Глобальные параметры защиты

С помощью этой панели можно настроить стратегию административной защиты и стандартную стратегию защиты приложений. Эта конфигурация защиты применима к стратегии защиты для всех функций администрирования и используется в качестве стратегии защиты по умолчанию для пользовательских приложений. Можно определить домены защиты таким образом, чтобы они переопределяли и настраивали стратегии защиты для пользовательских приложений.

Для того чтобы открыть эту страницу административной консоли, выберите Защита > Глобальная защита.

[AIX Solaris HP-UX Linux Windows] [iSeries] Применение защиты приводит к некоторому снижению производительности приложений. Фактическое снижение производительности зависит от характеристик нагрузки конкретного приложения. В первую очередь следует определить требуемый уровень защиты приложений и оценить связанное снижение производительности.

После настройки защиты проверьте все изменения, внесенные на панелях реестра пользователей и механизма идентификации. Нажмите кнопку Применить для подтверждения параметров реестра пользователей. Будет выполнена попытка идентифицировать ИД сервера или проверить ИД администратора (если применяется internalServerID) в настроенном реестре пользователей. Проверка параметров реестра пользователей после включения административной защиты позволяет избежать неполадок, связанных с первым перезапуском сервера.

Мастер настройки защиты

Запускает мастер, предназначенный для настройки основных параметров административной защиты и защиты приложений. Для работы с административными задачами и приложениями требуются соответствующие права доступа.

С помощью этого мастера можно настроить защиту приложений и ресурсов, защиту Java 2 Connector (J2C), а также реестр пользователей. Вы можете настроить существующий реестр, включить административную защиту, а также защиту приложений и ресурсов.

В результате применения изменений, внесенных с помощью мастера настройки защиты, административная защита включается по умолчанию.

Отчет о конфигурации защиты

Позволяет создать отчет с информацией о текущей конфигурации защиты сервера приложений. Собирается информация о базовых параметрах защиты, пользователях и группах с правами администратора, ролях имен CORBA и защите cookie. При настройке нескольких доменов защиты в отчете будет отражена конфигурация защиты, связанная с каждым доменом.

В настоящее время в отчете не отображается информация о защите на уровне приложения. Кроме того, в отчете не отображается информация о защите службы сообщений Java (JMS), шины и Web-служб.

Включить административную защиту

Позволяет включит административную защиту домена сервера приложений. Административная защита предусматривает дополнительную идентификацию перед предоставлением прав на администрирование сервера приложений.

Дополнительная информация приведена в связанных разделах о ролях и идентификации администратора.

При включении защиты следует указать конфигурацию способа идентификации, ИД пользователя и пароль (или ИД администратора, если применяется функция internalServerID) для выбранной конфигурации реестра.

Прим.: ИД пользователя, предоставляющий права на управление средой (другое название - ИД администратора), отличается от ИД сервера, применяемого для взаимодействия серверов. При работе с внутренними функциями сервера ввод ИД сервера и пароля не требуется. Однако при необходимости ИД сервера и пароль можно указать. Для указания ИД сервера и пароля выполните следующие действия:
  1. Нажмите Защита > Глобальная защита.
  2. В разделе Хранилище учетных записей пользователей выберите хранилище и нажмите кнопку Настроить.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Укажите ИД сервера и пароля в разделе Идентификатор пользователя сервера.

[z/OS] Если реестр пользователей — Local OS, можно указать только опцию задача, запущенная в z/OS.

Если возникнут неполадки, например, нельзя запустить сервер после активации защиты в домене защиты, выполните на этом узле синхронизацию файлов из ячейки. Для синхронизации файлов выполните на узле следующую команду: syncNode -username имя-пользователя -password пароль. Эта команда подключается к диспетчеру развертывания и выполняет синхронизацию всех файлов.

[iSeries] [z/OS] Если после активации административной защиты сервер не удалось запустить, защиту можно выключить. Перейдите в каталог app_server_root/bin и выполните команду wsadmin -conntype NONE. В приглашении wsadmin> введите securityoff, затем введите exit для возвращения в командную строку. Перезапустите сервер в незащищенном режиме и с помощью административной консоли найдите неверные параметры.

[z/OS] Пользователи реестра пользователей локальной операционной системы: Если в качестве активного реестра пользователей выбрано значение Локальная операционная система, то пароль в конфигурации реестра пользователей можно не указывать.

По умолчанию: Включен
Включить защиту приложений

Включение защиты приложений в среде. Такой тип защиты обеспечивает изоляцию приложения и требования идентификации его пользователей

В предыдущих выпусках WebSphere Application Server при включении глобальной защиты включалась и административная защита, и защита приложения. В WebSphere Application Server версии 6.1 административная защита и защита приложения разделены и включаются по отдельности.

