou splněny obě následující podmínky:
  • Je povoleno zabezpečení prostředí Java 2.
  • Kódu aplikace je uděleno oprávnění WebSphereRuntimePermission accessRuntimeClasses v souboru was.policy obsaženém v souboru podnikového archivu aplikace (EAR). Kódu aplikace je oprávnění uděleno například v případě, že soubor was.policy obsahuje následující řádek:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

Volba Omezit přístup k datům ověřování prostředků umožňuje přidat detailní kontrolu oprávnění zabezpečení Java 2 do výchozího hlavního mapování implementace WSPrincipalMappingLoginModule. Je třeba udělit explicitní oprávnění aplikacím v rámci platformy J2EE (Java 2 Enterprise Edition), které používají implementaci WSPrincipalMappingLoginModule přímo pro přihlášení služby JAAS (Java Authentication and Authorization Service), pokud jsou aktivovány volby Použít zabezpečení prostředí Java 2 k omezení přístupu aplikací k lokálním prostředkům a Omezit přístup k datům ověřování prostředků.

Výchozí hodnota: Zakázáno
Definice aktuální sféry

Určuje aktuální nastavení pro aktivní úložiště uživatelů.

Toto pole je určeno pouze pro čtení.

Dostupné definice sfér

Určuje dostupná úložiště uživatelských účtů.

Vybrané volby se zobrazí v rozevíracím seznamu, který obsahuje následující položky:
  • Lokální operační systém
  • Samostatný registr LDAP
  • Samostatný vlastní registr
Nastavit jako aktuální [AIX Solaris HP-UX Linux Windows] [z/OS]

Povolí úložiště uživatelů po jeho konfigurování.

[AIX Solaris HP-UX Linux Windows] Při práci pod jiným než kořenovým uživatelem systému UNIX nebo při práci v prostředí s více uzly je vyžadován registr uživatelů LDAP nebo vlastní registr.

Můžete konfigurovat nastavení pro jedno z následujících úložišť uživatelů:
Sdružená úložiště
Pomocí této volby lze spravovat profily ve více úložištích v rámci jediné sféry. Sféra může být tvořena identitami v následujících entitách:
  • Úložiště založené na souborech, zabudované do systému
  • Jedno nebo více externích úložišť
  • Kombinace vestavěného úložiště založeného na souborech a jednoho nebo více externích úložišť
Poznámka: Údaje konfigurace může zobrazit pouze uživatel s oprávněními administrátora.
Lokální operační systém

[z/OS] Tuto volbu vyberte, chcete-li jako registr uživatelů aplikačního serveru použít nakonfigurovaný server zabezpečení, který je kompatibilní s prostředky RACF (Resource Access Control Facility) nebo SAF (System Authorization Facility).

[AIX Solaris HP-UX Linux Windows] [iSeries] U platforem UNIX nelze volbu Lokální operační systém použít v konfiguracích s více uzly ani při spuštění pod jiným jménem uživatele než root.

[AIX Solaris HP-UX Linux Windows] Registr lokálního operačního systému je platný pouze při použití řadiče domény nebo tehdy, pokud je buňka Network Deployment umístěna na samostatném počítači. V tomto druhém případě nelze rozmístit více uzlů v buňce do více počítačů, protože při této konfiguraci by nebylo použití registru lokálního operačního systému platné.

Samostatný registr LDAP

Toto nastavení určete, chcete-li používat nastavení samostatného registru LDAP, pokud jsou uživatelé a skupiny umístěni v externím adresáři LDAP. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, přejděte na panel Zabezpečení > Globální zabezpečení a klepnutím na tlačítko Použít nebo OK změny ověřte.

Poznámka: Vzhledem k tomu, že je podporováno více serverů LDAP, toto nastavení neznamená, že je používán jeden registr LDAP.
Samostatný vlastní registr
Chcete-li implementovat vlastní samostatný registr pro implementaci rozhraní com.ibm.websphere.security.UserRegistry, zadejte tuto volbu. Je-li povoleno zabezpečení a změníte-li některou z těchto vlastností, přejděte na panel Globální zabezpečení a klepnutím na tlačítko Použít nebo OK změny ověřte.
Výchozí hodnota: Zakázáno
Konfigurovat...

Vyberte konfiguraci globálního nastavení zabezpečení.

