Verwenden Sie diese Seite, um die Sicherheitsattribute einer Domäne zu konfigurieren und die Domäne Zellenressourcen zuzuordnen. Für jedes Sicherheitsattribut können Sie die globalen Sicherheitseinstellungen verwenden oder Einstellungen für diese Domäne anpassen.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Sicherheitsdomänen. Auf der Seite "Sicherheitsdomänen" können Sie eine vorhandene Domäne zum Konfigurieren auswählen, eine neue Domäne erstellen oder eine vorhandene Domäne kopieren.
Die Informationen im Artikel Mehrere Sicherheitsdomänen werden Ihnen helfen, besser zu verstehen, was Sicherheitsdomänen sind und wie diese Version von WebSphere Application Server mehrere Sicherheitsdomänen unterstützt.
Gibt einen eindeutigen Namen für die Domäne an. Dieser Name kann nach der Übergabe nicht mehr geändert werden.
Ein Domänenname muss innerhalb einer Zelle eindeutig sein und darf keine ungültigen Zeichen enthalten.
Gibt eine Beschreibung für die Domäne an.
Wählen Sie diese Option aus, um die Zellentopologie anzuzeigen. Sie können die Sicherheitsdomäne der gesamten Zelle zuordnen oder bestimmte Cluster, Knoten und SIBs (Service Integration Bus) auswählen, die in die Sicherheitsdomäne aufgenommen werden sollen.
Wenn Sie Alle Geltungsbereiche auswählen, wird die gesamte Zellentopologie angezeigt.
Wenn Sie Zugeordnete Geltungsbereiche auswählen, wird die Zellentopologie mit den Servern und Clustern angezeigt, die der aktuellen Domäne zugeordnet sind.
Der Name einer explizit zugeordneten Domäne wird neben jeder Ressource angezeigt. Ausgewählte Felder kennzeichnen Ressourcen, die der Domäne derzeit zugeordnet sind. Sie können auch weitere Ressourcen auswählen und auf Anwenden oder OK klicken, um sie der aktuellen Domäne zuzuordnen.
Eine nicht markierte Ressource (inaktiviert) gibt an, dass sie der aktuellen Domäne nicht zugeordnet ist und aus einer anderen Domäne entfernt werden muss, damit sie für die aktuelle Domäne aktiviert werden kann.
Wenn eine Ressource keine explizit zugeordnete Domäne hat, wird die der Zelle zugeordnete Domäne verwendet. Wenn der Zelle keine Domäne zugeordnet ist, verwendet die Ressource globale Einstellungen.
Es ist nicht möglich, einzelne Cluster-Member Domänen zuzuordnen. Für alle Cluster-Member eines Clusters wird dieselbe Domäne verwendet.
Wählen Sie Anwendungssicherheit aktivieren aus, um die Sicherheit für Benutzeranwendungen zu aktivieren oder zu inaktivieren. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Ist diese Option inaktiviert, werden die EJBs und Webanwendungen der Sicherheitsdomäne nicht mehr geschützt. Der Zugriff auf diese Ressourcen wird dann ohne Benutzerauthentifizierung gewährt. Wenn Sie diese Option aktivieren, wird die J2EE-Sicherheit für alle EJBs und Webanwendungen in der Sicherheitsdomäne durchgesetzt. Voraussetzung hierfür ist, dass die globale Sicherheit in der globalen Sicherheitskonfiguration aktiviert ist. (Sie können die Anwendungssicherheit erst aktivieren, nachdem Sie die globale Sicherheit auf globaler Ebene aktiviert haben.)
Aktiviert die Sicherheit für die Anwendungen in Ihrer Umgebung. Diese Art der Sicherheit ermöglicht die Isolierung von Anwendungen und Anforderungen für eine Authentifizierung von Anwendungsbenutzern.
Wenn in früheren Releases von WebSphere Application Server die globale Sicherheit aktiviert wurde, war damit sowohl die Verwaltungssicherheit als auch die Anwendungssicherheit aktiviert. In WebSphere Application Server Version 6.1 hat sich das frühere Konzept der globalen Sicherheit geändert. Es gibt jetzt eine Verwaltungssicherheit und eine Anwendungssicherheit, die unabhängig voneinander aktiviert werden können.
Aufgrund dieser Unterteilung müssen WAS-Clients wissen, ob auf dem Zielserver die Anwendungssicherheit inaktiviert ist. Standardmäßig ist die Verwaltungssicherheit aktiviert. Die Anwendungssicherheit ist standardmäßig inaktiviert. Wenn Sie die Anwendungssicherheit aktivieren möchten, müssen Sie zunächst die Verwaltungssicherheit aktivieren. Die Anwendungssicherheit ist nur bei aktivierter Verwaltungssicherheit wirksam.
