Sicherheitsaspekte
Beachten Sie die folgenden Aspekte bei der Konfiguration der Sicherheit für Liberty.
LTPA
- Schützen Sie den Dateizugriff auf die LTPA-Schlüsseldatei, weil diese Datei das kryptografische Material zum Verschlüsseln und Entschlüsseln der Benutzerdaten enthält. Stellen Sie sicher, dass nur der Server und die Administratoren Zugriff auf diese Datei haben.
- Stellen Sie sicher, dass alle Server dieselben LTPA-Schlüssel verwenden. Außerdem müssen Uhrzeit und Datum aller Server synchronisiert sein.
- Wenn Sie ein Kennwort angeben, stellen Sie sicher, dass für alle Server, die denselben LTPA-Schlüsselsatz verwenden, dasselbe Kennwort verwendet wird. Das Kennwort wird nicht zum Generieren der Schlüssel, sondern zum Verschlüsseln der LTPA-Schlüsseldatei verwendet, um zu verhindern, dass die Schlüssel gelesen werden. Wenn Sie die LTPA-Schlüsseldatei zwecks SSO (Single Sign-on) auf einen anderen Liberty-Server kopieren, ist für den Zugriff auf die Schlüssel in der LTPA-Schlüsseldatei das Kennwort erforderlich. Weitere Informationen zu LTPA finden Sie im Abschnitt LTPA in Liberty konfigurieren.
Kennwörter
- Verschlüsseln Sie die Kennwörter mit dem Verschlüsselungsbefehl "securityUtility".
- Wenn Sie den Standardverschlüsselungsschlüssel mit der Eigenschaft wlp.password.encryption.key überschreiben, legen Sie die Eigenschaft in einer separaten Konfigurationsdatei fest, die außerhalb des normalen Konfigurationsverzeichnisses für den Server gespeichert wird.
Berechtigung
- Wenn Sie eine Berechtigungseinschränkung (auth-constraint) ohne Rollen in einer Anwendung angeben, darf kein Benutzer auf die Ressource zugreifen.
- Verwenden Sie das Sondersubjekt EVERYONE mit Vorsicht, da diese Spezifikation bedeutet, dass eine Ressource nicht geschützt wird.
Authentifizierung
- Der im Element <authCache> angegebene Zeitlimitwert für den Authentifizierungscache muss kleiner sein als der im Element <ltpa> angegebene Wert für die Verfallszeit des LTPA-Tokens.