廣域安全設定

請利用這個畫面來配置管理和預設應用程式安全原則。 這個安全配置適用於所有管理功能的安全原則,用來作為使用者應用程式的預設安全原則。 定義安全網域可以置換和自訂使用者應用程式的安全原則。

如果要檢視這個管理主控台頁面,請按一下安全 > 廣域安全

[AIX Solaris HP-UX Linux Windows] [iSeries] 安全會對您的應用程式造成一些效能影響。效能影響可能因應用程式工作量性質而異。您必須先決定要對您的應用程式啟用所需的安全層次,然後再測量該項安全對您應用程式效能產生的衝擊程度。

配置好安全之後,請確認使用者登錄或鑑別機制畫面的任何變更。請按一下套用來驗證使用者登錄設定。 這會嘗試拿所配置的使用者登錄來鑑別伺服器 ID 或驗證管理者 ID(若是使用 internalServerID 的話)。在啟用管理安全後驗證使用者登錄設定,可避免在您第一次重新啟動伺服器時發生問題。

安全配置精靈

啟動可供您配置基本管理和應用程式安全設定的精靈。這個程序會將管理作業和應用程式限制於授權使用者。

您可以利用這個精靈來配置應用程式安全、資源或 Java™ 2 Connector (J2C) 安全和使用者登錄。您可以配置現有的登錄,並啟用管理、應用程式和資源安全。

當您套用安全配置精靈進行的變更時,預設會開啟管理安全。

安全配置報告

啟動報告,以收集並顯示應用程式伺服器的現行安全設定。所收集的資訊包括:核心安全設定、管理使用者與群組、CORBA 命名角色,以及 Cookie 保護。當配置多重安全網域時,報告會顯示每個網域的相關安全配置。

目前報告有一項限制,亦即,它不會顯示應用程式層次的安全資訊。報告也不會顯示 Java 訊息服務 (JMS) 安全、匯流排安全或 Web 服務安全的相關資訊。

啟用管理安全

指定是否要對這個應用程式伺服器網域啟用管理安全。若有啟用管理安全,使用者必須接受鑑別後才能取得應用程式伺服器的管理控制權。

如需相關資訊,請參閱管理角色和管理鑑別的相關鏈結。

當啟用安全時,請設定鑑別機制配置,以及在所選取的登錄配置中,指定有效的使用者 ID 和密碼(或者,如果使用內部伺服器 ID (internalServerID) 特性的話,則指定有效的管理者 ID)。

註: 使用者 ID(一般稱為管理者 ID)和伺服器 ID 有所不同;前者用以識別管理環境的管理者,後者是用於伺服器和伺服器間的通訊上。當您使用內部伺服器 ID 特性時,不需要輸入伺服器 ID 與密碼。不過,您可以選擇性地指定一個伺服器 ID 與密碼。如果要指定伺服器 ID 與密碼,請完成下列步驟:
  1. 按一下安全 > 廣域安全
  2. 在「使用者帳戶儲存庫」下,選取儲存庫,並按一下配置
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] 在「伺服器使用者身分」區段中,指定伺服器 ID 與密碼。

[z/OS] 當使用者登錄是本端 OS 時,您只能指定 z/OS® 啟動作業選項。

如果有發生在安全網域內啟用安全之後無法啟動伺服器之類的問題,請將這個節點和 Cell 中的所有檔案重新同步化。如果要將檔案重新同步處理,請從節點執行下列指令:syncNode -username your_userid -password your_password。 這個指令會連接到部署管理程式且會重新同步化所有檔案。

[iSeries] [z/OS] 如果您的伺服器在啟用管理安全之後無法重新啟動伺服器,您可以停用安全。移至您的 app_server_root/bin 目錄,並執行 wsadmin -conntype NONE 指令。請在 wsadmin> 提示下,輸入 securityoff,再輸入 exit 來返回命令提示字元。 請停用安全並重新啟動伺服器,以利用管理主控台來檢查任何不正確的設定。

[z/OS] 本端 OS 使用者登錄使用者:當您選擇本端 OS 作為作用中的使用者登錄,就不需要在使用者登錄配置中提供密碼。

預設值: 已啟用
啟用應用程式安全

啟用環境中的應用程式安全。 這類型的安全針對鑑別應用程式使用者,提供應用程式的隔離和需求

在舊版的 WebSphere® Application Server 中,當使用者啟用了廣域安全時,會同時啟用管理和應用程式安全。 在 WebSphere Application Server 6.1 版中,先前的廣域安全記號分成管理安全和應用程式安全,可以個別啟用。