Ist diese Option inaktiviert, werden die EJBs und Webanwendungen der Sicherheitsdomäne nicht mehr geschützt. Der Zugriff auf diese Ressourcen wird dann ohne Benutzerauthentifizierung gewährt. Wenn Sie diese Option aktivieren, wird die J2EE-Sicherheit für alle EJBs und Webanwendungen in der Sicherheitsdomäne durchgesetzt. Voraussetzung hierfür ist, dass die globale Sicherheit in der globalen Sicherheitskonfiguration aktiviert ist. (Sie können die Anwendungssicherheit erst aktivieren, nachdem Sie die globale Sicherheit auf globaler Ebene aktiviert haben.)
Wählen sie Java-2-Sicherheit verwenden aus, um die Java-2-Sicherheit auf Domänenebene zu aktivieren oder zu inaktivieren oder um Eigenschaften zuzuordnen oder hinzuzufügen, die sich auf die Java-2-Sicherheit beziehen. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Diese Option aktiviert oder inaktiviert die Java-2-Sicherheit auf Prozessebene (JVM), so dass alle Anwendungen (Verwaltungs- und Benutzeranwendungen) die Java-2-Sicherheit aktivieren oder inaktivieren können.
Wählen Sie diese Option aus, wenn die globalen Sicherheitseinstellungen verwendet werden sollen.
Wählen Sie diese Option aus, um anzugeben, dass die in der Domäne definierten Einstellungen, wie z. B. Optionen zum Aktivieren der Anwendungs- und Java-2-Sicherheit, und Realm-qualifizierte Authentifizierungsdaten verwendet werden sollen.
Legt fest, ob die Überprüfung der Java-2-Sicherheitsberechtigung aktiviert oder inaktiviert wird. Standardmäßig ist der Zugriff auf lokale Ressourcen nicht eingeschränkt. Sie können festlegen, dass die Java-2-Sicherheitseinrichtung auch bei Aktivierung der Anwendungssicherheit inaktiviert werden soll.
Wenn die Option Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken aktiviert ist und eine Anwendung mehr Java-2-Sicherheitsberechtigungen benötigt, als in der Standard-Policy angegeben sind, wird die Anwendung möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei app.policy oder was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen Berechtigungen besitzen, generieren AccessControl-Ausnahmen.
Gibt an, dass die Sicherheit bei der Implementierung und beim Start der Anwendung eine Warnung ausgibt, wenn Anwendungen angepasste Berechtigungen erteilt werden. Angepasste Berechtigungen werden von den Benutzeranwendungen, nicht von Java-API-Berechtigungen definiert. Java-API-Berechtigungen sind Berechtigungen in den Paketen package java.* und javax.*.
Der Anwendungsserver bietet Unterstützung für die Verwaltung von Richtliniendateien. Es gibt in diesem Produkt eine Reihe von Richtliniendateien, von denen einige statisch und andere dynamisch sind. Eine dynamische Richtlinie ist eine Schablone mit Berechtigungen für einen bestimmten Ressourcentyp. In der Schablone für dynamische Richtlinien wird keine Codebasis definiert und keine zugehörige Codebasis verwendet. Die eigentliche Codebasis wird aus den Konfigurations- und Laufzeitdaten dynamisch erstellt. Die Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der J2EE-1.4-Spezifikation nicht haben dürfen.
Diese Option ist inaktiviert, wenn die Java-2-Sicherheit nicht aktiviert wurde.
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken erweitert die Standard-Principal-Zuordnung der WSPrincipalMappingLoginModule-Implementierung um eine differenzierte Überprüfung der Java-2-Sicherheitsberechtigungen. Sie müssen J2EE-Anwendungen (Java 2 Platform, Enterprise Edition), die die WSPrincipalMappingLoginModule-Implementierung verwenden, die Berechtigung explizit in der JAAS-Anmeldung (Java Authentication and Authorization Service) gewähren, wenn die Optionen Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken und Zugriff auf Ressourcenauthentifizierungsdaten einschränken aktiviert sind.
Standardeinstellung | Inaktiviert |
In diesem Abschnitt können Sie die Benutzer-Registry für die Sicherheitsdomäne konfigurieren. Sie können jede Registry gesondert konfigurieren. Dies gilt mit Ausnahme der Verbund-Registry, die auf Domänenebene verwendet wird. Das zusammengefasste Repository kann nur auf globaler Ebene konfiguriert, aber auf Domänenebene verwendet werden.
Wenn Sie eine Registry auf Domänenebene konfigurieren, können Sie Ihren eigenen Realm-Namen für die Registry definieren. Anhand des Realm-Namens können Benutzer-Registrys voneinander unterschieden werden. Der Realm-Name wird an mehreren Stellen verwendet: in der Anmeldeanzeige des Java-Clients mit der Eingabeaufforderung an den Benutzer, im Authentifizierungscache und bei Verwendung der nativen Berechtigung.