Webové zabezpečení a zabezpečení SIP

V části Ověření můžete pomocí rozbalení nabídky Webové zabezpečení a zabezpečení SIP zobrazit odkazy na následující položky:

  • Obecná nastavení
  • Jednotné přihlášení (SSO)
  • Webové ověřování SPNEGO
  • Přiřazení důvěry
Obecná nastavení

Tuto volbu vyberte, chcete-li určit nastavení pro webové ověřování.

Jednotné přihlášení (SSO)

Tuto volbu vyberte, chcete-li určit konfigurační hodnoty pro jednotné přihlášení (SSO).

Díky podpoře jednotného přihlášení (SSO) lze webové uživatele ověřit jednou při přístupu k prostředkům produktu WebSphere Application Server, jako jsou soubory HTML, soubory JSP (JavaServer Pages), servlety, objekty enterprise bean, i k prostředkům produktu Lotus Domino.

Webové ověřování SPNEGO

Mechanismus SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) poskytuje pro webové klienty a server možnost dohadování protokolu webového ověřování používaného k povolení komunikace.

Přiřazení důvěry

Tuto volbu vyberte, chcete-li určit nastavení pro přiřazení důvěry. Pomocí přiřazení důvěry se k aplikačním serverům připojují reverzní servery proxy.

Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

Poznámka: Použití zachytávačů přiřazení důvěry (TAI) pro ověřování SPNEGO je nyní zamítnuto. Panely webového ověřování SPNEGO poskytují mnohem snadnější způsob konfigurování mechanizmu SPNEGO.
Zabezpečení RMI/IIOP

V části Ověření můžete pomocí rozbalení nabídky Zabezpečení RMI/IIOP zobrazit odkazy na následující položky:

  • Příchozí komunikace CSIv2
  • Odchozí komunikace CSIv2
Příchozí komunikace CSIv2

Tuto volbu vyberte, chcete-li určit nastavení ověřování pro obdržené požadavky a nastavení přenosu pro připojení přijatá tímto serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).

Funkce ověřování zahrnují tři vrstvy ověřování, které lze používat souběžně:
  • Vrstva atributů protokolu CSIv2. Vrstva atributů může obsahovat token identity, tj. identitu, která již byla ověřena některým z předchozích serverů na trase zpracování. Nejvyšší prioritu má vrstva identity, následuje vrstva zpráv a transportní vrstva. Pokud klient odešle všechny tři vrstvy, bude použita pouze vrstva identity. Certifikát SSL klienta lze použít jako identitu pouze v případě, že se jedná o jedinou informaci předloženou v rámci požadavku. Klient získá hodnotu IOR (Interoperable Object Reference) z oboru názvů a načtením hodnot z komponenty se značkami zjistí, jaké jsou požadavky serveru na zabezpečení.
  • Transportní vrstva protokolu CSIv2. Transportní vrstva, která tvoří nejnižší vrstvu, může obsahovat certifikát SSL (Secure Sockets Layer) klienta ve funkci identity.
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Vrstva zpráv protokolu CSIv2. Vrstva zpráv může obsahovat jméno uživatele a heslo nebo autentizační token s údajem o době platnosti.
Odchozí komunikace CSIv2

Tuto volbu vyberte, chcete-li určit nastavení ověřování pro odeslané požadavky a nastavení přenosu pro připojení zahájená serverem prostřednictvím protokolu ověřování CSI (Common Secure Interoperability) OMG (Object Management Group).

Funkce ověřování zahrnují tři vrstvy ověřování, které lze používat souběžně:
  • Vrstva atributů protokolu CSIv2. Vrstva atributů může obsahovat token identity, tj. identitu, která již byla ověřena některým z předchozích serverů na trase zpracování. Nejvyšší prioritu má vrstva identity, následuje vrstva zpráv a transportní vrstva. Pokud klient odešle všechny tři vrstvy, bude použita pouze vrstva identity. Certifikát SSL klienta lze použít jako identitu pouze v případě, že se jedná o jedinou informaci předloženou v rámci požadavku. Klient získá hodnotu IOR (Interoperable Object Reference) z oboru názvů a načtením hodnot z komponenty se značkami zjistí, jaké jsou požadavky serveru na zabezpečení.
  • Transportní vrstva protokolu CSIv2. Transportní vrstva, která tvoří nejnižší vrstvu, může obsahovat certifikát SSL (Secure Sockets Layer) klienta ve funkci identity.
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Vrstva zpráv protokolu CSIv2. Vrstva zpráv může obsahovat jméno uživatele a heslo nebo autentizační token s údajem o době platnosti.
Služba JAAS (Java Authentication and Authorization Service)

V části Ověření můžete pomocí rozbalení nabídky Služba JAAS (Java Authentication and Authorization Service) zobrazit odkazy na následující položky:

  • Přihlášení aplikací
  • Přihlášení k systému
  • Autentizační údaje J2C
Přihlášení aplikací

Tuto volbu vyberte, chcete-li definovat konfigurace přihlašování používané službou JAAS.

