Sicherheit

Die Liberty-Sicherheit schützt Webressourcen gemäß der Spezifikation "Servlet 3.0" und EJB-Ressourcen gemäß der Spezifikation "ejbLite 3.1". Die Liberty-Sicherheit schützt außerdem JMX-Verbindungen, wenn Sie den REST-Connector verwenden.

Das folgende Diagramm zeigt einen typischen Sicherheitsprozess beim Zugriff auf eine geschützte Webressource. Damit dieser Prozess funktioniert, müssen Sie die entsprechenden Sicherheitseinrichtungen und die erforderlichen Konfigurationen für die Authentifizierung und Berechtigung konfigurieren.

Abbildung 1. Typischer Sicherheitsablauf für Webressourcen
Der WebSecurity-Collaborator verwendet Authentifizierungs- und Berechtigungsservices, um den Zugriff auf die Webressource im Web-Container zu authentifizieren und zu berechtigen.
  1. Ein HTTP-Client fordert eine Webressource im Web-Container an.
  2. Der Web-Container delegiert die Sicherheitsüberprüfung an den WebSecurity-Collaborator.
  3. Der WebSecurity-Collaborator fordert den Benutzer zur Eingabe von Berechtigungsnachweisen auf (sofern nicht vorhanden) und verwendet den Authentifizierungsservice, um den Benutzer zu authentifizieren.
  4. Der Authentifizierungsservice authentifiziert und erstellt das Subjekt und gibt es zurück, falls es erfolgreich authentifiziert wurde. Andernfalls meldet der Authentifizierungsservice eine Ausnahme für das Fehlschlagen der Authentifizierung.
  5. Der WebSecurity-Collaborator verwendet den Berechtigungsservice, um eine Benutzerberechtigungsprüfung durchzuführen.
  6. Der Berechtigungsservice gibt das Berechtigungsergebnis an den WebSecurity-Collaborator zurück.
  7. Der WebSecurity-Collaborator gibt das Ergebnis der Sicherheitsprüfung zurück (d. h., ob der Benutzer berechtigt ist).
  8. Der Web-Container stellt die angeforderte Ressource bereit oder weist die Anforderung zurück.

Schnellstart

Verwenden Sie das Element quickStartSecurity, um eine Einzelbenutzersicherheitsumgebung in Liberty zu konfigurieren. Im Abschnitt Überblick über die Sicherheit wird beschrieben, wie der Sicherheitsworkflow funktioniert, wenn das Element quickStartSecurity verwendet wird. Eine Beispieltask finden Sie unter Einführung in die Sicherheit in Liberty.

Authentifizierung

Die Authentifizierung bestätigt die Identität des Benutzers. Die gängigste Form der Authentifizierung ist die Authentifizierung mit einem Benutzernamen und einem Kennwort, z. B. durch Basisauthentifizierung oder durch formularbasierte Anmeldung für Webanwendungen. Nach der Authentifizierung eines Benutzers wird die Quelle einer Anforderung zur Laufzeit als Subject-Objekt dargestellt. Dieser Prozess umfasst Zugriffssteuerungsprüfungen, die durchgeführt werden, wenn ein Benutzer auf eine Ressource zugreift, und die auf den für diese Ressource konfigurierten Berechtigungsregeln basieren. Weitere Konzepte sind unter Authentifizierung beschrieben. Ausführliche Taskbeschreibungen finden Sie unter Benutzer in Liberty authentifizieren.

Berechtigung

Während des Berechtigungsprozesses wird bestimmt, ob einem Benutzer Zugriff auf die Ressourcen im System gewährt wird. Das Java™ EE-Modell verwendet Subjekte, Ressourcen und Rollen, um zu bestimmen, was zulässig ist und was nicht. Dieser Prozess umfasst die Überprüfung der Benutzerberechtigungen (z. B. Benutzer-ID und Kennwort, Zertifikate und Tokens) und die Erstellung eines Subjekts basierend auf dem authentifizierten Benutzer. Weitere Konzepte sind unter Berechtigung beschrieben. Ausführliche Taskbeschreibungen finden Sie unter Zugriff auf Ressourcen in Liberty gewähren.

