Настройка доменов защиты

С помощью этой страницы можно настроить атрибуты защиты домена и присвоить этот домен ресурсам ячейки. Для каждого атрибута защиты можно использовать глобальные параметры защиты или настроить параметры домена.

Для просмотра этой страницы административной консоли выберите Защита > Домены защиты. На странице Набор доменов защиты выберите для настройки существующий домен, создайте новый или скопируйте существующий домен.

Ознакомьтесь с информацией о Множественные домены защиты, чтобы лучше представлять суть и назначение дополнительных доменов защиты и знать, как они поддерживаются в данной версии WebSphere Application Server.

Имя

Задает уникальное имя домена. После первоначальной отправки данное имя изменить нельзя.

Имя домена должно быть уникальным в пределах ячейки и не должно содержать недопустимые символы.

Описание

Задает описание домена.

Присвоенные области действия

Выберите эту опцию для отображения топологии ячейки. Можно присвоить домен защиты всей ячейке или выбрать для включения в домен защиты отдельные кластеры, узлы и шины интеграции служб.

При выборе опции Все ресурсы будет отображена полная топология ячейки.

При выборе опции Назначенные области отображается топология ячейки с серверами и кластерами, присвоенными текущему домену.

Напротив каждого ресурса указано имя домена, присвоенного явным образом. Отмеченные переключатели указывают ресурсы, присвоенные домену в настоящий момент. Можно также выбрать другие ресурсы и нажать кнопку Применить или OK, чтобы присвоить их текущему домену.

Если переключатель для ресурса не отмечен (ресурс выключен), это указывает на то, что ресурс не присвоен текущему домену и должен быть удален из другого домена, прежде чем его можно будет включить для текущего домена.

Если ресурсу явным образом не присвоен домен, он использует домен, присвоенный ячейке. Если этой ячейке не присвоен ни один домен, то ресурс использует значения глобальных параметров.

Элементы кластера не могут быть отдельно присвоены доменам; весь кластер использует один и тот же домен.

Защита приложений:

Выберите опцию Включить защиту приложений, чтобы включить или выключить защиту для приложений пользователей. Можно использовать глобальные параметры защиты или настроить параметры для домена.

Если данная опция выключена, защита приложений EJB и Web-приложений больше не применяется. Доступ к данным ресурсам предоставляется без идентификации пользователя. Если данная опция включена, то для всех приложений EJB и Web-приложений в домене защиты применяется обязательная защита J2EE. Обязательная защита J2EE применяется только в том случае, если в глобальной конфигурации защиты включена опция Глобальная защита, (другими словами, невозможно включить защиту приложений без предварительного включения Глобальной защиты на глобальном уровне).

Включить защиту приложений

Включение защиты приложений в среде. Такой тип защиты обеспечивает изоляцию приложения и требования идентификации его пользователей

В предыдущих выпусках WebSphere Application Server при включении глобальной защиты включалась и административная защита, и защита приложения. В WebSphere Application Server версии 6.1 административная защита и защита приложения были разделены и включались по отдельности.

В результате разделения клиенты WebSphere Application Server должны знать, включена ли на целевом сервере защита приложения. Административная защита по умолчанию включена. Защита приложения, наоборот, выключена. Для включения защиты приложения необходимо включить административную защиту. В противном случае защита приложения не действует.

Если данная опция выключена, защита приложений EJB и Web-приложений больше не применяется. Доступ к данным ресурсам предоставляется без идентификации пользователя. Если данная опция включена, то для всех приложений EJB и Web-приложений в домене защиты применяется обязательная защита J2EE. Обязательная защита J2EE применяется только в том случае, если в глобальной конфигурации защиты включена опция Глобальная защита, (другими словами, невозможно включить защиту приложений без предварительного включения Глобальной защиты на глобальном уровне).

Защита Java 2:

Выберите опцию Использовать защиту Java 2, чтобы включить или выключить защиту Java 2 на уровне доменов или чтобы присвоить или добавить свойства, связанные с защитой Java 2. Можно использовать глобальные параметры защиты или настроить параметры для домена.

Эта опция включает или выключает защиту Java 2 на уровне процессов (JVM), с тем чтобы любое приложение (администратора или пользователя) могло включить или выключить защиту Java 2.

Использовать глобальные параметры защиты

Выберите эту опцию, чтобы указать используемые значения глобальных параметров защиты.

