С помощью этой страницы можно настроить атрибуты защиты домена и присвоить этот домен ресурсам ячейки. Для каждого атрибута защиты можно использовать глобальные параметры защиты или настроить параметры домена.
Для просмотра этой страницы административной консоли выберите Защита > Домены защиты. На странице Набор доменов защиты выберите для настройки существующий домен, создайте новый или скопируйте существующий домен.
Ознакомьтесь с информацией о Множественные домены защиты, чтобы лучше представлять суть и назначение дополнительных доменов защиты и знать, как они поддерживаются в данной версии WebSphere Application Server.
Задает уникальное имя домена. После первоначальной отправки данное имя изменить нельзя.
Имя домена должно быть уникальным в пределах ячейки и не должно содержать недопустимые символы.
Задает описание домена.
Выберите эту опцию для отображения топологии ячейки. Можно присвоить домен защиты всей ячейке или выбрать для включения в домен защиты отдельные кластеры, узлы и шины интеграции служб.
При выборе опции Все ресурсы будет отображена полная топология ячейки.
При выборе опции Назначенные области отображается топология ячейки с серверами и кластерами, присвоенными текущему домену.
Напротив каждого ресурса указано имя домена, присвоенного явным образом. Отмеченные переключатели указывают ресурсы, присвоенные домену в настоящий момент. Можно также выбрать другие ресурсы и нажать кнопку Применить или OK, чтобы присвоить их текущему домену.
Если переключатель для ресурса не отмечен (ресурс выключен), это указывает на то, что ресурс не присвоен текущему домену и должен быть удален из другого домена, прежде чем его можно будет включить для текущего домена.
Если ресурсу явным образом не присвоен домен, он использует домен, присвоенный ячейке. Если этой ячейке не присвоен ни один домен, то ресурс использует значения глобальных параметров.
Элементы кластера не могут быть отдельно присвоены доменам; весь кластер использует один и тот же домен.
Выберите опцию Включить защиту приложений, чтобы включить или выключить защиту для приложений пользователей. Можно использовать глобальные параметры защиты или настроить параметры для домена.
Если данная опция выключена, защита приложений EJB и Web-приложений больше не применяется. Доступ к данным ресурсам предоставляется без идентификации пользователя. Если данная опция включена, то для всех приложений EJB и Web-приложений в домене защиты применяется обязательная защита J2EE. Обязательная защита J2EE применяется только в том случае, если в глобальной конфигурации защиты включена опция Глобальная защита, (другими словами, невозможно включить защиту приложений без предварительного включения Глобальной защиты на глобальном уровне).
Включение защиты приложений в среде. Такой тип защиты обеспечивает изоляцию приложения и требования идентификации его пользователей
В предыдущих выпусках WebSphere Application Server при включении глобальной защиты включалась и административная защита, и защита приложения. В WebSphere Application Server версии 6.1 административная защита и защита приложения были разделены и включались по отдельности.
В результате разделения клиенты WebSphere Application Server должны знать, включена ли на целевом сервере защита приложения. Административная защита по умолчанию включена. Защита приложения, наоборот, выключена. Для включения защиты приложения необходимо включить административную защиту. В противном случае защита приложения не действует.
Если данная опция выключена, защита приложений EJB и Web-приложений больше не применяется. Доступ к данным ресурсам предоставляется без идентификации пользователя. Если данная опция включена, то для всех приложений EJB и Web-приложений в домене защиты применяется обязательная защита J2EE. Обязательная защита J2EE применяется только в том случае, если в глобальной конфигурации защиты включена опция Глобальная защита, (другими словами, невозможно включить защиту приложений без предварительного включения Глобальной защиты на глобальном уровне).
Выберите опцию Использовать защиту Java 2, чтобы включить или выключить защиту Java 2 на уровне доменов или чтобы присвоить или добавить свойства, связанные с защитой Java 2. Можно использовать глобальные параметры защиты или настроить параметры для домена.
Эта опция включает или выключает защиту Java 2 на уровне процессов (JVM), с тем чтобы любое приложение (администратора или пользователя) могло включить или выключить защиту Java 2.
Выберите эту опцию, чтобы указать используемые значения глобальных параметров защиты.
Выберите эту опцию, чтобы задать параметры, определенные в домене, такие как опции включения защиты Java 2 и приложений и использования идентификационных данных с указанием области.
Выберите эту опцию, чтобы включить или выключить проверку прав доступа защитой Java 2. По умолчанию доступ к локальным ресурсам не ограничен. Защиту Java 2 можно выключить даже в том случае, если применяется защита приложений.
Если выбрана опция Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и приложению требуются большие права доступа, чем предоставленные защитой Java 2 в стратегии по умолчанию, то приложение может работать с ошибками до тех пор, пока требуемые права доступа не будут указаны в файле app.policy или was.policy приложения. Приложения, не обладающие достаточными правами доступа, создают исключительные ситуации AccessControl.