В результате разделения клиенты WebSphere Application Server должны знать, включена ли на целевом сервере защита приложения. Административная защита по умолчанию включена. Защита приложения, наоборот, выключена. Для включения защиты приложения необходимо включить административную защиту. В противном случае защита приложения не действует.

По умолчанию: Выключено
Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам

Позволяет включить или выключить проверку прав доступа защитой Java 2. По умолчанию доступ к локальным ресурсам не ограничен. Защиту Java 2 можно выключить даже в том случае, если применяется защита приложений.

Если выбрана опция Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и приложению требуются большие права доступа, чем предоставленные защитой Java 2 в стратегии по умолчанию, то приложение может работать с ошибками до тех пор, пока требуемые права доступа не будут указаны в файле app.policy или was.policy приложения. Приложения, не обладающие достаточными правами доступа, создают исключительные ситуации AccessControl. Дополнительные сведения о защите Java 2 можно найти по приведенным ниже ссылкам.

По умолчанию: Выключено
Предупреждать о предоставлении нестандартных прав доступа приложениям

Указывает, что в ходе развертывания и запуска приложений при каждом предоставлении приложению нестандартных прав доступа будет выводиться соответствующее предупреждение защиты. Такие права доступа задаются пользовательскими приложениями и отличаются от прав доступа API Java. Права доступа API Java указаны в пакетах java.* и javax.*.

Сервер приложений предоставляет поддержку управления файлами стратегии. В его состав входит набор файлов статических и динамических стратегий. Динамическая стратегия - это шаблон с правами доступа к какому-либо типу ресурсов. В таких шаблонах не определяется базовый и относительный код. Кодовая инфраструктура создается автоматически на основе конфигурации и динамических данных. Файл filter.policy содержит список разрешений, которые не следует присваивать приложениям в соответствии со спецификацией J2EE 1.4. Дополнительные сведения о правах доступа приведены в документе о файлах стратегии защиты Java 2.

Важное замечание: Эту опцию можно задать только совместно с опцией Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам.
По умолчанию: Выключено
Ограничить доступ к идентификационным данным ресурсов

Включите эту опцию, чтобы ограничить доступ приложения к конфиденциальным данным идентификации Java Connector Architecture (JCA).

Применение этой опции рекомендуется при выполнении следующих условий:
  • Защита Java 2 включена.
  • Приложению предоставлены права доступа accessRuntimeClasses WebSphereRuntimePermission, указанные в файле was.policy, входящем в состав файла EAR. Например, приложению предоставляются такие права доступа, если в файле was.policy указана следующая строка:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

Опция Ограничить доступ к идентификационным данным ресурсов добавляет дополнительную проверку прав доступа защиты Java 2 в преобразование субъекта по умолчанию реализации WSPrincipalMappingLoginModule. Если выбраны опции Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и Ограничить доступ к идентификационным данным ресурсов, то приложениям Java 2 Platform, Enterprise Edition (J2EE), использующим реализацию WSPrincipalMappingLoginModule непосредственно в сеансах службы идентификации Java (JAAS) необходимо явным образом предоставить права доступа.

По умолчанию: Выключено
Текущее определение области

Текущий параметр активного хранилища пользователей.

Это поле доступно только для чтения.

Доступные определения областей

Доступные хранилища учетных записей пользователей.

В выпадающем списка показаны следующие опции:
  • Локальная операционная система
  • Автономный реестр LDAP
  • Автономный нестандартный реестр
Задать в качестве текущего [AIX Solaris HP-UX Linux Windows] [z/OS]

Позволяет активировать хранилище пользователей после настройки.

[AIX Solaris HP-UX Linux Windows] При работе в среде UNIX от имени пользователя, отличного от root, или в среде с несколькими узлами необходим реестр пользователей LDAP или нестандартный реестр пользователей.

Для настройки доступны параметры следующих хранилищ пользователей:
Объединенные хранилища
Укажите этот параметр для управления профайлами из нескольких хранилищ в рамках одной области. Область может состоять из идентификаторов в:
  • Хранилище на основе файлов, созданное в системе
  • Внешние хранилища
  • Встроенное хранилище на основе файлов и внешние хранилища
Прим.: Для просмотра конфигурации объединенных хранилищ требуются права администратора.
Локальная операционная система

[z/OS] Укажите этот параметр, если в качестве реестра пользователей сервера приложений применяется RACF или сервер с поддержкой SAF.

[AIX Solaris HP-UX Linux Windows] [iSeries] Локальная операционная система неприменима на уровне нескольких узлов, а также в случае отсутствия прав пользователя root при работе с платформой UNIX.

