Konfigurieren Sie in dieser Anzeige die Verwaltung und die Standardsicherheitsrichtlinie für Anwendungen. Diese Sicherheitskonfiguration gilt für die Sicherheitsrichtlinie aller Verwaltungsfunktionen und wird als Standardsicherheitsrichtlinie für Benutzeranwendungen verwendet. Wenn Sie die Sicherheitsrichtlinien für Benutzeranwendungen überschreiben und anpassen möchten, können Sie Sicherheitsdomänen definieren.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit.
Die Sicherheit hat Auswirkungen auf die Leistung Ihrer Anwendungen.
Die Leistungsauswirkungen können je nach Auslastungsmerkmalen der Anwendung variieren.
Sie müsen zuerst feststelle, ob die erforderliche Sicherheitsstufe für Ihre Anwendungen aktiviert ist, und anschließend die
Auswirkungen auf die Leistung Ihrer Anwendungen messen.
Wenn die Sicherheit konfiguriert ist, empfiehlt es sich, alle Änderungen in den Anzeigen der Registry bzw. des Authentifizierungsverfahrens zu überprüfen. Klicken Sie auf Anwenden, um die Einstellungen für die Benutzer-Registry zu ändern. Es wird versucht, die Server-ID für die konfigurierte Benutzer-Registry zu authentifizieren bzw. (falls internalServerID verwendet) wird die Administrator-ID zu validieren. Wenn Sie die Einstellungen der Benutzer-Registry nach der Aktivierung der Verwaltungssicherheit überprüfen, können Sie Fehler vermeiden, wenn Sie den Server zum ersten Mal erneut starten.
Startet einen Assistenten, mit dem Sie die Basiseinstellungen für Verwaltungs- und Anwendungsschutz konfigurieren können. Dieser Prozess beschränkt die Verwaltungs-Tasks und -anwendungen auf berechtigte Benutzer.
Mit diesem Assistenten können Sie die Anwendungssicherheit, die Ressourcen- oder J2C-Sicherheit (Java 2 Connector) sowie eine Benutzer-Registry konfigurieren. Sie können eine vorhandene Registry konfigurieren und Verwaltungs-, Anwendungs- und Ressourcensicherheit aktivieren.
Wenn Sie Änderungen, die Sie mit dem Konfigurationsassistenten für Sicherheit durchgeführt haben, anwenden möchten, ist die Verwaltungssicherheit standardmäßig aktiviert.
Startet einen Bericht, der die aktuellen Sicherheitseinstellungen des Anwendungsservers erfasst und anzeigt. Es werden Informationen zu den Kernsicherheitseinstellungen, Benutzern und Gruppen mit Verwaltungsaufgaben, CORBA-Benennungsrollen und zum Cookie-Zugriffsschutz erfasst. Wenn mehrere Sicherheitsdomänen konfiguriert sind, wird im Bericht die Sicherheitskonfiguration jeder Domäne angezeigt.
Es gibt derzeit eine Einschränkung für den Bericht. Er zeigt keine Sicherheitsinformationen auf Anwendungsebene an. Außerdem enthält der Bericht keine Informationen zur JMS-Sicherheit (Java Message Service), Bussicherheit und Web-Service-Sicherheit.
Gibt an, ob die Sicherheit für diese Anwendungsserverdomäne aktiviert werden soll. Die Verwaltungssicherheit setzt voraus, dass Benutzer sich authentifizieren, bevor Sie die administrative Steuerung des Anwendungsservers übernehmen können.
Weitere Informationen finden Sie unter den den zugehörigen Links zu Verwaltungsrollen und Verwaltungsberechtigung.
Bei der Aktivierung der Sicherheit müssen Sie auch die Konfiguration eines Authentifizierungsverfahrens festlegen und eine gültige Kombination aus Benutzer-ID und Kennwort in der ausgewählten Benutzer-Konfiguration angeben (oder eine gültige Administrator-ID, wenn internalServerID verwendet wird).
Sie können die Option Gestartete z/OS-Task nur angeben, wenn Lokales Betriebssystem als
Benutzer-Registry ausgewählt ist.
