С помощью этой панели можно настроить стратегию административной защиты и стандартную стратегию защиты приложений. Эта конфигурация защиты применима к стратегии защиты для всех функций администрирования и используется в качестве стратегии защиты по умолчанию для пользовательских приложений. Можно определить домены защиты таким образом, чтобы они переопределяли и настраивали стратегии защиты для пользовательских приложений.
Для того чтобы открыть эту страницу административной консоли, выберите Защита > Глобальная защита.
Применение защиты приводит к некоторому снижению производительности приложений. Фактическое снижение производительности зависит от характеристик нагрузки конкретного приложения. В первую очередь следует определить требуемый уровень защиты приложений и
оценить связанное снижение производительности.
После настройки защиты проверьте все изменения, внесенные на панелях реестра пользователей и механизма идентификации. Нажмите кнопку Применить для подтверждения параметров реестра пользователей. Будет выполнена попытка идентифицировать ИД сервера или проверить ИД администратора (если применяется internalServerID) в настроенном реестре пользователей. Проверка параметров реестра пользователей после включения административной защиты позволяет избежать неполадок, связанных с первым перезапуском сервера.
Запускает мастер, предназначенный для настройки основных параметров административной защиты и защиты приложений. Для работы с административными задачами и приложениями требуются соответствующие права доступа.
С помощью этого мастера можно настроить защиту приложений и ресурсов, защиту Java 2 Connector (J2C), а также реестр пользователей. Вы можете настроить существующий реестр, включить административную защиту, а также защиту приложений и ресурсов.
В результате применения изменений, внесенных с помощью мастера настройки защиты, административная защита включается по умолчанию.
Позволяет создать отчет с информацией о текущей конфигурации защиты сервера приложений. Собирается информация о базовых параметрах защиты, пользователях и группах с правами администратора, ролях имен CORBA и защите cookie. При настройке нескольких доменов защиты в отчете будет отражена конфигурация защиты, связанная с каждым доменом.
В настоящее время в отчете не отображается информация о защите на уровне приложения. Кроме того, в отчете не отображается информация о защите службы сообщений Java (JMS), шины и Web-служб.
Позволяет включит административную защиту домена сервера приложений. Административная защита предусматривает дополнительную идентификацию перед предоставлением прав на администрирование сервера приложений.
Дополнительная информация приведена в связанных разделах о ролях и идентификации администратора.
При включении защиты следует указать конфигурацию способа идентификации, ИД пользователя и пароль (или ИД администратора, если применяется функция internalServerID) для выбранной конфигурации реестра.
Если реестр пользователей — Local OS, можно указать только опцию
задача, запущенная в
z/OS.
Если возникнут неполадки, например, нельзя запустить сервер после активации защиты в домене защиты, выполните на этом узле синхронизацию файлов из ячейки. Для синхронизации файлов выполните на узле следующую команду: syncNode -username имя-пользователя -password пароль. Эта команда подключается к диспетчеру развертывания и выполняет синхронизацию всех файлов.
Если после активации административной защиты сервер не удалось
запустить, защиту можно выключить. Перейдите в каталог app_server_root/bin и выполните команду wsadmin -conntype NONE. В приглашении wsadmin> введите securityoff, затем введите exit для возвращения в командную строку. Перезапустите
сервер в незащищенном режиме и с помощью административной консоли
найдите неверные параметры.
Пользователи реестра пользователей локальной операционной
системы: Если в качестве активного реестра пользователей выбрано
значение Локальная операционная система, то пароль в конфигурации
реестра пользователей можно не указывать.
По умолчанию: | Включен |
Включение защиты приложений в среде. Такой тип защиты обеспечивает изоляцию приложения и требования идентификации его пользователей
В предыдущих выпусках WebSphere Application Server при включении глобальной защиты включалась и административная защита, и защита приложения. В WebSphere Application Server версии 6.1 административная защита и защита приложения разделены и включаются по отдельности.
В результате разделения клиенты WebSphere Application Server должны знать, включена ли на целевом сервере защита приложения. Административная защита по умолчанию включена. Защита приложения, наоборот, выключена. Для включения защиты приложения необходимо включить административную защиту. В противном случае защита приложения не действует.