[AIX Solaris HP-UX Linux Windows] Реестр локальной операционной системы допустим только в случае применения контроллера домена или ячейки сетевого развертывания в пределах отдельной системы. В последнем случае нельзя создать узлы в других системах, поскольку конфигурация, предусматривающая применение реестра локальной операционной системы, будет недопустима.

Автономный реестр LDAP

Укажите этот параметр для применения параметров автономного реестра пользователей LDAP, когда пользователи и группы расположены во внешнем каталоге LDAP. Если при включенной защите любое из этих свойств изменилось, откройте панель Защита > Глобальная защита и нажмите Применить или OK для проверки изменений.

Прим.: Поскольку реализована поддержка нескольких серверов LDAP, данный параметр не ограничен только одним реестром LDAP.
Автономный нестандартный реестр
Укажите этот параметр, для того чтобы реализовать нестандартный реестр пользователей, применяющий интерфейс com.ibm.websphere.security.UserRegistry. Включив защиту или изменив эти свойства, перейдите к окну Глобальная защита и нажмите кнопку Применить или OK для проверки измененных значений.
По умолчанию: Выключено
Настроить...

Выберите эту опцию, чтобы настроить глобальные параметры защиты.

Защита Web и SIP

В разделе Идентификация разверните пункт Защита Web и SIP, чтобы открыть ссылки на следующие разделы:

  • Общие параметры
  • Единый вход в систему (SSO)
  • Web-идентификация SPNEGO
  • Группа доверия
Общие параметры

Выберите эту опцию для отображения параметров Web-идентификации.

Единый вход в систему (SSO)

Выберите эту опцию, чтобы задать параметры конфигурации единого входа в систему (SSO).

С поддержкой SSO пользователи Web могут выполнить идентификацию однократно для одновременного доступа к ресурсам WebSphere Application Server, таким как HTML, файлы JSP (JavaServer Pages), сервлеты, объекты J2EE, и к ресурсам Lotus Domino.

Web-идентификация SPNEGO

Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) предоставляет Web-клиентам и серверу способ согласования протокола Web-идентификации, используемого для разрешения связи.

Группа доверия

Выберите эту опцию для отображения параметров группы доверия. Группа доверия применяется для подключения обратного сервера proxy к серверу приложений.

Можно использовать глобальные параметры защиты или настроить параметры для домена.

Прим.: Метод использования перехватчиков группы доверия (TAI) для идентификации SPNEGO устарел. Теперь панели Web-идентификации SPNEGO предоставляют намного более удобный метод настройки SPNEGO.
Защита RMI/IIOP

В разделе Идентификация разверните пункт Защита RMI/IIOP, чтобы открыть ссылки на следующие разделы:

  • Входящие сообщения CSIv2
  • Исходящие сообщения CSIv2
Входящие сообщения CSIv2

Выберите эту опцию, чтобы указать параметры идентификации для полученных запросов и транспортные параметры для соединений, принятых данным сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).

Возможно одновременное использование трех уровней идентификации:
  • Уровень атрибутов CSIv2. На этом уровне можно передавать ключ идентификации, обозначающий уже идентифицированного субъекта идентифицированного субъекта управляющего сервера. Атрибутивный уровень (уровень субъекта) имеет наибольший приоритет, затем следует уровень сообщений и, наконец, уровень транспортного протокола. В случае получения идентификационных данных от клиента сразу на всех уровнях используется только уровень субъекта. Поэтому сертификат клиента SSL используется только при отсутствии какой-либо другой идентификационной информации при запросе. Клиент анализирует interoperable object reference (IOR) из пространстве имен и получает значения параметров помеченного компонента для определения требований сервера к защите.
  • Уровень транспортного протокола CSIv2. На этом наиболее низком уровне можно передавать сертификат клиента Secure Sockets Layer (SSL).
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Уровень сообщений CSIv2. На этом уровне можно передавать ИД пользователя и пароль к нему, либо ключ идентификации с некоторым сроком действия.
Исходящие сообщения CSIv2

Выберите эту опцию, чтобы указать параметры идентификации для отправленных запросов и транспортные параметры для соединений, инициированных сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).