Secure Socket Layer (SSL)

SSL bietet Sicherheit auf Transportebene. Die Tasks sind ausführlich unter SSL-Kommunikation in Liberty aktivieren beschrieben.

Single Sign-On (SSO)

SSO ermöglicht den Zugriff auf Anwendungen ohne mehrfache Aufforderung zur Anmeldung. Weitere Einzelheiten finden Sie unter Konzept von SSO. Die Task ist ausführlich unter SSO-Konfiguration mit LTPA-Cookies in Liberty anpassen beschrieben.

Eigenschaften für die Websicherheit

Es gibt zahlreiche Konfigurationseigenschaften, die Sie im Rahmen der Websicherheit für Ihre Anwendungen konfigurieren können, z. B. SSO und Clientzertifikatsauthentifizierung. Die verfügbaren Attribute sind in den Abschnitten SSO-Konfiguration mit LTPA-Cookies in Liberty anpassen und Web-Service-Sicherheit beschrieben. Beispiele finden Sie unter Websicherheitsrelevante Eigenschaften in Liberty konfigurieren.

Öffentliche Sicherheits-APIs

Liberty enthält öffentliche APIs, die Sie zum Implementieren der Sicherheitsfunktionen verwenden können. Die öffentlichen Sicherheits-APIs in Liberty sind eine Untergruppe der öffentlichen Sicherheits-APIs von WebSphere Application Server Traditional. Die Hauptklassen sind WSSecurityHelper, WSSubject und RegistryHelper. Diese Klassen enthalten einen Teil der Methoden, die in den Versionen von WebSphere Application Server Traditional verfügbar sind. Außerdem gibt es eine neue Klasse mit dem Namen WebSecurityHelper. Weitere Informationen finden Sie unter Öffentliche Sicherheits-APIs in Liberty.

Die Java-API-Dokumentation für die einzelnen Liberty-APIs finden Sie in einer eigenständigen .zip-Datei in einer der Javadoc-Unterverzeichnisse des Verzeichnisses ${wlp.install.dir}/dev.

Verschiedene Beispiele finden Sie unter Erweiterungen der Liberty-Sicherheitsinfrastruktur entwickeln.

Verwaltungssicherheit

Verwaltungssicherheit bedeutet, dass Sie Liberty über einen fernen JMX-Client verwalten können. Informationen zum Sichern von Fernverbindungen mit dem REST-Connector finden Sie unter Verbindung zu Liberty mit JMX herstellen. Sie können auch eigene JMX-Clientanwendungen entwickeln. Diesbezügliche Erläuterungen finden Sie unter JMX-Java-Client für Liberty entwickeln.

Für z/OS-Plattformen

z/OS®-Sicherheit

System Authorization Facility (SAF) auf der Plattform z/OS wird in Liberty für die Authentifizierung und Berechtigung unterstützt. Die Tasks sind ausführlich in den Abschnitten Berechtigte z/OS-Services in Liberty für z/OS aktivieren und SAF-Berechtigung konfigurieren beschrieben.

Authentifizierungsaliasse

Der Authentifizierungsdatenalias stellt die Sicherheitsunterstützung für die Datenbankkonnektivität bereit. Weitere Informationen hierzu finden Sie unter Authentifizierungsaliasse für Liberty konfigurieren.

Konfigurationsbeispiele und Beispiele

Auf der WASdev.net-Website finden Sie mehrere Sicherheitskonfigurationsbeispiele als Referenz bei der Konfiguration der Sicherheit Ihrer Anwendungen in Liberty.

Kompatibilität und Unterschiede bei der Sicherheit

Zwischen den Sicherheitsfunktionen in WebSphere Application Server Traditional und Liberty gibt es einige wesentliche Unterschiede. Weitere Informationen hierzu finden Sie unter Sicherheitskonfigurationsunterschiede zwischen WebSphere Application Server Traditional und Liberty.