Auf der Ebene der globalen Konfiguration erstellt das System den Realm für die Benutzer-Registry. In früheren Releases von WebSphere Application Server wird nur eine Benutzer-Registry im System konfiguriert. Wenn mehrere Sicherheitsdomänen vorhanden sind, können Sie mehrere Registrys im System konfigurieren. Damit die Realms in diesen Domänen eindeutig sind, konfigurieren Sie einen eigenen Realm-Namen für die Sicherheitsdomäne. Sie können auch auswählen, dass vom System ein eindeutiger Realm-Name erstellt werden soll, wenn dieser eindeutig genug ist. In diesem Fall basiert der Realm-Name auf der verwendeten Registry.
Wählen Sie diese Option aus, um die Einstellungen für die Trust-Association anzugeben. Die Trust-Association wird verwendet, um Reverse-Proxy-Server mit den Anwendungsservern zu verbinden.
Die Trust-Association ermöglicht die Integration der Sicherheit von IBM WebSphere Application Server und Sicherheitsservern anderer Anbieter. Insbesondere kann ein Reverse-Proxy-Server als Front-End-Authentifizierungsserver arbeiten, während das Produkt seine eigene Berechtigungs-Policy auf die sich ergebenden Berechtigungsnachweise anwendet, die vom Proxy-Server weitergegeben werden.
Die Trust Accociation Interceptor (TAI) von Tivoli Access Manager können nur auf globaler Ebene konfiguriert werden. Die Domänenkonfiguration kann sie ebenfalls verwenden, sie darf aber keine andere TAI-Version (Trust Association Interceptor) haben. Es kann nur jeweils eine Instanz der TAIs von Tivoli Access Manager im System vorhanden sein.
Wählen Sie diese Option aus, um auf die Trust-Informationen für Reverse-Proxy-Server zuzugreifen und um diese anzugeben.
Wählen Sie diese Option aus, um die Integration der Sicherheit von IBM WebSphere Application Server und Sicherheitsservern anderer Anbieter zu aktivieren. Insbesondere kann ein Reverse-Proxy-Server als Front-End-Authentifizierungsserver arbeiten, während das Produkt seine eigene Berechtigungs-Policy auf die sich ergebenden Berechtigungsnachweise anwendet, die vom Proxy-Server weitergegeben werden.
Gibt die Einstellungen für Simple and Protected GSS-API Negotiation (SPNEGO) als Webauthentifizierungsmechanismus an.
Über die SPNEGO-Webauthentifizierung können Sie SPNEGO für die Authentifizierung von Webressourcen auf der Domänenebene konfigurieren.
Gibt die Einstellungen für Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP) an.
Ein Object Request Broker (ORB) verwaltet die Interaktion zwischen Clients und Servern mit dem Protokoll IIOP (Internet InterORB Protocol). Er ermöglicht Clients, in einer Netzumgebung Anforderungen abzusetzen und Antworten von Servern zu empfangen.
Wenn Sie diese Attribute auf Domänenebene konfigurieren, wird für Ihren Komfort die RMI/IIOP-Sicherheitskonfiguration auf globaler Ebene kopiert. Sie können die Attribute ändern, die auf der Domänenebene einen anderen Wert haben sollen. Die Einstellungen der Transportschicht für die eingehende CSIv2-Kommunikation sollten auf globaler Ebene und Domänenebene übereinstimmen. Unterscheiden sich diese Einstellungen, werden die Attribute der Domänenebene auf alle Anwendungen des Prozesses angewendet.
Wenn ein Prozess mit einem anderen Prozess in einem anderen Realm kommuniziert, werden die LTPA-Authentifizierung und die Weitergabetoken nur dann an den Downstream-Server weitergegeben, wenn dieser Server in der Liste der anerkannten abgehenden Realms enthalten ist. Hierzu kann der Link Anerkannte Authentifizierungs-Realms - abgehend in der Anzeige Abgehende CSIv2-Kommunikation verwendet werden.
Wählen Sie diese Option aus, um Authentifizierungseinstellungen für empfangene Anforderungen und Transporteinstellungen für Verbindungen festzulegen, die von diesem Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) akzeptiert werden.
In WebSphere Application Server können Sie die IIOP-Authentifizierung (Internet Inter-ORB Protocol) für eingehende und abgehende Authentifizierungsanforderungen angeben. Für eingehende Anforderungen können Sie den akzeptierten Authentifizierungstyp angeben, z. B. Basisauthentifizierung.
Wählen Sie diese Option aus, um Authentifizierungseinstellungen für gesendete Anforderungen und Transporteinstellungen für Verbindungen festzulegen, die von diesem Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) eingeleitet werden.
