WebSphere Application Server ist von verschiedenen
Konfigurationsdateien abhängig, die während der Installation erstellt werden.
Diese Dateien enthalten Informationen zum Kennwort und müssen entsprechend geschützt
werden. Obwohl die Dateien bis zu einem bestimmten Grad während der
Installation geschützt sind, ist der Grundschutz für Ihre
Site wahrscheinlich nicht ausreichend. Vergewissern Sie sich, dass diese Dateien den Richtlinien Ihrer Site entsprechend geschützt sind.
Vorbereitende Schritte
Anmerkung: Eine Kerberos-Konfigurationsdatei für Chiffrierschlüssel enthält eine Liste
von Schlüsseln, die zu Benutzerkennwörtern analog sind. Die Standardchiffrierschlüsseldatei ist "krb5.keytab".
Hosts müssen ihre Kerberos-Chiffrierschlüsseldateien
unbedingt schützen. Dazu werden sie auf der lokalen Festplatte gespeichert, wo sie nur von berechtigten Benutzern gelesen werden können.
Die Dateien
in den Verzeichnissen Stammverzeichnis_des_Anwendungsservers/profiles/Profilname/config und
Stammverzeichnis_des_Anwendungsservers/profiles/Profilname/properties müssen geschützt werden. Erteilen Sie dem Benutzer, der sich am System
für die Ausführung wichtiger Verwaltungstasks von WebSphere Application Server anmeldet, die Berechtigung. Anderen Benutzern oder Gruppen, wie z. B. den Benutzern und Gruppen der Konsole von WebSphere Application Server, sollten
ebenfalls Berechtigungen erteilt werden.
Die Dateien in den Verzeichnissen
WAS_HOME/config und WAS_HOME/properties müssen geschützt werden.
Erteilen Sie dem Benutzer, der sich am System
für die Ausführung wichtiger Verwaltungstasks von WebSphere Application Server anmeldet, die Berechtigung. Anderen Benutzern oder Gruppen, wie z. B. den Benutzern und Gruppen der Konsole von WebSphere Application Server, sollten
ebenfalls Berechtigungen erteilt werden.
![[z/OS]](../images/ngzos.gif)
Die Dateien im Verzeichnis
WAS_HOME/properties,
die Sie nicht schützen müssen, sind im Folgenden aufgeführt:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Der Wert für das Verzeichnis
WAS_HOME wird in
WebSphere z/OS Profile Management Tool
oder mit dem Befehl zpmt festgelegt,
wenn WebSphere Application Server for z/OS
für das Basisprodukt und für WebSphere Application Server Network Deployment installiert ist.
Vorgehensweise
Dateien auf einem Windows-System schützen: - Öffnen Sie den Browser, um die Dateien und Verzeichnisse auf der Maschine anzuzeigen.
- Suchen Sie die Datei oder das Verzeichnis, die bzw. das Sie schützen möchten, und klicken
Sie mit der rechten Maustaste darauf.
- Klicken Sie auf Eigenschaften.
- Klicken Sie auf das Register Sicherheit.
- Entfernen Sie den Eintrag Alle und alle anderen Benutzer oder Gruppen, denen Sie den
Zugriff auf die Datei entziehen möchten.
- Fügen Sie die Benutzer, denen Sie Zugriff auf die Dateien gewähren möchten, mit der entsprechenden
Berechtigung hinzu.
Dateien auf UNIX-Systemen schützen. Diese Prozedur wird nur für das normale UNIX-Dateisystem verwendet. Wenn die
Site mit Zugriffssteuerungslisten arbeitet, sichern Sie die Dateien mithilfe dieser
Listen. Alle sitespezifischen Voraussetzungen können sich auf den
Eigner, die Gruppe und die entsprechenden Berechtigungen auswirken, z. B. auf der Plattform AIX.- Wechseln Sie in das Verzeichnis Installationsstammverzeichnis
und erteilen Sie das Eigentumsrecht an der Verzeichniskonfiguration und den Eigenschaften dem Benutzer, der
sich am System für die Ausführung der Hauptverwaltungstasks in WebSphere Application Server anmeldet. Führen Sie den Befehl chown -R Anmeldename Verzeichnisname aus.