Настроить для этого домена

Выберите эту опцию, чтобы задать параметры, определенные в домене, такие как опции включения защиты Java 2 и приложений и использования идентификационных данных с указанием области.

Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам

Выберите эту опцию, чтобы включить или выключить проверку прав доступа защитой Java 2. По умолчанию доступ к локальным ресурсам не ограничен. Защиту Java 2 можно выключить даже в том случае, если применяется защита приложений.

Если выбрана опция Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и приложению требуются большие права доступа, чем предоставленные защитой Java 2 в стратегии по умолчанию, то приложение может работать с ошибками до тех пор, пока требуемые права доступа не будут указаны в файле app.policy или was.policy приложения. Приложения, не обладающие достаточными правами доступа, создают исключительные ситуации AccessControl.

Предупреждать о предоставлении нестандартных прав доступа приложениям

Указывает, что в ходе развертывания и запуска приложений при каждом предоставлении приложению нестандартных прав доступа будет выводиться соответствующее предупреждение защиты. Такие права доступа задаются пользовательскими приложениями и отличаются от прав доступа API Java. Права доступа API Java указаны в пакетах java.* и javax.*.

Сервер приложений предоставляет поддержку управления файлами стратегии. В его состав входит набор файлов статических и динамических стратегий. Динамическая стратегия - это шаблон с правами доступа к какому-либо типу ресурсов. В таких шаблонах не определяется базовый и относительный код. Кодовая инфраструктура создается автоматически на основе конфигурации и динамических данных. Файл filter.policy содержит список разрешений, которые не следует присваивать приложениям в соответствии со спецификацией J2EE 1.4.

Важное замечание: Эту опцию можно задать только совместно с опцией Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам.
Ограничить доступ к идентификационным данным ресурсов

Эта опция выключена, если не включена защита Java 2.

Применение этой опции рекомендуется при выполнении следующих условий:
  • Защита Java 2 включена.
  • Приложению предоставлены права доступа accessRuntimeClasses WebSphereRuntimePermission, указанные в файле was.policy, входящем в состав файла EAR. Например, приложению предоставляются такие права доступа, если в файле was.policy указана следующая строка:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

Опция Ограничить доступ к идентификационным данным ресурсов добавляет дополнительную проверку прав доступа защиты Java 2 в преобразование субъекта по умолчанию реализации WSPrincipalMappingLoginModule. Если выбраны опции Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и Ограничить доступ к идентификационным данным ресурсов, то приложениям Java 2 Platform, Enterprise Edition (J2EE), использующим реализацию WSPrincipalMappingLoginModule непосредственно в сеансах службы идентификации Java (JAAS) необходимо явным образом предоставить права доступа.

По умолчанию: Выключено
Область пользователя:

С помощью этого раздела можно настроить реестр пользователей для домена защиты. Можно отдельно настроить любой реестр, кроме объединенного реестра, используемого на уровне доменов. Объединенное хранилище можно настроить только на глобальном уровне, но использовать его можно на уровне доменов.

При настройке хранилища на уровне доменов можно определить имя своей области для данного реестра. По имени области можно отличить один реестр пользователей от другого. Имя области используется в нескольких местах: на панели входа клиента Java для подсказки пользователю, в кэше идентификации, а также при использовании внутренней идентификации.

На уровне глобальной конфигурации система создает область для реестра пользователей. В предыдущих выпусках WebSphere Application Server в системе настроен только один реестр пользователей. При наличии нескольких доменов защиты в системе можно настроить несколько реестров. Для того чтобы в этих доменах области были уникальными, настройте свое собственное имя области для домена защиты. Можно также предоставить системе создание уникального имени домена, если его уникальность обеспечена. В этом случае имя области основано на уже используемом реестре.

Группа доверия

Выберите эту опцию для отображения параметров группы доверия. Группа доверия применяется для подключения обратного сервера proxy к серверу приложений.

Группа доверия позволяет осуществить интеграцию серверов защиты IBM WebSphere Application Server и других производителей. Обратный сервер Proxy выполняет роль общедоступного сервера идентификации, в то время как продукт предоставляет права доступа в соответствии с преобразованными идентификационными данными, которые передает сервер Proxy.

