Questo pannello consente di configurare la politica di sicurezza dell'applicazione predefinita e di gestione. Questa configurazione di sicurezza si applica alla politica di sicurezza per tutte le funzioni di gestione e viene utilizzata come una politica di sicurezza predefinita per le applicazioni dell'utente. È possibile definire i domini di sicurezza per sovrascrivere e personalizzare le politiche di sicurezza per le applicazioni dell'utente.
Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza>Sicurezza globale.
La sicurezza ha degli impatti sulle prestazioni delle applicazioni.
tali impatti variano a seconda delle caratteristiche del carico di lavoro delle applicazioni.
È necessario prima determinare se il livello di sicurezza necessario è abilitato per le applicazioni e quindi misurare l'impatto della sicurezza sulle prestazioni.
Una volta configurata la sicurezza, convalidare qualsiasi modifica apportata ai pannelli del registro o del meccanismo di autenticazione. Fare clic su Applica per convalidare le impostazioni del registro utenti. Viene effettuato un tentativo di autenticazione dell'ID server o di convalida dell'ID di gestione (se è stato utilizzato internalServerID) sul registro utenti configurato. La convalida delle impostazioni del registro utenti, dopo aver abilitato la sicurezza globale, può evitare dei problemi quando si riavvia il server per la prima volta.
Avvia una procedura guidata che consente di configurare le impostazioni di gestione e di sicurezza delle applicazioni. Questo processo limita le attività di gestione e le applicazioni agli utenti autorizzati.
Mediante questa procedura guidata, è possibile configurare la sicurezza delle applicazioni, le risorse o la sicurezza J2C (Java 2 Connector) e un registro utente. È possibile configurare un registro esistente e abilitare la sicurezza di gestione, delle applicazioni o delle risorse.
Quando si applicano le modifiche apportate mediante la procedura guidata della configurazione della sicurezza, la sicurezza di gestione è disabilitata.
Genera un report di configurazione di sicurezza che visualizza le impostazioni di sicurezza principali del server delle applicazioni. Il report visualizza anche gli utenti e i gruppi di gestione e le regole di denominazione CORBA.
Una limitazione corrente del report è che non visualizza le informazioni sulla sicurezza al livello di applicazione. Il report non visualizza le informazioni sulla sicurezza JMS (Java Message Service), sulla sicurezza dei bus o sulla sicurezza dei servizi Web.
Quando vengono configurati più domini di sicurezza, il report visualizza la configurazione di sicurezza associata a ciascun dominio.
Specifica se abilitare la sicurezza di gestione per questo dominio del server delle applicazioni. La sicurezza di gestione richiede l'autenticazione degli utenti prima di poter ottenere un controllo di gestione del server delle applicazioni.
Per ulteriori informazioni, consultare i collegamenti relativi per i ruoli e l'autenticazione di gestione.
Se viene abilitata la sicurezza, impostare la configurazione del meccanismo di autenticazione e specificare un ID utente valido e la password (o un ID di gestione valido se si utilizza la funzione internalServerID) nella configurazione del registro selezionato.
È possibile specificare solo l'opzione the z/OS ha avviato l'attività quando il registro utente è Local OS.
Se si verificano dei problemi, ad esempio il server non si avvia dopo aver abilitato la sicurezza nel dominio sicurezza, si consiglia di sincronizzare di nuovo tutti i file provenienti dalla cella su questo nodo. Per effettuare quest'ultima operazione, eseguire questo comando dal nodo: syncNode -username id_utente -password password_utente. Questo comando collega al gestore distribuzione e risincronizza tutti i file.
Se il server non viene riavviato dopo aver abilitato la sicurezza globale, è possibile
disabilitare la sicurezza. Passare alla directory root_server_app/bin ed eseguire il comando wsadmin -conntype NONE. Sul prompt wsadmin>, immettere securityoff, quindi exit per ritornare al prompt dei comandi. Riavviare il server con la sicurezza disabilitata per verificare eventuali impostazioni non corrette nella console di gestione.
Utenti registro utenti OS locale: se si seleziona
OS locale come registro utenti del sistema operativo locale attivo,
non è necessario fornire una password nella configurazione del registro utenti.
Valore predefinito: | Abilitato |
Abilita la sicurezza per le applicazioni nell'ambiente. Questo tipo di sicurezza fornisce l'isolamento e i requisiti per l'autenticazione degli utenti dell'applicazione
Nei precedenti release di WebSphere Application Server, quando un utente abilitava la sicurezza globale, venivano abilitare sia la sicurezza amministrativa che dell'applicazione. In WebSphere Application Server Versione 6.1, il concetto di sicurezza globale viene diviso in sicurezza amministrativa e sicurezza dell'applicazione, ciascuna dei quali può essere abilitata separatamente.