Wenn Probleme auftreten, wenn z. B. der Server nach dem Aktivieren der Sicherheitseinrichtung innerhalb der Sicherheitsdomäne nicht gestartet wird, müssen Sie alle Dateien der Zelle auf diesem Knoten erneut synchronisieren. Zum erneuten Synchronisieren der Dateien führen Sie auf dem Knoten den folgenden Befehl aus: syncNode -username Ihre_Benutzer-ID -password Ihr_Kennwort. Dieser Befehl stellt eine Verbindung zum Deployment Manager her und führt eine erneute Synchronisation aller Dateien durch.
Sollte der Server nach dem Aktivieren der Verwaltungssicherheit nicht
gestartet werden, können Sie die Sicherheit inaktivieren. Wechseln Sie in das Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin, und führen
Sie den Befehl wsadmin -conntype NONE aus. Geben Sie an der Eingabeaufforderung wsadmin>
den Befehl securityoff und dann exit ein, um zu einer Eingabeaufforderung zurückzukehren. Starten
Sie den Server mit inaktivierter Sicherheit erneut, um mit der Administrationskonsole festzustellen,
ob Einstellungen ungültig sind.
Benutzer einer Registry vom Typ LocalOS: Wenn Sie
LocalOS als aktive Benutzer-Registry auswählen, müssen Sie in der Konfiguration
der Benutzer-Registry kein Kennwort angeben.
Standardeinstellung | Aktiviert |
Aktiviert die Sicherheit für die Anwendungen in Ihrer Umgebung. Diese Art der Sicherheit ermöglicht die Isolierung von Anwendungen und Anforderungen für eine Authentifizierung von Anwendungsbenutzern.
Wenn in früheren Releases von WebSphere Application Server die globale Sicherheit aktiviert wurde, war damit sowohl die Verwaltungssicherheit als auch die Anwendungssicherheit aktiviert. In WebSphere Application Server Version 6.1 hat sich das frühere Konzept der globalen Sicherheit geändert. Es gibt jetzt eine Verwaltungssicherheit und eine Anwendungssicherheit, die unabhängig voneinander aktiviert werden können.
Aufgrund dieser Unterteilung müssen WAS-Clients wissen, ob auf dem Zielserver die Anwendungssicherheit inaktiviert ist. Standardmäßig ist die Verwaltungssicherheit aktiviert. Die Anwendungssicherheit ist standardmäßig inaktiviert. Wenn Sie die Anwendungssicherheit aktivieren möchten, müssen Sie zunächst die Verwaltungssicherheit aktivieren. Die Anwendungssicherheit ist nur bei aktivierter Verwaltungssicherheit wirksam.
Standardeinstellung | Inaktiviert |
Legt fest, ob die Überprüfung der Java-2-Sicherheitsberechtigung aktiviert oder inaktiviert wird. Standardmäßig ist der Zugriff auf lokale Ressourcen nicht eingeschränkt. Sie können festlegen, dass die Java-2-Sicherheitseinrichtung auch bei Aktivierung der Anwendungssicherheit inaktiviert werden soll.
Wenn die Option Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken aktiviert ist und eine Anwendung mehr Java-2-Sicherheitsberechtigungen benötigt, als in der Standard-Policy angegeben sind, wird die Anwendung möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei app.policy oder was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen Berechtigungen besitzen, generieren AccessControl-Ausnahmen. Weitere Informationen zur Java-2-Sicherheit finden Sie unter den zugehörigen Links.
Standardeinstellung | Inaktiviert |
Gibt an, dass die Sicherheit bei der Implementierung und beim Start der Anwendung eine Warnung ausgibt, wenn Anwendungen angepasste Berechtigungen erteilt werden. Angepasste Berechtigungen werden von den Benutzeranwendungen, nicht von Java-API-Berechtigungen definiert. Java-API-Berechtigungen sind Berechtigungen in den Paketen package java.* und javax.*.