Перехватчики группы доверия диспетчера Tivoli Access Manager можно настроить только на глобальном уровне. Конфигурация домена также может их использовать, но не может иметь другую версию перехватчика группы событий. В системе может существовать только один экземпляр перехватчиков группы доверия Tivoli Access Manager.

Прим.: Метод использования перехватчиков группы доверия (TAI) для идентификации SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) устарел. Панели Web-идентификации SPNEGO предоставляют намного более удобный метод настройки SPNEGO.
Перехватчики

Выберите эту опцию, чтобы получить доступ или указать информацию доверия для серверов proxy.

Включить группу доверия

Выберите эту опцию, чтобы разрешить интеграцию серверов защиты IBM WebSphere Application Server и других производителей. Обратный сервер Proxy выполняет роль общедоступного сервера идентификации, в то время как продукт предоставляет права доступа в соответствии с преобразованными идентификационными данными, которые передает сервер Proxy.

Web-идентификация SPNEGO:

Задает значения параметров для SPNEGO (Simple and Protected GSS-API Negotiation), используемого в качестве механизма Web-идентификации.

Web-идентификация SPNEGO, которая позволяет настроить SPNEGO для идентификации Web-ресурсов, может быть настроена на уровне доменов.

Прим.: В WebSphere Application Server версии 6.1 появился перехватчик группы доверия (TAI), который использует механизм SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) для защищенного согласования и идентификации запросов HTTP на защищенные ресурсы. Теперь, в WebSphere Application Server 7.0, эта функция устарела. Web-идентификации SPNEGO отведена роль обеспечения динамической перезагрузки фильтров SPNEGO и включения резервного перехода к методу сеансов приложений.
Защита RMI/IIOP:

Задает параметры для протокола RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol.

Посредник запросов объектов (ORB) управляет взаимодействием между клиентами и серверами с помощью Internet InterORB Protocol (IIOP). Они позволяют клиентам обмениваться запросами и ответами с серверами в распределенной среде.

Во время настройки этих атрибутов на уровне доменов конфигурация защиты RMI/IIOP, для удобства, копируется на глобальном уровне. Атрибуты, которые должны отличаться на уровне домена, можно изменить. Параметры уровней транспортного протокола для входящих сообщений CSIv2 должны быть одинаковыми и для глобального уровня, и для уровня доменов. Если они отличаются, то атрибуты уровня доменов применяются ко всем приложениям процесса.

Если процесс связывается с другим процессом с другой областью, идентификация LTPA и ключи распространения распространяются на подчиненный сервер, если только этот сервер не внесен в список надежных исходящих областей. Это можно сделать с помощью ссылки Области надежной идентификации — исходящие на панели исходящие сообщения CSIv2.

Входящие сообщения CSIv2

Выберите эту опцию, чтобы указать параметры идентификации для полученных запросов и транспортные параметры для соединений, принятых данным сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).

WebSphere Application Server позволяет указать идентификацию IIOP (Internet Inter-ORB Protocol) как для входящих, так и для исходящих запросов идентификации. Для входящих запросов можно указать тип принятой идентификации, например: базовая идентификация.

Исходящие сообщения CSIv2

Выберите эту опцию, чтобы указать параметры идентификации для отправленных запросов и транспортные параметры для соединений, инициированных сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).

WebSphere Application Server позволяет указать идентификацию IIOP (Internet Inter-ORB Protocol) как для входящих, так и для исходящих запросов идентификации. Для исходящих запросов можно указать свойства, такие как тип идентификации, утверждение идентификации или конфигурации сеансов, которые используются для запросов подчиненным серверам.

Сеансы приложений JAAS

Выберите эту опцию для определения конфигураций сеансов, используемых JAAS.

Сеансы приложений JAAS, сеансы системы JAAS и псевдонимы идентификации JAAS J2C могут быть настроены на уровне доменов. По умолчанию все приложения в системе имеют доступ к сеансам JAAS, настроенным на глобальном уровне. Среда защиты сначала проверяет сеансы JAAS на уровне доменов. Если они не найдены, их поиск продолжается в конфигурации глобальной защиты. Любой из этих сеансов JAAS можно настраивать на уровне домена только в том случае, когда необходимо указать сеанс, используемый исключительно приложениями домена защиты.

Только для JAAS и пользовательских свойств — если глобальные атрибуты настроены для домена, их могут использовать и приложения пользователей.