Neodebírejte přihlašovací konfigurace ClientContainer, DefaultPrincipalMapping a WSLogin, protože je mohou používat jiné aplikace. Pokud tyto konfigurace odeberete, může v jiných aplikacích dojít k selhání.

Přihlášení k systému

Tuto volbu vyberte, chcete-li definovat konfigurace přihlášení JAAS používané systémovými prostředky včetně mechanizmu ověřování, mapování činitelů a mapování pověření.

Autentizační údaje J2C

Tuto volbu vyberte, chcete-li určit nastavení pro data ověřování konektoru J2C (Java 2 Connector) služby JAAS (Java Authentication and Authorization Service).

Můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro konkrétní doménu.

LTPA

Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.

Šifrování autentizačních informací, které si servery vyměňují, zahrnuje mechanizmus LTPA (Lightweight Third-Party Authentication).

Kerberos a LTPA

Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.

Šifrování autentizačních informací, které si servery vyměňují, zahrnuje mechanizmus Kerberos.
Poznámka: Než bude možné vybrat tuto volbu, musí být konfigurováno ověřování Kerberos.
Konfigurace Kerberos

Tuto volbu vyberte, chcete-li šifrovat autentizační informace, aby aplikační server mohl bezpečně posílat data mezi servery.

Šifrování autentizačních informací, které si servery vyměňují, zahrnuje protokol KRB5 mechanizmu LTPA .

Nastavení mezipaměti ověřování

Slouží k určení nastavení mezipaměti ověřování.

Použít jména uživatelů kvalifikovaná na úrovni sféry

Určuje, zda jména uživatelů vracená různými metodami, například metodou getUserPrincipal(), mají být kvalifikována s použitím sféry zabezpečení, v níž jsou umístěna.

Domény zabezpečení

Prostřednictvím odkazu Doména zabezpečení lze nastavovat další konfigurace zabezpečení pro uživatelské aplikace.

Chcete-li například pro sadu uživatelských aplikací použít jiný registr uživatelů než ten, který je používán na globální úrovni, můžete vytvořit konfiguraci zabezpečení s příslušným registrem uživatelů a přidružit ji k této sadě aplikací. Tyto další konfigurace zabezpečení lze přidružit k různým oborům (buňka, klastry/servery, sběrnice SIB). Po přidružení konfigurace zabezpečení k oboru budou tuto konfiguraci zabezpečení používat všechny uživatelské aplikace v daném oboru. Podrobnější informace naleznete v části Více domén zabezpečení.

Pro každý atribut zabezpečení můžete použít globální nastavení zabezpečení nebo přizpůsobit nastavení pro příslušnou doménu.

Externí poskytovatelé autorizace

Tuto volbu vyberte, chcete-li určit, zda má být použito výchozí nastavení autorizace nebo externí poskytovatel autorizace.

Externí poskytovatelé musí být založeni na specifikaci JACC (Java Authorization Contract for Containers), aby mohli zpracovávat autorizaci prostředí J2EE (Java(TM) 2 Platform, Enterprise Edition). Neměňte žádné parametry na panelech poskytovatele autorizace, pokud jste nenakonfigurovali externího poskytovatele zabezpečení jako poskytovatele autorizace JACC.

Přizpůsobené vlastnosti

Tuto volbu vyberte, chcete-li určit dvojice dat obsahující název a hodnotu, kde název odpovídá klíči vlastnosti a hodnota je řetězcová hodnota.




Odkazy s označením (online) vyžadují přístup k Internetu.

Související pojmy
Související úlohy
[AIX Solaris HP-UX Linux Windows] [iSeries]
Související odkazy
Nastavení ověřování tokenu RSA
Mechanismy ověřování a vypršení platnosti
Nastavení lokálního operačního systému
Nastavení samostatného registru LDAP
[z/OS] Souhrn řízení
Nastavení samostatného vlastního registru
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
Konfigurovat doménu zabezpečení
Související informace
[AIX Solaris HP-UX Linux Windows] [iSeries] Program ověřování šifrovacího modulu (online)


Název souboru: usec_secureadminappinfra.html