In WebSphere Application Server können Sie die IIOP-Authentifizierung (Internet Inter-ORB Protocol) für eingehende und abgehende Authentifizierungsanforderungen angeben. Für abgehende Anforderungen können Sie Eigenschaften angeben, z. B. Authentifizierungstyp, Zusicherung der Identität oder Anmeldekonfigurationen, die für Anforderungen an nachgeschaltete (Downstream-) Server verwendet werden.
Wählen Sie diese Option aus, um Anmeldekonfigurationen zu definieren, die von JAAS verwendet werden.
Auf der Domänenebene können Sie die Anwendungsanmeldungen mit dem JAAS, die Systemanmeldungen mit dem JAAS und die JAAS-Aliasnamen für J2C-Authentifizierungsdaten konfigurieren. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JAAS-Anmeldungen, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JAAS-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie diese JAAS-Anmeldungen nur auf Domänenebene, wenn Sie eine Anmeldung angeben müssen, die exklusiv von den Anwendungen in der Sicherheitsdomäne verwendet wird.
Für JAAS- und angepasste Eigenschaften gilt, dass sie nach der Anpassung der globalen Attribute für die Domäne weiterhin von Benutzeranwendungen verwendet werden können.
Entfernen Sie die Anmeldekonfigurationen ClientContainer, DefaultPrincipalMapping und WSLogin nicht, weil diese unter Umständen von anderen Anwendungen verwendet werden. Wenn diese Konfigurationen entfernt werden, können in anderen Anwendungen Fehler auftreten.
Wählen Sie diese Option aus, um anzugeben, dass die in der Domäne definierten Einstellungen, wie z. B. Optionen zum Aktivieren der Anwendungs- und Java-2-Sicherheit, und Realm-qualifizierte Authentifizierungsdaten verwendet werden sollen.
Gibt die Konfigurationseinstellungen für die Systemanmeldungen mit dem JAAS an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Konfigurationseinstellungen für eine Domäne anpassen.
Wählen Sie dieser Option aus, um die JAAS-Anmeldekonfigurationen zu definieren, die von Systemressourcen verwendet werden, einschließlich des Authentifizierungsverfahrens, der Principal-Zuordnung und der Berechtigungsnachweiszuordnung.
Gibt die Einstellungen für die JAAS-J2C-Authentifizierungsdaten an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
J2C-Authentifizierungsdateneinträge werden von Ressourcenadaptern und JDBC-Datenquellen verwendet.
Wählen Sie diese Option aus, um anzugeben, dass die in der Domäne definierten Einstellungen, wie z. B. Optionen zum Aktivieren der Anwendungs- und Java-2-Sicherheit, und Realm-qualifizierte Authentifizierungsdaten verwendet werden sollen.
Gibt die verschiedenen Cacheeinstellungen an, die auf Domänenebene angewendet werden müssen.
Gibt die Einstellungen für den Berechtigungsprovider an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Auf Domänenebene können Sie einen externen JACC-Provider (Java Authorization Contract for Containers) eines Fremdanbieters konfigurieren. Der JACC-Provider von Tivoli Access Manager kann nur auf globaler Ebene konfiguriert werden. Sicherheitsdomänen können diesen Provider dennoch verwenden, wenn Sie den Berechtigungsprovider nicht durch einen anderen JACC-Provider oder durch die integrierte native Autorisierung außer Kraft setzen.
Wählen Sie Standardberechtigung oder Externe Berechtigung mit einem JACC-Provider aus. Die Schaltfläche Konfigurieren ist nur aktiviert, wenn Externe Berechtigung mit einem JACC-Provider ausgewählt ist.
Wenn Sie für die SAF-Berechtigung (System Authorization Facility) das
SAF-Profilpräfix auf Domänenebene festlegen, wird es auf Serverebene angewendet, so dass alle
Anwendungen (Verwaltungs- und Benutzeranwendungen) dieses Präfix in diesem Server aktivieren oder inaktivieren.
Gibt die Einstellungen für z/OS an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Wählen Sie diese Option aus, um Name/Wert-Datenpaare anzugeben, in denen der Name ein Eigenschaftsschlüssel und der Wert eine Zeichenfolge ist.
Legen Sie auf der Domänenebene angepasste Eigenschaften fest, die entweder neue Eigenschaften sind oder sich von den auf globaler Ebene festgelegten Eigenschaften unterscheiden. Standardmäßig können alle Anwendungen im System auf die angepassten Eigenschaften der globalen Sicherheitskonfiguration zugreifen. Der Code der Sicherheitslaufzeit prüft zunächst, ob es angepasste Eigenschaften auf Domänenebene gibt. Werden keine solchen gefunden, versucht die Laufzeit, die Eigenschaften aus der globalen Sicherheitskonfiguration abzurufen.
Klicken Sie auf Standardrichtliniensatzbindungen, um die Standardprovider- und -clientbindungen für die Domäne festzulegen.
Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.