Не удаляйте конфигурации сеансов WSLogin, ClientContainer и DefaultPrincipalMapping, поскольку они могут быть использованы другими приложениями. Удаление этих конфигураций может привести к сбою других приложений.

Использовать глобальные сеансы и сеансы отдельных доменов

Выберите эту опцию, чтобы задать параметры, определенные в домене, такие как опции включения защиты Java 2 и приложений и использования идентификационных данных с указанием области.

Сеансы системы JAAS:

Задает параметры конфигурации для сеансов системы JAAS. Можно использовать глобальные параметры защиты или настроить параметры конфигурации для домена.

Сеансы системы

Выберите эту опцию, чтобы определить конфигурации сеансов JAAS, используемые системными ресурсами, включая механизм идентификации, преобразование субъекта и преобразование идентификационных данных.

Данные идентификации JAAS J2C:

Задает значения идентификационных данных JAAS J2C. Можно использовать глобальные параметры защиты или настроить параметры для домена.

Записи идентификационных данных коннектора J2EE (Java 2 Platform, Enterprise Edition) используются адаптерами ресурсов и источниками данных JDBC (Java DataBase Connectivity).

Использовать глобальные записи и записи отдельных доменов

Выберите эту опцию, чтобы задать параметры, определенные в домене, такие как опции включения защиты Java 2 и приложений и использования идентификационных данных с указанием области.

Атрибуты механизма идентификации:

Задает различные параметры кэша, которые должны применяться на уровне доменов.

  • Параметры кэша для идентификации — используйте для назначения параметров кэша для идентификации. Конфигурация, заданная на этой панели, применяется только к этому домену.
  • Тайм-аут LTPA — Можно настроить другое значение тайм-аута LTPA на уровне доменов. По умолчанию тайм-аута имеет значение 120 минут, которое установлено на глобальном уровне. Если тайм-аут LTPA задан на уровне доменов, любой ключ, создаваемый в домене защиты при доступе к приложениям пользователей, создается с этим сроком действия.
  • Применять имена пользователей с указанием области — При выборе этой опции имена пользователей, возвращенные такими методами как getUserPrincipal( ), включают в себя область защиты (реестр пользователей), используемую приложениями домена защиты.
Провайдер идентификации:

Задает параметры для провайдера идентификации. Можно использовать глобальные параметры защиты или настроить параметры для домена.

Можно настроить на уровне домена внешний провайдер JACC (Java Authorization Contract for Containers) других производителей. Провайдер JACC продукта Tivoli Access Manager можно настроить только на глобальном уровне. Домены защиты могут использовать его, если они не переопределят этот провайдер идентификации другим провайдером JACC или встроенной внутренней идентификацией.

Выберите либо Идентификация по умолчанию, либо Внешняя идентификация с помощью провайдера JAAC. Кнопка Настроить доступна только при выборе опции Внешняя идентификация с помощью провайдера JAAC.

[z/OS] Для идентификации SAF (System Authorization Facility) — если на уровне доменов задать префикс профайла SAF, он будет применен на уровне серверов и все приложения (администраторов и пользователей) смогут включать или выключать его на этом сервере.

Параметры защиты z/OS

Задает параметры для z/OS. Можно использовать глобальные параметры защиты или настроить параметры для домена.

Пользовательские свойства

Выберите эту опцию, чтобы указать пару "имя-значение", где "имя" - это ключ свойства, а "значение" - строка.

Укажите на уровне доменов те пользовательские свойства, которые либо являются новыми, либо отличаются от свойств на глобальном уровне. По умолчанию все пользовательские свойства конфигурации глобальной защиты доступны из всех приложений в системе. Код среды защиты сначала проверяет наличие пользовательского свойства на уровне доменов. Если оно не найдено, предпринимается попытка получить это пользовательское свойство из конфигурации глобальной защиты.

Привязки Web-служб

Выберите Привязки набора стратегий по умолчанию, чтобы задать привязки по умолчанию для провайдера и клиента данного домена.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Понятия, связанные с данным
Ссылки, связанные с данной
Параметры автономного реестра LDAP
Параметры конфигурации Службы идентификации Java
Параметры записей идентификационных данных Java 2 Connector
Параметры внешнего провайдера Java ACC
Информация, связанная с данной
Пользовательские свойства защиты


Имя файла: usec_sec_domains_edit.html