由於這個分割,WebSphere Application Server 用戶端必須知道目標伺服器是否停用了應用程式安全。 依預設,會啟用管理安全。 依預設,會停用應用程式安全。 如果要啟用應用程式安全,您必須啟用管理安全。 只有在啟用管理安全時,應用程式安全才有效。

預設值: 停用
利用 Java 2 安全來限制應用程式存取本端資源

指定要啟用或停用 Java 2 安全許可權檢查。 依預設,不會限制本端資源的存取。即使已啟用應用程式安全,您也可以選擇停用 Java 2 安全。

當您啟用使用 Java 2 安全來限制應用程式存取本端資源選項時,如果應用程式需要超出預設原則所授與的 Java 2 安全許可權,倘若沒有在應用程式的 app.policy 檔或 was.policy 檔中授與必要的許可權,應用程式可能無法順利執行。 未具備所有必要許可權的應用程式,會產生 AccessControl 異常狀況。 請參閱相關鏈結,以取得 Java 2 安全的相關資訊。

預設值: 停用
如果授與應用程式自訂許可權,便發出警告

指定在應用程式部署和應用程式啟動期間,如果將任何自訂許可權授與應用程式,安全執行時期就會發出警告。 自訂許可權是使用者應用程式所定義的許可權,不是 Java API 許可權。 Java API 許可權是 java.*javax.* 套件中的許可權。

應用程式伺服器會提供原則檔案管理支援。這個產品有若干原則檔,有些是靜態的,有些是動態的。動態原則是特殊資源類型的許可權範本。動態原則範本中沒有定義任何程式碼庫,也沒有使用任何相對的程式碼庫。 真正的程式碼庫是以動態方式,從配置及執行時期資料建立的。filter.policy 檔含有根據 J2EE 1.4 規格,您不想讓應用程式擁有的許可權清單。如需許可權的相關資訊,請參閱 Java 2 安全原則檔的相關鏈結。

重要: 當未啟用使用 Java 2 安全來限制應用程式存取本端資源選項時,您無法啟用這個選項。
預設值: 停用
限制存取資源鑑別資料

請啟用這個選項來限制應用程式存取機密的 Java 連接器架構 (JCA) 對映鑑別資料。

當下面兩個條件都符合時,請考慮啟用這個選項:
  • 強制實施 Java 2 安全。
  • 在應用程式企業保存檔 (EAR) 內的 was.policy 檔中,將 accessRuntimeClasses WebSphereRuntimePermission 許可權授與應用程式碼。比方說,如果 was.policy 檔有下面這一行,就會將許可權授與應用程式碼:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

限制存取資源鑑別資料選項會將定義精細的 Java 2 安全許可權檢查,新增至 WSPrincipalMappingLoginModule 實作的預設主體對映中。 當啟用使用 Java 安全來限制應用程式存取本端資源限制存取資源鑑別資料選項時,您必須為在 Java 鑑別和授權服務 (JAAS) 登入中直接使用 WSPrincipalMappingLoginModule 實作的 Java 2 Platform Enterprise Edition (J2EE) 應用程式,授與明確的許可權。

預設值: 停用
現行®網域範圍定義

指定作用中使用者儲存庫的現行設定。

這個欄位是唯讀的。

可用的網域範圍定義

指定可用的使用者帳戶儲存庫。

下拉清單中的選項包含:
  • 本端作業系統
  • 獨立式 LDAP 登錄
  • 獨立式自訂登錄
設為現行 [AIX Solaris HP-UX Linux Windows] [z/OS]

在啟用配置好的使用者儲存庫。

[AIX Solaris HP-UX Linux Windows] 當利用 UNIX® 的非 root 使用者身分執行或在多節點環境中執行時,需要 LDAP 或自訂使用者登錄。

您可以配置下列各種使用者儲存庫的設定:
聯合儲存庫
指定這項設定時,可管理單一網域範圍下多個儲存庫中的設定檔。網域範圍可由下列中的身分組成:
  • 內建於系統中的檔案型儲存庫
  • 一或多個外部儲存庫
  • 內建檔案型儲存庫和一或多個外部儲存庫兩者
註: 只有具備管理者專用權的使用者才能檢視聯合儲存庫配置。
本端作業系統