Указывает, что в ходе развертывания и запуска приложений при каждом предоставлении приложению нестандартных прав доступа будет выводиться соответствующее предупреждение защиты. Такие права доступа задаются пользовательскими приложениями и отличаются от прав доступа API Java. Права доступа API Java указаны в пакетах java.* и javax.*.
Сервер приложений предоставляет поддержку управления файлами стратегии. В его состав входит набор файлов статических и динамических стратегий. Динамическая стратегия - это шаблон с правами доступа к какому-либо типу ресурсов. В таких шаблонах не определяется базовый и относительный код. Кодовая инфраструктура создается автоматически на основе конфигурации и динамических данных. Файл filter.policy содержит список разрешений, которые не следует присваивать приложениям в соответствии со спецификацией J2EE 1.4.
Эта опция выключена, если не включена защита Java 2.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Опция Ограничить доступ к идентификационным данным ресурсов добавляет дополнительную проверку прав доступа защиты Java 2 в преобразование субъекта по умолчанию реализации WSPrincipalMappingLoginModule. Если выбраны опции Использовать защиту Java 2 для ограничения доступа приложения к локальным ресурсам и Ограничить доступ к идентификационным данным ресурсов, то приложениям Java 2 Platform, Enterprise Edition (J2EE), использующим реализацию WSPrincipalMappingLoginModule непосредственно в сеансах службы идентификации Java (JAAS) необходимо явным образом предоставить права доступа.
По умолчанию: | Выключено |
С помощью этого раздела можно настроить реестр пользователей для домена защиты. Можно отдельно настроить любой реестр, кроме объединенного реестра, используемого на уровне доменов. Объединенное хранилище можно настроить только на глобальном уровне, но использовать его можно на уровне доменов.
При настройке хранилища на уровне доменов можно определить имя своей области для данного реестра. По имени области можно отличить один реестр пользователей от другого. Имя области используется в нескольких местах: на панели входа клиента Java для подсказки пользователю, в кэше идентификации, а также при использовании внутренней идентификации.
На уровне глобальной конфигурации система создает область для реестра пользователей. В предыдущих выпусках WebSphere Application Server в системе настроен только один реестр пользователей. При наличии нескольких доменов защиты в системе можно настроить несколько реестров. Для того чтобы в этих доменах области были уникальными, настройте свое собственное имя области для домена защиты. Можно также предоставить системе создание уникального имени домена, если его уникальность обеспечена. В этом случае имя области основано на уже используемом реестре.
Выберите эту опцию для отображения параметров группы доверия. Группа доверия применяется для подключения обратного сервера proxy к серверу приложений.
Группа доверия позволяет осуществить интеграцию серверов защиты IBM WebSphere Application Server и других производителей. Обратный сервер Proxy выполняет роль общедоступного сервера идентификации, в то время как продукт предоставляет права доступа в соответствии с преобразованными идентификационными данными, которые передает сервер Proxy.
Перехватчики группы доверия диспетчера Tivoli Access Manager можно настроить только на глобальном уровне. Конфигурация домена также может их использовать, но не может иметь другую версию перехватчика группы событий. В системе может существовать только один экземпляр перехватчиков группы доверия Tivoli Access Manager.
Выберите эту опцию, чтобы получить доступ или указать информацию доверия для серверов proxy.
Выберите эту опцию, чтобы разрешить интеграцию серверов защиты IBM WebSphere Application Server и других производителей. Обратный сервер Proxy выполняет роль общедоступного сервера идентификации, в то время как продукт предоставляет права доступа в соответствии с преобразованными идентификационными данными, которые передает сервер Proxy.
Задает значения параметров для SPNEGO (Simple and Protected GSS-API Negotiation), используемого в качестве механизма Web-идентификации.
Web-идентификация SPNEGO, которая позволяет настроить SPNEGO для идентификации Web-ресурсов, может быть настроена на уровне доменов.
Задает параметры для протокола RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol.
Посредник запросов объектов (ORB) управляет взаимодействием между клиентами и серверами с помощью Internet InterORB Protocol (IIOP). Они позволяют клиентам обмениваться запросами и ответами с серверами в распределенной среде.
Во время настройки этих атрибутов на уровне доменов конфигурация защиты RMI/IIOP, для удобства, копируется на глобальном уровне. Атрибуты, которые должны отличаться на уровне домена, можно изменить. Параметры уровней транспортного протокола для входящих сообщений CSIv2 должны быть одинаковыми и для глобального уровня, и для уровня доменов. Если они отличаются, то атрибуты уровня доменов применяются ко всем приложениям процесса.
