Utilizaţi acest panou pentru a configura administrarea şi politica de securitate aplicaţie implicită. Această configurare a securităţii se aplică politicii de securitate pentru toate funcţiile administrative şi este utilizată ca politică de securitate implicită pentru aplicaţiile de utilizator. Domeniile de securitate pot fi definite pentru a înlocui şi a personaliza politicile de securitate pentru aplicaţiile de utilizator.
Pentru a vizualiza această pagină de consolă administrativă, apăsaţi pe Securitate > Securitate globală.
Securitatea are impact de performanţă asupra aplicaţiilor dumneavoastră. Impactul performanţei poate varia în funcţie de caracteristicile încărcării de lucru a aplicaţiei. Mai întâi trebuie să determinaţi că este activat nivelul necesar de securitate pentru aplicaţiile dumneavoastră, şi apoi să măsuraţi impactul securităţii asupra performanţei aplicaţiilor dumneavoastră.
Când este configurată securitatea, validaţi toate modificările asupra registrului de utilizatori sau a panourilor de mecanism de autentificare. Apăsaţi pe Aplicare pentru a valida setările registrului de utilizatori. Se face o încercare de a autentifica ID-ul serverului sau de a valida ID-ul admin (dacă se utilizează internalServerID) la registrul de utilizatori configurat. Validarea setărilor registrului de utilizatori după activarea securităţii administrative poate evita problemele când reporniţi serverul prima dată.
Lansează un vrăjitor care vă permite să configuraţi setările de securitate a aplicaţiei şi administrative de bază. Acest proces restricţionează task-urile administrative şi aplicaţiile la utilizatorii autorizaţi.
Utilizând acest vrăjitor, puteţi configura securitatea aplicaţiei, securitatea resurselor sau Java 2 Connector (J2C) şi un registru de utilizatori. Puteţi configura un registru existent şi puteţi activa securitatea administrativă, de aplicaţie şi de resurse.
Când aplicaţi modificările făcute utilizând vrăjitorul de configurare a securităţii, securitatea administrativă este activată implicit.
Lansează un raport care adună şi afişează setările de securitate curente ale serverului de aplicaţii. Sunt adunate informaţii despre setările de securitate ale nucleului, utilizatori administrativi şi grupuri, roluri de numire CORBA şi protecţia cookie-urilor. Când sunt configurate mai multe domenii de securitate, raportul afişează configuraţia de securitate asociată cu fiecare domeniu.
O limitare curentă a raportului este aceea că nu afişează informaţiile de securitate la nivelul aplicaţiei. De asemenea, raportul nu afişează informaţii despre securitatea Java Message Service (JMS), securitatea magistralelor sau securitatea serviciilor web.
Specifică dacă să se activeze securitate administrativă pentru acest domeniu de server de aplicaţii. Securitatea administrativă necesită ca utilizatorii să se autentifice înainte de a obţine controlul administrativ asupra serverului de aplicaţii.
Pentru informaţii suplimentare, consultaţi legăturile înrudite pentru roluri administrative şi autentificare administrativă.
Când activaţi securitatea, setaţi configurarea mecanismului de autentificare şi specificaţi un ID de utilizator şi o parolă valide (sau un ID admin valid cânf se utilizează caracteristica internalServerID) în configuraţia registrului selectat.
Puteţi specifica opţiunea taskul z/OS pornit numai când registrul de utilizatori este Local OS.
Dacă aveţi probleme, cum ar fi că serverul nu porneşte după activarea securităţii în domeniul de securitate, resincronizaţi toate fişierele din celulă la acest nod. Pentru a resincroniza fişierele, rulaţi urrmătoarea comandă din nod: syncNode -username your_userid -password your_password. Această comandă se conectează la managerul de implementare şi resincronizează toate fişierele.
Dacă serverul dumneavoastră nu reporneşte după ce activaţi securitatea administrativă, puteţi dezactiva securitatea. Deplasaţi-vă la directorul app_server_root/bin şi rulaţi comanda wsadmin -conntype NONE. La promptul wsadmin>, introduceţi securityoff şi apoi tastaţi exit pentru a reveni la un prompt de comandă. Reporniţi serverul cu securitatea dezactivată pentru a verifica toate setările incorecte prin consola administrativă.
Utilizatorii registrului de utilizatori Local OS: Când selectaţi Local OS ca registru de utilizatori activ, nu este nevoie să furnizaţi o parolă în configuraţia registrului de utilizatori.
Implicit: | Activat |
Activează securitatea pentru aplicaţiile din mediul dumneavoastră. Acest tip de securitate furnizează izolarea aplicaţiei şi cerinţe pentru autentificarea utilizatorilor aplicaţiei
În ediţiile anterioare ale WebSphere Application Server, când un utilizator activa securitatea globală, erau activate şi securitatea administrativă şi cea de aplicaţie. În WebSphere Application Server Versiunea 6.1, noţiunea anterioară de securitate globală este împărţită în securitate administrativă şi securitate de aplicaţie, pe fiecare dintre ele putând-o activa separat.