Come risultato di questa scissione, i client di WebSphere Application Server devono sapere se la sicurezza dell'applicazione è disabilitata sul server di destinazione. La sicurezza amministrativa viene attivata per impostazione predefinita. La sicurezza dell'applicazione viene disabilitata per impostazione predefinita. Per abilitare la sicurezza dell'applicazione, è necessario abilitare la sicurezza amministrativa. La sicurezza dell'applicazione diventa operativa solo quando è abilitata la sicurezza amministrativa.
Valore predefinito: | Disabilitato |
Specifica se abilitare o disabilitare il controllo delle autorizzazioni di sicurezza Java 2. Per impostazione predefinita, l'accesso alle risorse locali non è limitato. Si può scegliere di disattivare la sicurezza Java 2 anche quando è attivata la sicurezza delle applicazioni.
Quando l'opzione Utilizza sicurezza Java 2 per limitare l'accesso alle risorse locali è abilitata e se un'applicazione richiede più autorizzazioni di sicurezza Java 2 di quelle concesse nella politica predefinita, l'applicazione potrebbe non funzionare correttamente fino a quando non vengono concesse tali autorizzazioni nel file app.policy o was.policy dell'applicazione. Le eccezioni AccessControl non sono concesse dalle applicazioni che non dispongono di tutte le autorizzazioni necessarie. Consultare i collegamenti relativi per ulteriori informazioni sulla sicurezza Java 2.
Valore predefinito: | Disabilitato |
Specifica che durante la distribuzione e l'avvio di un'applicazione, il runtime di sicurezza emette un'avvertenza nel caso in cui vengano concesse delle autorizzazioni personalizzate alle applicazioni. Le autorizzazioni personalizzate sono autorizzazioni definite dalle applicazioni utente e non dalle autorizzazioni API Java. Le autorizzazioni API Java sono autorizzazioni nei package java.* e javax.*.
Il server delle applicazioni fornisce supporto per la gestione dei file delle politiche. In questo prodotto è disponibile un numero di file contenenti le politiche, alcune di queste sono statiche, altre dinamiche. Le politiche dinamiche rappresentano un modello di autorizzazioni per un tipo particolare di risorsa. Nessun code base è definito e nessun codice relativo viene utilizzato nel modello delle politiche dinamiche. Il code base reale viene creato in modo dinamico dai dati di configurazione e di runtime. Il file filter.policy contiene un elenco di autorizzazioni che le applicazioni non dovrebbero avere in base alla specifica J2EE 1.4. Per ulteriori informazioni sulle autorizzazioni, consultare il relativo collegamento sui file delle politiche di sicurezza Java 2.
Valore predefinito: | Disabilitato |
Attivare questa opzione per limitare l'accesso delle applicazioni ai dati di autenticazione sensibili delle associazioni JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
L'opzione Limita accesso ai dati di autenticazione delle risorse aggiunge una verifica dell'autorizzazione di sicurezza Java 2 approfondita all'associazione principale predefinita dell'implementazione WSPrincipalMappingLoginModule. È necessario concedere un'autorizzazione esplicita alle applicazioni J2EE J2EE (Java 2 Platform, Enterprise Edition) che utilizzano l'implementazione WSPrincipalMappingLoginModule direttamente nel login JAAS (Java Authentication and Authorization Service) quando sono abilitate le opzioni Utilizza la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali e Limita accesso ai dati di autenticazione delle risorse.
Valore predefinito: | Disabilitato |
Specifica l'impostazione corrente per il repository utente attivo.
Questo campo è di sola lettura.
Specifica i repository di account utente disponibili.
Abilita il repository utente una volta configurato.
Durante l'esecuzione come utente non root di UNIX o in un ambiente a più nodi, è necessario disporre di LDAP o di un registro utenti personalizzato.
Specificare questa impostazione se si desidera che il server di sicurezza RACF (Resource Access Control Facility) configurato (o compatibile con SAF (System Authorization Facility)) sia utilizzato come registro utenti del server delle applicazioni.
Non è possibile utilizzare il sistema operativo locale su più nodi o in esecuzione come non root su una piattaforma UNIX.
Il registro del sistema operativo locale è valido solo si utilizza un controller di dominio o se la cella Network
Deployment si trova su una macchina singola. Nell'ultimo caso, non è possibile distribuire più nodi in una cella su più macchine in quanto questa configurazione, che utilizza il registro utenti OS locale, non è valida.