По умолчанию: | Выключено |
Позволяет включить или выключить проверку прав доступа защитой Java 2. По умолчанию доступ к локальным ресурсам не ограничен. Защиту Java 2 можно выключить даже в том случае, если применяется защита приложений.
Если выбрана опция Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и приложению требуются большие права доступа, чем предоставленные защитой Java 2 в стратегии по умолчанию, то приложение может работать с ошибками до тех пор, пока требуемые права доступа не будут указаны в файле app.policy или was.policy приложения. Приложения, не обладающие достаточными правами доступа, создают исключительные ситуации AccessControl. Дополнительные сведения о защите Java 2 можно найти по приведенным ниже ссылкам.
По умолчанию: | Выключено |
Указывает, что в ходе развертывания и запуска приложений при каждом предоставлении приложению нестандартных прав доступа будет выводиться соответствующее предупреждение защиты. Такие права доступа задаются пользовательскими приложениями и отличаются от прав доступа API Java. Права доступа API Java указаны в пакетах java.* и javax.*.
Сервер приложений предоставляет поддержку управления файлами стратегии. В его состав входит набор файлов статических и динамических стратегий. Динамическая стратегия - это шаблон с правами доступа к какому-либо типу ресурсов. В таких шаблонах не определяется базовый и относительный код. Кодовая инфраструктура создается автоматически на основе конфигурации и динамических данных. Файл filter.policy содержит список разрешений, которые не следует присваивать приложениям в соответствии со спецификацией J2EE 1.4. Дополнительные сведения о правах доступа приведены в документе о файлах стратегии защиты Java 2.
По умолчанию: | Выключено |
Включите эту опцию, чтобы ограничить доступ приложения к конфиденциальным данным идентификации Java Connector Architecture (JCA).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Опция Ограничить доступ к идентификационным данным ресурсов добавляет дополнительную проверку прав доступа защиты Java 2 в преобразование субъекта по умолчанию реализации WSPrincipalMappingLoginModule. Если выбраны опции Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и Ограничить доступ к идентификационным данным ресурсов, то приложениям Java 2 Platform, Enterprise Edition (J2EE), использующим реализацию WSPrincipalMappingLoginModule непосредственно в сеансах службы идентификации Java (JAAS) необходимо явным образом предоставить права доступа.
По умолчанию: | Выключено |
Текущий параметр активного хранилища пользователей.
Это поле доступно только для чтения.
Доступные хранилища учетных записей пользователей.
Позволяет активировать хранилище пользователей после настройки.
При работе в среде
UNIX от имени пользователя, отличного
от root, или в среде с несколькими узлами необходим реестр
пользователей LDAP или нестандартный реестр пользователей.
Укажите этот параметр, если в качестве реестра пользователей сервера
приложений применяется
RACF
или сервер с поддержкой SAF.
Локальная
операционная система неприменима на уровне нескольких узлов, а также в
случае отсутствия прав пользователя root при работе с платформой UNIX.
Реестр локальной операционной системы
допустим только в случае применения контроллера домена или ячейки сетевого
развертывания в пределах отдельной системы. В последнем случае нельзя
создать узлы в других системах, поскольку конфигурация, предусматривающая
применение реестра локальной операционной системы, будет недопустима.
Укажите этот параметр для применения параметров автономного реестра пользователей LDAP, когда пользователи и группы расположены во внешнем каталоге LDAP. Если при включенной защите любое из этих свойств изменилось, откройте панель Защита > Глобальная защита и нажмите Применить или OK для проверки изменений.
По умолчанию: | Выключено |
Выберите эту опцию, чтобы настроить глобальные параметры защиты.
В разделе Идентификация разверните пункт Защита Web и SIP, чтобы открыть ссылки на следующие разделы:
Выберите эту опцию для отображения параметров Web-идентификации.
Выберите эту опцию, чтобы задать параметры конфигурации единого входа в систему (SSO).