Ca rezultat al acestei împărţiri, clienţii WebSphere Application Server trebuie să ştie dacă securitatea aplicaţiei este dezactivată la serverul destinaţie. Securitatea administrativă este activată implicit. Securitatea aplicaţiei este dezactivată implicit. Pentru a activa securitatea aplicaţiei, trebuie să activaţi securitatea administrativă. Securitatea aplicaţiei are efect numai când este activată securitatea administrativă.
Implicit: | Dezactivat |
Specifică dacă să se activeze sau să se dezactiveze verificarea permisiunii securităţii Java 2. Implicit, accesul la resursele locale nu este restricţionat. Puteţi alege să dezactivaţi securitatea Java 2, chiar atunci când este activată securitatea aplicaţiei.
Când este activată opţiunea Utilizare securitate Java 2 pentru a restricţiona accesul aplicaţiei la resurse locale şi dacă o aplicaţie necesită mai multe permisiuni de securitate Java 2 decât îi sunt acordate în politica implicită, aplicaţia ar putea eşua să ruleze corespunzător până când permisiunile necesare sunt acordate în fişierul app.policy sau în fişierul was.policy al aplicaţiei. Excepţiile AccessControl sunt generate de aplicaţii care nu au toate permisiunile necesare. Consultaţi legăturile înrudite pentru informaţii suplimentare despre securitatea Java 2.
Implicit: | Dezactivat |
Specifică faptul că în timpul implementării aplicaţiei şi al pornirii aplicaţiei, runtime-ul de securitate emite un avertisment dacă aplicaţiilor li se acordă vreo permisiune personalizată. Permisiunile personalizate sunt permisiuni care sunt definite de aplicaţiile de utilizator, nu permisiuni API Java. Permisiunile API Java sunt permisiuni din pachetele java.* and javax.*.
Serverul de aplicaţii furnizează suport pentru gestiunea fişierelor de politici. Un număr de fişiere de politici sunt disponibile în acest produs, unele dintre ele sunt statice şi altele dinamice. Politica dinamică este un şablon de permisiuni pentru un anumit tip de resursă. Nu este definită nici o bază de cod şi nu se utilizează nici o bază de cod relativă în şablonul politicii dinamice. Baza de cod reală este creată dinamic din configuraţie şi datele de runtime. Fişierul filter.policy conţine o listă de permisiuni pe care nu doriţi ca o aplicaţie să le aibă, conform Specificaţiei J2EE 1.4. Pentru informaţii suplimentare despre permisiuni, consultaţi legătura înrudită despre fişierele de politică de securitate Java 2.
Implicit: | Dezactivat |
Activaţi această opţiune pentru a restricţiona accesul aplicaţiei la date sensibile de autentificare a mapării Java Connector Architecture (JCA).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Opţiunea Restricţionare acces la datele de autentificare resursă adaugă o verificare a permisiunii de securitate Java 2 cu granulaţie fină la maparea principală implicită a implementării WSPrincipalMappingLoginModule. Trebuie să acordaţi permisiune explicită aplicaţiilor Java 2 Platform, Enterprise Edition (J2EE) care utilizează implementarea WSPrincipalMappingLoginModule direct în logarea Java Authentication and Authorization Service (JAAS) când sunt activate opţiunile Utilizare securitate Java 2 pentru a restricţiona accesul aplicaţiei la resursele locale şi Restricţionare acces la datele de autentificare resursă.
Implicit: | Dezactivat |
Specifică setarea curentă pentru magazia de utilizatori activi.
Acest câmp este numai-citire.
Specifică magaziile de conturi de utilizator disponibile.
Activează magazia de utilizatori după ce este configurată.
LDAP sau un registru de utilizatori personalizat este necesar când se rulează ca utilizator UNIX non-root sau într-un mediu cu mai multe noduri.
Specificaţi această setare dacă doriţi ca serverul dumneavoastră de securitate conform SAF (System Authorization Facility) sau Resource Access Control Facility (RACF) configurat să fie utilizat ca registru de utilizatori al serverului de aplicaţii.
Nu puteţi utiliza localOS în multi-nod sau când rulează ca non-root pe o platformă UNIX.
Registrul sistemului de operare local este valid numai când utilizaţi un controler de domeniu sau celula de Implementare reţea se află pe o singură maşină. În cazul din urmă, nu puteţi împrăştia mai multe noduri dintr-o celulă pe mai multe maşini pentru că această configuraţie, utilizând registrul de utilizatori al sistemului de operare local, nu este validă.
Specificaţi această setare pentru a utiliza setările registrului LDAP independent când utilizatorii şi grupurile se află într-un director LDAP extern. Când este activată securitatea şi vreuna dintre aceste proprietăţi se modifică, deplasaţi-vă la panoul Securitate > Securitate globală şi apăsaţi pe Aplicare sau OK pentru a valida modificările.