Specificare questa impostazione per utilizzare le impostazioni di registro LDAP autonome quando gli utenti e i gruppi si trovano in una directory LDAP esterna. Se è abilitata la sicurezza e una di queste proprietà cambia, passare al pannello Sicurezza > Sicurezza globale e fare clic su Applica o su OK per convalidare le modifiche.
Valore predefinito: | Disabilitato |
Selezionare per configurare le impostazioni di sicurezza globale.
In Autenticazione, espandere la sicurezza Web e SIP per visualizzare i collegamenti a:
Selezionare per specificare le impostazioni per l'autenticazione Web.
Selezionare per specificare i valori di configurazione di SSO (Single Sign-On).
Con il supporto SSO, gli utenti Web possono essere autenticati una sola volta durante l'accesso alle risorse di WebSphere Application Server, come HTML, file JSP (JavaServer Pages), servlet, bean enterprise e risorse Lotus Domino.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fornisce un metodo per i server e i client Web di negoziare il protocollo di autenticazione Web, utilizzato per consentire le comunicazioni.
Selezionare per specificare le impostazioni per l'associazione trust. L'associazione trust consente di collegare i server proxy inversi ai server delle applicazioni.
È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
In Autenticazione, espandere la sicurezza RMI/IIOP per visualizzare i collegamenti a:
Selezionare per specificare le impostazioni di autenticazione per le richieste ricevute e le impostazioni di trasporto per le connessioni accettate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).
Selezionare per specificare le impostazioni di autenticazione per le richieste inviate e le impostazioni di trasporto per le connessioni avviate da questo server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) dell'OMG (Object Management Group).
In Autenticazione, espandere il servizio di autorizzazione e autenticazione Java per visualizzare i collegamenti a:
Selezionare per definire le configurazioni di login utilizzate da JAAS.
Non rimuovere le configurazioni di login ClientContainer, DefaultPrincipalMapping e WSLogin in quanto potrebbero essere utilizzate da altre applicazioni. Se queste configurazioni vengono rimosse, altre applicazioni potrebbero non funzionare correttamente.
Selezionare per definire le configurazioni di login JAAS utilizzate dalle risorse di sistema, incluso il meccanismo di autenticazione, l'associazione principale e l'associazione di credenziali.
Selezionare per specificare le impostazioni dei dati di autenticazione J2C (Java 2 Connector) JAAS (Java Authentication and Authorization Service).
È possibile utilizzare le impostazioni di protezione globale o personalizzare le impostazioni di un dominio.
Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server all'altro in modo sicuro.
La codifica delle informazioni di autenticazione scambiate tra i server interessa il meccanismo LTPA (Lightweight Third-Party Authentication).
Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server all'altro in modo sicuro.
Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server all'altro in modo sicuro.
La codifica delle informazioni di autenticazione scambiate tra i server interessa il meccanismo KRB5 di LTPA.
Selezionare per impostare le impostazioni della cache di autenticazione.
Specifica che i nomi utenti restituiti dai metodi, come il metodo getUserPrincipal(), sono qualificati con il realm per la sicurezza in cui risiedono.
Il collegamento Dominio di sicurezza consente di configurare ulteriori configurazioni di sicurezza per le applicazioni dell'utente.
Ad esempio, se si desidera utilizzare un diverso registro utente per un gruppo di applicazioni utente rispetto a quello utilizzato al livello globale, è possibile creare una configurazione di sicurezza con tale registro utente e associarla a quel gruppo di applicazioni. Queste ulteriori configurazioni di sicurezza possono essere associate a diversi ambiti (cella, cluster/server, SIBus). Una volta associate le configurazioni di sicurezza con un ambito di tutte le applicazioni utente, utilizzare questa configurazione di sicurezza. Per ulteriori informazioni, fare riferimento a Domini di sicurezza multipli.
Per ogni attributo di sicurezza, è possibile utilizzare le impostazioni di sicurezza globali o personalizzare le impostazioni per il dominio.
Selezionare per specificare se utilizzare la configurazione di autorizzazione predefinita o un provider di autorizzazione esterno.
I provider esterni devono basarsi sulla specifica JACC (Java Authorization Contract for Containers) per gestire l'autorizzazione J2EE (Java(TM) 2 Platform, Enterprise Edition). Non modificare le impostazioni sui pannelli del provider di autorizzazione a meno che non sia configurato un provider di sicurezza esterno come provider di autorizzazione JACC.
Selezionare per specificare le coppie nome-valore dei dati, dove il nome è una chiave proprietà e il valore è una stringa.
I collegamenti contrassegnati (online) richiedono un accesso a Internet.