[z/OS] 如果您想以配置的「資源存取控制機能 (RACF®)」或符合「系統授權機能 (SAF)」標準的安全伺服器,來作為應用程式伺服器使用者登錄,請指定這項設定。

[AIX Solaris HP-UX Linux Windows] [iSeries] 在多重節點中,或在 UNIX 平台中以 root 以外的身分來執行時,您不能利用本端 OS。

[AIX Solaris HP-UX Linux Windows] 只有在使用網域控制站或 Network Deployment Cell 是位在單一機器時,本端作業系統登錄才能生效。 在後一種情況中,您不能將 Cell 中的多個節點散佈在多部機器中,因為使用本端 OS 使用者登錄的這個配置無效。

獨立式 LDAP 登錄

當使用者和群組是位在外部 LDAP 目錄中時,請指定這項設定來使用獨立式 LDAP 登錄。當啟用安全且任何這些內容有了改變時,請進入安全 > 廣域安全畫面,按一下套用確定來驗證變更。

註: 由於支援多部 LDAP 伺服器,因此,這項設定並不隱含單一 LDAP 登錄。
獨立式自訂登錄
請指定這項設定來實作您自己的獨立式自訂登錄,讓這項登錄實作 com.ibm.websphere.security.UserRegistry 介面。當啟用安全且這些內容有任何變更時,請進入「廣域安全」畫面,按一下套用確定來驗證變更。
預設值: 停用
配置...

選取這個項目,可配置廣域安全設定。

Web 和 SIP 安全

在「鑑別」下,展開「Web 和 SIP 安全」來檢視下列鏈結:

  • 一般設定
  • 單一登入 (SSO)
  • SPNEGO Web 鑑別
  • 信任關聯
一般設定

選取以指定 Web 鑑別的設定。

單一登入 (SSO)

選取以指定單一登入 (SSO) 的配置值。

如果使用 SSO 支援,當存取 WebSphere Application Server 資源〈例如 HTML、JavaServer Pages (JSP) 檔、Servlet、Enterprise Bean〉及 Lotus® Domino® 資源時,Web 使用者可以只鑑別一次。

SPNEGO Web 鑑別

簡單且受保護的 GSS-API 協議 (SPNEGO) 機制提供一種方法,供 Web 用戶端和伺服器協議用來允許通訊的 Web 鑑別通訊協定。

信任關聯

選取以指定信任關聯的設定。 信任關聯用來將反向 Proxy 伺服器連接到應用程式伺服器。

您可以使用廣域安全設定,也可以自訂網域的設定。

註: 將信任關聯攔截程式 (TAI) 用於 SPNEGO 鑑別已經淘汰。 現在,SPNEGO Web 鑑別畫面提供了更簡單的 SPNEGO 配置方式。
RMI/IIOP 安全

在「鑑別」下,展開「RMI/IIOP 安全」來檢視下列鏈結:

  • CSIv2 入埠通訊
  • CSIv2 出埠通訊
CSIv2 入埠通訊

選取以指定接收之要求的鑑別設定,以及這部伺服器利用 Object Management Group (OMG) Common Secure Interoperability (CSI) 鑑別通訊協定來接受之連線的傳輸設定。

鑑別特性包含三層可以同時使用的鑑別:
  • CSIv2 屬性層。 屬性層可包含本身是來自上游伺服器的身分且已通過鑑別的身分記號。身分識別層的優先順序最高,接著是訊息層,最後是傳輸層。 如果用戶端三層全部傳送,就只會使用身分識別層。 只有在 SSL 用戶端憑證是要求期間所提供的唯一資訊時,才會使用 SSL 用戶端憑證作為身分。 用戶端會從名稱空間中選出交互作業物件參照 (IOR),並從標示的元件中讀取這些值來判斷伺服器在安全方面的需求。
  • CSIv2 傳輸層。 傳輸層是最低層,可包含 Secure Socket Layer (SSL) 用戶端憑證作為身分識別。
  • [iSeries] [AIX Solaris HP-UX Linux Windows] CSIv2 訊息層。 訊息層可包含使用者 ID 和密碼,或含期限之通過鑑別的記號。
CSIv2 出埠通訊

選取以指定傳送之要求的鑑別設定,以及伺服器利用 Object Management Group (OMG) Common Secure Interoperability (CSI) 鑑別通訊協定來起始之連線的傳輸設定。