Implicit: | Dezactivat |
Selectaţi pentru a configura setările de securitate globală.
Din Autentificare, expandaţi Securitate SIP şi web pentru a vedea legăturile la:
Selectaţi pentru a specifica setările pentru autentificare web.
Selectaţi pentru a specifica valorile de configurare pentru semnare unică (SSO).
Cu suport SSO, utilizatorii web se pot autentifica o dată când accesează şi resursele WebSphere Application Server, cum ar fi fişiere JavaServer Pages (JSP), HTML, servlet-uri, bean-uri de întreprindere şi resurse Lotus Domino.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) furnizează o modalitate pentru clienţii web şi server să negocieze protocolul de autentificare web care este utilizat pentru a permite comunicaţii.
Selectaţi să se specifice setările pentru asocierea de încredere. Asocierea de încredere este utilizată pentru a conecta serverele proxy invers la serverele de aplicaţii.
Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.
Din Autentificare, expandaţi securitatea RMI/IIOP pentru a vizualiza legăturile la:
Selectaţi pentru a specifica setările de autentificare pentru cereri care sunt primite şi setări de transport pentru conexiuni care sunt acceptate de acest server utilizând protocolul de autentificare Object Management Group (OMG) Common Secure Interoperability (CSI).
Selectaţi pentru a specifica setările de autentificare pentru cereri care sunt trimise şi setări de transport pentru conexiuni care sunt iniţiate de server utilizând protocolul de autentificare Object Management Group (OMG) Common Secure Interoperability (CSI).
Din Autentificare, expandaţi Java authentication and authorization service pentru a vizualiza legături la:
Selectaţi pentru a defini configuraţiile de logare care sunt utilizate de JAAS.
Nu înlăturaţi configuraţiile de logare ClientContainer, DefaultPrincipalMapping şi WSLogin pentru că alte aplicaţii le-ar putea utiliza. Dacă aceste configuraţii sunt înlăturate, alte aplicaţii ar putea eşua.
Selectaţi pentru a defini configuraţiile de logare JAAS care sunt utilizate de resursele sistemului, inclusiv mecanismul de autentificare, maparea principală şi maparea acreditărilor.
Selectaţi pentru a specifica setările pentru datele de autentificare Java Authentication and Authorization Service (JAAS) Java 2 Connector (J2C).
Puteţi utiliza setările de securitate globală sau personalizaţi setările pentru un domeniu.
Selectaţi să criptaţi informaţiile de autentificare astfel încât serverul de aplicaţii să poată trimite datele de la un server la altul într-o manieră sigură (securizată).
Criptarea informaţiilor de autentificare care sunt schimbate între servere implică mecanismul LTPA (Lightweight Third-Party Authentication).
Selectaţi să criptaţi informaţiile de autentificare astfel încât serverul de aplicaţii să poată trimite datele de la un server la altul într-o manieră sigură (securizată).
Selectaţi să criptaţi informaţiile de autentificare astfel încât serverul de aplicaţii să poată trimite date de la un server la altul într-o manieră sigură (securizată).
Criptarea informaţiilor de autentificare care sunt schimbate între servere implică mecanismul KRB5 de LTPA.
Selectaţi pentru a vă seta setările de cache de autentificare.
Specifică faptul că numele de utilizator care sunt returnate de metode, cum ar fi metoda getUserPrincipal(), sunt calificate cu regiunea de securitate în care se află.
Utilizaţi legătura Domeniu securitate pentru a configura configuraţii de securitate suplimentare pentru aplicaţiile de utilizator.
De exemplu, dacă doriţi să utilizaţi un alt registru de utilizatori pentru un set de aplicaţii de utilizator decât cel utilizat la nivelul global, puteţi crea o configuraţie de securitate cu acel registru de utilizatori şi îl asociaţi cu acel set de aplicaţii. Aceste configuraţii de securitate suplimentare pot fi asociate cu diverse domenii (celulă, clustere/servere, SIBus-uri). Odată ce configuraţiile de securitate au fost asociate cu un domeniu, toate aplicaţiile de utilizator din acel domeniu utilizează această configuraţie de securitate. Citiţi despre Domenii de securitate multiple pentru informaţii detaliate suplimentare.
Pentru fiecare atribut de securitate, puteţi utiliza setările de securitate globală sau personalizaţi setările pentru domeniu.
Selectaţi pentru a specifica dacă să se utilizeze configuraţia de autorizare implicită sau un furnizor de autorizare extern.
Furnizorii externi trebuie să se bazeze pe specificaţia Java Authorization Contract for Containers (JACC) pentru a trata autorizaţia Java(TM) 2 Platform, Enterprise Edition (J2EE). Nu modificaţi nici o setare de pe panourile furnizorului de autorizare decât dacă aţi configurat un furnizor de securitate extern ca furnizor de autorizare JACC.
Selectaţi pentru a specifica perechi de date nume-valoare, unde numele este o cheie de proprietate şi valoarea este un şir.
Legăturile marcate (online) necesită acces la internet.