Если процесс связывается с другим процессом с другой областью, идентификация LTPA и ключи распространения распространяются на подчиненный сервер, если только этот сервер не внесен в список надежных исходящих областей. Это можно сделать с помощью ссылки Области надежной идентификации — исходящие на панели исходящие сообщения CSIv2.
Выберите эту опцию, чтобы указать параметры идентификации для полученных запросов и транспортные параметры для соединений, принятых данным сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).
WebSphere Application Server позволяет указать идентификацию IIOP (Internet Inter-ORB Protocol) как для входящих, так и для исходящих запросов идентификации. Для входящих запросов можно указать тип принятой идентификации, например: базовая идентификация.
Выберите эту опцию, чтобы указать параметры идентификации для отправленных запросов и транспортные параметры для соединений, инициированных сервером по протоколу идентификации CSI (Common Secure Interoperability), разработанному группой OMG (Object Management Group).
WebSphere Application Server позволяет указать идентификацию IIOP (Internet Inter-ORB Protocol) как для входящих, так и для исходящих запросов идентификации. Для исходящих запросов можно указать свойства, такие как тип идентификации, утверждение идентификации или конфигурации сеансов, которые используются для запросов подчиненным серверам.
Выберите эту опцию для определения конфигураций сеансов, используемых JAAS.
Сеансы приложений JAAS, сеансы системы JAAS и псевдонимы идентификации JAAS J2C могут быть настроены на уровне доменов. По умолчанию все приложения в системе имеют доступ к сеансам JAAS, настроенным на глобальном уровне. Среда защиты сначала проверяет сеансы JAAS на уровне доменов. Если они не найдены, их поиск продолжается в конфигурации глобальной защиты. Любой из этих сеансов JAAS можно настраивать на уровне домена только в том случае, когда необходимо указать сеанс, используемый исключительно приложениями домена защиты.
Только для JAAS и пользовательских свойств — если глобальные атрибуты настроены для домена, их могут использовать и приложения пользователей.
Не удаляйте конфигурации сеансов WSLogin, ClientContainer и DefaultPrincipalMapping, поскольку они могут быть использованы другими приложениями. Удаление этих конфигураций может привести к сбою других приложений.
Выберите эту опцию, чтобы задать параметры, определенные в домене, такие как опции включения защиты Java 2 и приложений и использования идентификационных данных с указанием области.
Задает параметры конфигурации для сеансов системы JAAS. Можно использовать глобальные параметры защиты или настроить параметры конфигурации для домена.
Выберите эту опцию, чтобы определить конфигурации сеансов JAAS, используемые системными ресурсами, включая механизм идентификации, преобразование субъекта и преобразование идентификационных данных.
Задает значения идентификационных данных JAAS J2C. Можно использовать глобальные параметры защиты или настроить параметры для домена.
Записи идентификационных данных коннектора J2EE (Java 2 Platform, Enterprise Edition) используются адаптерами ресурсов и источниками данных JDBC (Java DataBase Connectivity).
Выберите эту опцию, чтобы задать параметры, определенные в домене, такие как опции включения защиты Java 2 и приложений и использования идентификационных данных с указанием области.
Задает различные параметры кэша, которые должны применяться на уровне доменов.
Задает параметры для провайдера идентификации. Можно использовать глобальные параметры защиты или настроить параметры для домена.
Можно настроить на уровне домена внешний провайдер JACC (Java Authorization Contract for Containers) других производителей. Провайдер JACC продукта Tivoli Access Manager можно настроить только на глобальном уровне. Домены защиты могут использовать его, если они не переопределят этот провайдер идентификации другим провайдером JACC или встроенной внутренней идентификацией.
Выберите либо Идентификация по умолчанию, либо Внешняя идентификация с помощью провайдера JAAC. Кнопка Настроить доступна только при выборе опции Внешняя идентификация с помощью провайдера JAAC.
Для идентификации SAF (System Authorization Facility) —
если на уровне доменов задать префикс профайла SAF, он будет применен на
уровне серверов и все приложения (администраторов и пользователей) смогут
включать или выключать его на этом сервере.
Задает параметры для z/OS. Можно использовать глобальные параметры защиты или настроить параметры для домена.
Выберите эту опцию, чтобы указать пару "имя-значение", где "имя" - это ключ свойства, а "значение" - строка.
Укажите на уровне доменов те пользовательские свойства, которые либо являются новыми, либо отличаются от свойств на глобальном уровне. По умолчанию все пользовательские свойства конфигурации глобальной защиты доступны из всех приложений в системе. Код среды защиты сначала проверяет наличие пользовательского свойства на уровне доменов. Если оно не найдено, предпринимается попытка получить это пользовательское свойство из конфигурации глобальной защиты.
Выберите Привязки набора стратегий по умолчанию, чтобы задать привязки по умолчанию для провайдера и клиента данного домена.
Ссылки, помеченные как (в сети), требуют подключения к Internet.