Возможно одновременное использование трех уровней идентификации:
  • Уровень атрибутов CSIv2. На этом уровне можно передавать ключ идентификации, обозначающий уже идентифицированного субъекта идентифицированного субъекта управляющего сервера. Атрибутивный уровень (уровень субъекта) имеет наибольший приоритет, затем следует уровень сообщений и, наконец, уровень транспортного протокола. В случае получения идентификационных данных от клиента сразу на всех уровнях используется только уровень субъекта. Поэтому сертификат клиента SSL используется только при отсутствии какой-либо другой идентификационной информации при запросе. Клиент анализирует interoperable object reference (IOR) из пространстве имен и получает значения параметров помеченного компонента для определения требований сервера к защите.
  • Уровень транспортного протокола CSIv2. На этом наиболее низком уровне можно передавать сертификат клиента Secure Sockets Layer (SSL).
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Уровень сообщений CSIv2. На этом уровне можно передавать ИД пользователя и пароль к нему, либо ключ идентификации с некоторым сроком действия.
Служба идентификации Java

В разделе Идентификация разверните пункт Служба идентификации Java, чтобы открыть ссылки на следующие разделы:

  • Сеансы приложений
  • Сеансы системы
  • Идентификационные данные J2C
Сеансы приложений

Выберите эту опцию для определения конфигураций сеансов, используемых JAAS.

Не удаляйте конфигурации сеансов WSLogin, ClientContainer и DefaultPrincipalMapping, поскольку они могут быть использованы другими приложениями. Удаление этих конфигураций может привести к сбою других приложений.

Сеансы системы

Выберите эту опцию, чтобы определить конфигурации сеансов JAAS, используемые системными ресурсами, включая механизм идентификации, преобразование субъекта и преобразование идентификационных данных.

Идентификационные данные J2C

Выберите эту опцию, чтобы указать параметры идентификационных данных Java 2 Connector (J2C) службы идентификации Java (JAAS).

Можно использовать глобальные параметры защиты или настроить параметры для домена.

LTPA

Выберите эту опцию, чтобы идентификационная информация шифровалась. Это позволит серверу приложений пересылать данные с одного сервера на другой в защищенном режиме.

Для шифрования идентификационной информации, передаваемой между серверами, используется механизм LTPA (Lightweight Third-Party Authentication).

Kerberos и LTPA

Выберите эту опцию, чтобы идентификационная информация шифровалась. Это позволит серверу приложений пересылать данные с одного сервера на другой в защищенном режиме.

Для шифрования идентификационной информации, передаваемой между серверами, используется механизм Kerberos.
Прим.: Для выбора этой опции необходимо предварительно настроить Kerberos.
Настройка Kerberos

Используйте шифрование идентификационной информации, чтобы сервер приложений мог отправлять данные с одного сервера на другой в защищенном режиме.

Для шифрования идентификационной информации, передаваемой между серверами, используется механизма LTPA KRB5.

Параметры кэша идентификации

Выберите эту опцию, чтобы задать параметры кэша идентификации.

Включать в имена пользователей имя области

Указывает, что имена пользователей, возвращаемые методами, такими как getUserPrincipal(), включают в себя имя области защиты, которой они принадлежат.

Домены защиты

С помощью ссылки Домен защиты можно настроить дополнительные конфигурации защиты для пользовательских приложений.

Например, если для набора пользовательских приложений требуется использовать реестр пользователей, отличающийся от применяемого на глобальном уровне, можно создать конфигурацию защиты с данным реестром пользователей и связать ее с данным набором приложений. Эти дополнительные конфигурации защиты могут быть связаны с различными областями действия (ячейка, кластеры/серверы, шины интеграции служб). После связывания конфигураций защиты с различными областями действия все пользовательские приложения указанной области будут использовать указанную конфигурацию защиты. Дополнительная информация приведена в разделе Множественные домены защиты.

Для каждого атрибута защиты можно использовать глобальные параметры защиты или настроить параметры домена.

Внешние средства проверки прав доступа

С помощью этой опции можно указать, использовать ли стандартную конфигурацию идентификации, или применять внешние средства проверки прав доступа.

Внешние поставщики должны быть основаны на спецификации Java Authorization Contract for Containers (JACC) для управления проверкой прав доступа Java(TM) 2 Platform, Enterprise Edition (J2EE). Нельзя изменять какие-либо параметры на панелях поставщика проверки прав доступа, если только в качестве средства проверки прав доступа JACC не настроен внешний поставщик защиты.

Пользовательские свойства

Выберите эту опцию, чтобы указать пару "имя-значение", где "имя" - это ключ свойства, а "значение" - строка.




Ссылки, помеченные как (в сети), требуют подключения к Internet.

Понятия, связанные с данным
Задачи, связанные с данной
[AIX Solaris HP-UX Linux Windows] [iSeries]
Ссылки, связанные с данной
Параметры идентификации Маркер RSA
Механизмы идентификации и срок действия
Загрузка параметров операционной системы
Параметры автономного реестра LDAP
[z/OS] Сводка директив
Параметры автономного пользовательского реестра
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
Настройка доменов защиты
Информация, связанная с данной
[AIX Solaris HP-UX Linux Windows] [iSeries] Cryptographic Module Validation Program (в сети)


Имя файла: usec_secureadminappinfra.html