Der Anwendungsserver bietet Unterstützung für die Verwaltung von Richtliniendateien. Es gibt in diesem Produkt eine Reihe von Richtliniendateien, von denen einige statisch und andere dynamisch sind. Eine dynamische Richtlinie ist eine Schablone mit Berechtigungen für einen bestimmten Ressourcentyp. In der Schablone für dynamische Richtlinien wird keine Codebasis definiert und keine zugehörige Codebasis verwendet. Die eigentliche Codebasis wird aus den Konfigurations- und Laufzeitdaten dynamisch erstellt. Die Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der J2EE-1.4-Spezifikation nicht haben dürfen. Weitere Informationen zu Berechtigungen finden Sie unter dem zugehörigen Link zu den Richtliniendateien für die Java-2-Sicherheit.
Standardeinstellung | Inaktiviert |
Aktivieren Sie diese Option, um den Anwendungszugriff auf sensible Authentifizierungsdaten für die JCA-Zuordnung (Java Connector Architecture) zu beschränken.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken erweitert die Standard-Principal-Zuordnung der WSPrincipalMappingLoginModule-Implementierung um eine differenzierte Überprüfung der Java-2-Sicherheitsberechtigungen. Sie müssen J2EE-Anwendungen (Java 2 Platform, Enterprise Edition), die die WSPrincipalMappingLoginModule-Implementierung verwenden, die Berechtigung explizit in der JAAS-Anmeldung (Java Authentication and Authorization Service) gewähren, wenn die Optionen Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken und Zugriff auf Ressourcenauthentifizierungsdaten einschränken aktiviert sind.
Standardeinstellung | Inaktiviert |
Gibt die aktuelle Einstellung für das aktive Benutzer-Repository an.
Dieses Feld ist schreibgeschützt.
Gibt die verfügbaren Repositorys für Benutzeraccounts an.
Aktiviert das Benutzer-Repository, nachdem es konfiguriert ist.
Wenn Sie unter UNIX
unter einer Benutzer-ID ohne Root-Rechte angemeldet sind oder in einer Umgebung mit mehreren Knoten arbeiten, muss eine
Registry vom Typ LDAP oder Angepasst angegeben werden.
Verwenden Sie diese Option, wenn der konfigurierte
RACF-Sicherheitsserver (Resource Access Control Facility) oder ein SAF-kompatibler
(System Authorization Facility) Sicherheitsserver als Benutzer-Registry des
Anwendungsservers verwendet werden soll.
Wenn Sie unter UNIX unter einer Benutzer-ID ohne Root-Rechte angemeldet sind
oder in einer Umgebung mit mehreren Knoten arbeiten, können Sie LocalOS nicht
verwenden.
Die LocalOS-Registry ist nur gültig, wenn Sie
einen Domänencontroller verwenden oder wenn sich die Network-Deployment-Zelle auf einer
einzelnen Maschine befindet. Im letzteren Fall können Sie die Knoten in einer Zelle nicht auf mehrere Maschinen verteilen, da diese Konfiguration mit der
LocalOS-Benutzer-Registry nicht gültig ist.
Wenn Sie diese Option auswählen, können Sie Einstellungen für die eigenständige LDAP-Registry verwenden, wenn sich Benutzer und Gruppen in einem externen LDAP-Verzeichnis befinden. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaften geändert wird, müssen Sie in die Anzeige Sicherheit > Globale Sicherheit wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.
Standardeinstellung | Inaktiviert |
Wählen Sie diese Option aus, um Einstellungen für die globale Sicherheit zu konfigurieren.
Klicken Sie unter "Authentifizierung" auf "Web- und SIP-Sicherheit", um Links zu den folgenden Einstellungen anzuzeigen:
Wählen Sie diese Option aus, um die Einstellungen für die Webauthentifizierung anzugeben.
Wählen Sie diese Option aus, um die Konfigurationswerte für Single Sign-on anzugeben.
Mit der SSO-Unterstützung müssen Webbenutzer beim Zugriff auf WAS-Ressourcen (wie HTML, JSP-Dateien, Servlets, Enterprise-Beans), Lotus-Domino-Ressourcen nur noch einmal authentifiziert werden.
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) ist eine Methode, über die Webclients und der Server das Webauthentifizierungsprotokoll vereinbaren können, das verwendet wird, um die Kommunikation zuzulassen.
Wählen Sie diese Option aus, um die Einstellungen für die Trust-Association anzugeben. Die Trust-Association wird verwendet, um Reverse-Proxy-Server mit den Anwendungsservern zu verbinden.
Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Klicken Sie unter "Authentifizierung" auf "RMI/IIOP-Sicherheit", um Links zu den folgenden Einstellungen anzuzeigen:
Wählen Sie diese Option aus, um Authentifizierungseinstellungen für empfangene Anforderungen und Transporteinstellungen für Verbindungen festzulegen, die von diesem Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) akzeptiert werden.
Wählen Sie diese Option aus, um Authentifizierungseinstellungen für gesendete Anforderungen und Transporteinstellungen für Verbindungen festzulegen, die von diesem Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) eingeleitet werden.
Klicken Sie unter "Authentifizierung" auf "Java Authentication and Authorization Service", um Links zu den folgenden Optionen anzuzeigen:
Wählen Sie diese Option aus, um Anmeldekonfigurationen zu definieren, die von JAAS verwendet werden.
Entfernen Sie die Anmeldekonfigurationen ClientContainer, DefaultPrincipalMapping und WSLogin nicht, weil diese unter Umständen von anderen Anwendungen verwendet werden. Wenn diese Konfigurationen entfernt werden, können in anderen Anwendungen Fehler auftreten.
Wählen Sie dieser Option aus, um die JAAS-Anmeldekonfigurationen zu definieren, die von Systemressourcen verwendet werden, einschließlich des Authentifizierungsverfahrens, der Principal-Zuordnung und der Berechtigungsnachweiszuordnung.
Wählen Sie diese Option aus, um die Einstellungen für die JAAS/J2C-Authentifizierungsdaten anzugeben.
Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Für die Verschlüsselung der Authentifizierungsinformationen, die zwischen Servern ausgetauscht werden, wird unter anderem das Verfahren Lightweight Third Party Authentication (LTPA) verwendet.
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver Daten sicher von einem Server an einen anderen senden kann.
Für die Verschlüsselung der Authentifizierungsinformationen, die zwischen Servern ausgetauscht werden, wird KRB5 des LTPA-Verfahrens verwendet.
Wählen Sie diese Option aus, um die Einstellungen für den Authentifizierungscache festzulegen.
Gibt an, dass die von Methoden wie getUserPrincipal() zurückgegebenen Benutzernamen im Sicherheits-Realm qualifiziert sind, in dem sie sich befinden.
Verwenden Sie den Link "Sicherheitsdomäne", um weitere Sicherheitskonfigurationen für Benutzeranwendungen zu konfigurieren.
Wenn Sie beispielsweise für eine Gruppe von Benutzeranwendungen eine andere Benutzer-Registry als die auf globaler Ebene verwendete verwenden möchten, können Sie eine Sicherheitskonfiguration mit dieser Benutzer-Registry erstellen und sie dieser Gruppe von Anwendungen zuordnen. Diese zusätzlichen Sicherheitskonfigurationen können verschiedenen Geltungsbereichen (Zelle, Cluster/Server, SIBs) zugeordnet werden. Nachdem die Sicherheitskonfigurationen einem Geltungsbereich zugeordnet wurden, verwenden alle Benutzeranforderungen in diesem Geltungsbereich die entsprechende Sicherheitskonfiguration. Ausführliche Informationen hierzu enthält der Artikel Mehrere Sicherheitsdomänen.
Für jedes Sicherheitsattribut können Sie die globalen Sicherheitseinstellungen verwenden oder Einstellungen für diese Domäne anpassen.
Wählen Sie diese Option aus, um anzugeben, ob die Standardberechtigungskonfiguration oder ein externer Berechtigungsprovider verwendet werden soll.
Die externen Provider müssen auf der Spezifikation Java Authorization Contract for Containers (JACC) basieren,d amit die J2EE-Berechtigung verarbeitet werden kann. Ändern Sie in den Anzeigen für den Berechtigungsprovider keine Einstellungen, sofern Sie keinen externen Sicherheitsprovider als JACC-Berechtigungsprovider konfiguriert haben.
Wählen Sie diese Option aus, um Name/Wert-Datenpaare anzugeben, in denen der Name ein Eigenschaftsschlüssel und der Wert eine Zeichenfolge ist.
Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.