С поддержкой SSO пользователи Web могут выполнить идентификацию однократно для одновременного доступа к ресурсам WebSphere Application Server, таким как HTML, файлы JSP (JavaServer Pages), сервлеты, объекты J2EE, и к ресурсам Lotus Domino.
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) предоставляет Web-клиентам и серверу способ согласования протокола Web-идентификации, используемого для разрешения связи.
Выберите эту опцию для отображения параметров группы доверия. Группа доверия применяется для подключения обратного сервера proxy к серверу приложений.
Можно использовать глобальные параметры защиты или настроить параметры для домена.
В разделе Идентификация разверните пункт Защита RMI/IIOP, чтобы открыть ссылки на следующие разделы:
Выберите эту опцию, чтобы указать параметры идентификации для полученных запросов и транспортные параметры для соединений, принятых данным сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).
Выберите эту опцию, чтобы указать параметры идентификации для отправленных запросов и транспортные параметры для соединений, инициированных сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).
В разделе Идентификация разверните пункт Служба идентификации Java, чтобы открыть ссылки на следующие разделы:
Выберите эту опцию для определения конфигураций сеансов, используемых JAAS.
Не удаляйте конфигурации сеансов WSLogin, ClientContainer и DefaultPrincipalMapping, поскольку они могут быть использованы другими приложениями. Удаление этих конфигураций может привести к сбою других приложений.
Выберите эту опцию, чтобы определить конфигурации сеансов JAAS, используемые системными ресурсами, включая механизм идентификации, преобразование субъекта и преобразование идентификационных данных.
Выберите эту опцию, чтобы указать параметры идентификационных данных Java 2 Connector (J2C) службы идентификации Java (JAAS).
Можно использовать глобальные параметры защиты или настроить параметры для домена.
Выберите эту опцию, чтобы идентификационная информация шифровалась. Это позволит серверу приложений пересылать данные с одного сервера на другой в защищенном режиме.
Для шифрования идентификационной информации, передаваемой между серверами, используется механизм LTPA (Lightweight Third-Party Authentication).
Выберите эту опцию, чтобы идентификационная информация шифровалась. Это позволит серверу приложений пересылать данные с одного сервера на другой в защищенном режиме.
Используйте шифрование идентификационной информации, чтобы сервер приложений мог отправлять данные с одного сервера на другой в защищенном режиме.
Для шифрования идентификационной информации, передаваемой между серверами, используется механизма LTPA KRB5.
Выберите эту опцию, чтобы задать параметры кэша идентификации.
Указывает, что имена пользователей, возвращаемые методами, такими как getUserPrincipal(), включают в себя имя области защиты, которой они принадлежат.
С помощью ссылки Домен защиты можно настроить дополнительные конфигурации защиты для пользовательских приложений.
Например, если для набора пользовательских приложений требуется использовать реестр пользователей, отличающийся от применяемого на глобальном уровне, можно создать конфигурацию защиты с данным реестром пользователей и связать ее с данным набором приложений. Эти дополнительные конфигурации защиты могут быть связаны с различными областями действия (ячейка, кластеры/серверы, шины интеграции служб). После связывания конфигураций защиты с различными областями действия все пользовательские приложения указанной области будут использовать указанную конфигурацию защиты. Дополнительная информация приведена в разделе Множественные домены защиты.
Для каждого атрибута защиты можно использовать глобальные параметры защиты или настроить параметры домена.
С помощью этой опции можно указать, использовать ли стандартную конфигурацию идентификации, или применять внешние средства проверки прав доступа.
Внешние поставщики должны быть основаны на спецификации Java Authorization Contract for Containers (JACC) для управления проверкой прав доступа Java(TM) 2 Platform, Enterprise Edition (J2EE). Нельзя изменять какие-либо параметры на панелях поставщика проверки прав доступа, если только в качестве средства проверки прав доступа JACC не настроен внешний поставщик защиты.
Выберите эту опцию, чтобы указать пару "имя-значение", где "имя" - это ключ свойства, а "значение" - строка.
Ссылки, помеченные как (в сети), требуют подключения к Internet.