Lightweight Directory Access Protocol (LDAP) konfigurieren

Nachdem Sie den LDAP-Benutzerregistry-Eintrag ausgewählt haben, den Sie der Serverkonfiguration hinzufügen möchten, wird in der Anzeige Details der LDAP-Benutzerregistry eine Liste für die unterstützten LDAP-Servertypen angezeigt. Wenn Sie einen unterstützten LDAP-Servertyp auswählen, werden die LDAP-Filter, die dem ausgewählten LDAP-Servertyp zugeordnet sind, nicht automatisch eingetragen.

Für jeden unterstützten LDAP-Servertyp ist eine Standardgruppe von Filtern definiert. Nachdem der LDAP-Benutzerregistry-Eintrag und der Servertyp hinzugefügt wurden, können die zugeordneten LDAP-Filter durch Auswahl der LDAP-Benutzerregistry-Konfiguration und Hinzufügen des erforderlichen LDAP-Filters konfiguriert werden:
  • Active Directory-LDAP-Filter
  • Angepasste LDAP-Filter
  • Domino-LDAP-Filter
  • eDirectory-LDAP-Filter
  • IBM® Directory Server-LDAP-Filter
  • iPlanet-LDAP-Filter
  • Netscape-LDAP-Filter
  • SecureWay-LDAP-Filter
Nach Auswahl eines LDAP-Filters werden die Standardwerte für die Filtertypen angezeigt:
  • Benutzerfilter
  • Gruppenfilter
  • Benutzer-ID-Zuordnung
  • Gruppen-ID-Zuordnung
  • Gruppenmember-ID-Zuordnung
Wenn Standardfilter verwendet werden, wird die Datei server.xml nicht mit Filterinformationen aktualisiert. Wenn Sie Filter ändern, werden nur die geänderten Filtertypen in der Datei server.xml aktualisiert.
Anmerkung: Wenn Sie keine Referenz-ID angeben oder über die Schaltfläche Durchsuchen auswählen, werden die dem ausgewählten LDAP-Servertyp zugeordneten Standardfilter verwendet.

Alternativ können Sie der Serverkonfiguration einen LDAP-Filter hinzufügen. Sie müssen eine ID angeben, um die Referenz dieser speziellen Filterkonfiguration zuzuordnen, damit diese der LDAP-Benutzerregistry-Konfiguration zugeordnet werden kann. Bei der Verwendung dieser Konfigurationsmethode für LDAP-Filter wird die Referenz-ID in der Anzeige Details der LDAP-Benutzerregistry (die über die Schaltfläche Durchsuchen für den entsprechenden LDAP-Filtertyp aufgerufen wird) ausgewählt.

Wenn Sie Eclipse-basierte Entwicklertools für die Konfiguration von LDAP verwenden, überprüfen Sie die gespeicherte Konfiguration anhand der Beispiele in der Datei wlp/templates/config/ldapRegistry.xml.

Weitere Informationen finden Sie unter LDAP-Benutzerregistrys in Liberty konfigurieren.

Fehlerbehebung

Verwenden Sie die Fehlerbehebungsinformationen, um Sicherheitsprobleme bei der Verwendung von Liberty zu beheben. Weitere Informationen finden Sie in den Abschnitten Fehlerbehebung für die Sicherheit und Fehlerbehebung für LDAP.

Für verteilte Plattformen

Tools

Sie können die Sicherheit mit den Eclipse-basierten Entwicklertools für Liberty konfigurieren. Weitere Informationen hierzu finden Sie unter Liberty-Konfiguration mit Entwicklertools bearbeiten. Spezielle Informationen zu Tools und zur Sicherheitskonfiguration finden Sie in den Abschnitten TAI in Liberty mit Entwicklertools konfigurieren und JAAS in Liberty mit Entwicklertools konfigurieren.


Symbol das den Typ des Artikels anzeigt. Konzeptartikel

Dateiname: cwlp_sec.html