群體安全
您可以使用 Liberty 中的群體安全原則來處理移動中的資料和靜止的資料。
- 群體的管理網域安全配置由兩個部分組成:
如果要讓使用者存取群體控制器的 MBean,他們必須在「管理者」角色中。 凡是透過群體來進行的管理動作,會要求使用者獲授與「管理者」角色。 請參閱配置通往 Liberty 的安全 JMX 連線以取得完整的詳細資料。
伺服器至伺服器通訊是在伺服器網域內進行,不會利用使用者身分或密碼來進行群體成員之間的通訊。 每個群體成員在群體內都有其唯一身分,由主機名稱、使用者目錄和伺服器名稱組成。 群體內的每個成員都會定義其伺服器網域配置,由 serverIdentity.jks 和 collectiveTrust.jks 檔組成。 這些檔案包含在群體內建立安全通訊所需要的 SSL 憑證。 HTTPS 金鑰配置必須有特定的信任設定,依預設,會建立這些設定。
您可以新增額外的授信憑證項目到 collectiveTrust.jks 金鑰儲存庫,來自訂伺服器網域 SSL 配置。 當抄寫控制器時,會複製所有信任關係;因此,必須將 SSL 自訂作業套用於起始控制器。 只有在未使用預設 HTTPS 憑證時,才需要新增信任關係到 collectiveTrust.jks 金鑰儲存庫中。 如果修改 HTTPS SSL 配置,就適用下列憑證規則:伺服器至伺服器通訊要求支援 SSL 鑑別。 如果自訂 HTTPS SSL 配置,SSL 配置必須指定 clientAuthenticationSupported="true"。 例如:<!-- clientAuthenticationSupported set to enable bidirectional trust --> <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
不建議在群體控制器上設定 clientAuthentication="true",它會防止一些常見和預期的行為。 例如,這個設定會防止在「管理中心」及群體指令行公用程式中,利用使用者名稱和密碼來進行鑑別。
在群體成員上設定 clientAuthentication="true",適合防止利用使用者名稱和密碼登入。 這個設定不會岔斷群體作業,因為從控制器起始的所有作業都是利用憑證來鑑別。
利用 CollectiveRegistration MBean,可以防止成員將資訊發佈到群體控制器。 disavow 和 avow 方法會防止鑑別及啟用鑑別。
群體儲存庫資料安全原則包含靜態資料的原則 - 具體地說,就是群體儲存庫內容的存取原則。
群體資料的現行安全原則如下:由於群體儲存庫最終是在磁碟上,所以必須維護環境的檔案系統許可權設定安全。 建議您對於群體控制器的配置,只讓使用者讀取及寫入,只讓群組讀取,完全不讓外人存取,換言之,就是 chmod 0640。請遵循您的組織可能已建立的任何安全準則。