鑑別特性包含三層可以同時使用的鑑別:
  • CSIv2 屬性層。 屬性層可包含本身是來自上游伺服器的身分且已通過鑑別的身分記號。身分識別層的優先順序最高,接著是訊息層,最後是傳輸層。 如果用戶端三層全部傳送,就只會使用身分識別層。 只有在 SSL 用戶端憑證是要求期間所提供的唯一資訊時,才會使用 SSL 用戶端憑證作為身分。 用戶端會從名稱空間中選出交互作業物件參照 (IOR),並從標示的元件中讀取這些值來判斷伺服器在安全方面的需求。
  • CSIv2 傳輸層。 傳輸層是最低層,可包含 Secure Socket Layer (SSL) 用戶端憑證作為身分識別。
  • [iSeries] [AIX Solaris HP-UX Linux Windows] CSIv2 訊息層。 訊息層可包含使用者 ID 和密碼,或含期限之通過鑑別的記號。
Java 鑑別和授權服務

在「鑑別」下,展開「Java 鑑別和授權服務」來檢視下列鏈結:

  • 應用程式登入
  • 系統登入
  • J2C 鑑別資料
應用程式登入

選取以定義 JAAS 所用的登入配置。

請勿移除 ClientContainer、DefaultPrincipalMapping 和 WSLogin 登入配置,因為其他應用程式可能會使用它們。 如果移除了這些配置,其他應用程式可能會失敗。

系統登入

選取以定義系統資源所用的 JAAS 登入配置,其中包括鑑別機制、主體對映和認證對映。

J2C 鑑別資料

選取以指定 Java 鑑別和授權服務 (JAAS) Java 2 Connector (J2C) 鑑別資料的設定。

您可以使用廣域安全設定,也可以自訂網域的設定。

LTPA

選取以加密鑑別資訊,以便應用程式伺服器以安全方式,在伺服器之間傳送資料。

在伺服器之間交換的鑑別資訊,其加密涉及小型認證機構 (LTPA) 機制。

Kerberos 和 LTPA

選取以加密鑑別資訊,以便應用程式伺服器以安全方式,在伺服器之間傳送資料。

在伺服器之間交換的鑑別資訊,其加密涉及 Kerberos 機制。
註: Kerberos 必須先配置好,才能選取這個選項。
Kerberos 配置

選取這個項目,可以加密鑑別資訊,使應用程式伺服器能夠以安全方式,在伺服器之間傳送資料。

在伺服器之間交換的鑑別資訊,其加密涉及 LTPA 機制的 KRB5。

鑑別快取設定

選取這個項目,可以設定您的鑑別快取設定。

使用網域範圍限定使用者名稱

指定用方法(如 getUserPrincipal() 方法)所在的安全網域範圍來限定方法傳回的使用者名稱。

安全網域

請利用「安全網域」鏈結來配置使用者應用程式的其他安全配置。

比方說,如果您想要在一組使用者應用程式上,使用不同於廣域層次所用的使用者登錄,您可以使用這個使用者登錄來建立安全配置,再將它關聯於這組應用程式。 這些其他安全配置可以關聯於各種範圍(Cell、叢集/伺服器、SIBuses)。 安全配置關聯於某個範圍之後,這個範圍內的所有使用者應用程式都會使用這個安全配置。 如需更多詳細資訊,請參閱多重安全網域。

對於每個安全屬性,您可以使用廣域安全設定,也可以自訂網域的設定。

外部授權提供者

選取以指定使用預設授權配置或外部授權提供者。

外部提供者必須是基於 Java Authorization Contract for Containers (JACC) 規格,才能處理 Java™ 2 Platform Enterprise Edition (J2EE) 授權。 除非您將外部安全提供者配置成 JACC 授權提供者,否則,請勿修改授權提供者畫面上的任何設定。

自訂內容

選取以指定資料的名稱/值配對,其中名稱是內容索引鍵,值是字串。




標示(線上)的鏈結表示需要存取網際網路。

相關概念
相關工作
[AIX Solaris HP-UX Linux Windows] [iSeries]
相關參考
RSA 記號鑑別設定
鑑別機制和期限
本端作業系統設定
獨立式 LDAP 登錄設定
[z/OS] 控制項摘要
獨立式自訂登錄設定
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
配置安全網域
相關資訊
[AIX Solaris HP-UX Linux Windows] [iSeries] 加密模組驗證程式 (線上)


檔名: usec_secureadminappinfra.html