Für diese Angaben gilt Folgendes:
- Anmeldename steht für einen bestimmten Benutzer oder eine bestimmte Gruppe.
- Verzeichnisname steht für den Namen des Verzeichnisses, das die Dateien enthält.
Es wird empfohlen, das Eigentumsrecht an den Dateien, die Kennwortinformationen
enthalten, dem Benutzer zu übertragen, der den Anwendungsserver ausführt.
Falls der Anwendungsserver von mehreren Benutzern ausgeführt wird, erteilen Sie der Gruppe die Berechtigung,
der die Benutzer in der Benutzerregistry zugeordnet sind.
- Legen Sie die Berechtigungen mit dem folgenden Befehl fest:
chmod -R 770 Verzeichnisname.
- Wechseln Sie in das Verzeichnis Stammverzeichnis_des_Anwendungsservers/profiles/Profilname/properties,
und setzen Sie die Dateiberechtigungen. Legen Sie die Zugriffsberechtigungen für die folgenden Dateien gemäß Ihren Sicherheitsrichtlinien fest:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Sie können beispielsweise den folgenden Befehl absetzen: chmod 770 Dateiname.
Hierbei steht Dateiname für den Namen der Datei, die zuvor im Verzeichnis Installationsstammverzeichnis/profiles/Profilname/properties aufgelistet
wurde.
Diese Dateien enthalten sensible Daten wie Kennwörter.
Anmerkung: Wenn Sie die Kerberos-Authentifizierung oder die
SPNEGO-Webauthentifizierung aktiviert haben, legen Sie Zugriffsberechtigungen für die folgenden Dateien fest, da diese Bestandteil der
Sicherheitsrichtlinien sind: die Kerberos-Konfigurationsdatei
(krb5.conf oder krb5.ini)
und die Kerberos-Chiffrierschlüsseldatei.
- Erstellen Sie eine Gruppe für
WebSphere Application Server, und fügen Sie die Benutzer, die alle oder einen Teil der Verwaltungstasks
von WebSphere Application Server ausführen, dieser Gruppe hinzu.
- Wenn Sie WebSphere MQ als JMS-Provider verwenden möchten, beschränken Sie den Zugriff
auf die Verzeichnisse /var/mqm und die verwendeten Protokolldateien. Erteilen Sie nur dem Benutzer
mqm oder den Membern der Benutzergruppe mqm Schreibzugriff.
Dateien auf Systemen mit WebSphere Application Server for z/OS sichern. - Verwenden Sie
WebSphere z/OS Profile
Management Tool oder den Befehl "zpmt" und befolgen Sie die generierten Anweisungen, um Ihr System anzupassen.
Die generierten Anpassungsjobs stellen die folgenden Funktionen bereit:
- SAF-WebSphere Application Server-Benutzer-IDs erstellen, die für Administrator- und
Serverprozesse erforderlich sind.
- SAF-WebSphere Application Server-Konfigurationsgruppe erstellen und die SAF-WebSphere Application Server-Benutzer-IDs hinzufügen.
- Zuordnung zwischen einem J2EE-Principal und einer SAF-Benutzer-ID erstellen. Sie können ein einfaches Zuordnungsmodul generieren oder ein eigenes Modul angeben.
- Gestartete Tasks von WebSphere Application Server den SAF-Benutzer-IDs und -Gruppen zuordnen, die zuvor definiert wurden.
- Das Dateisystem mit den System- und Eigenschaftendateien füllen, die für die Ausführung von WebSphere Application Server erforderlich sind.
- Dem Administrator von WebSphere Application Server das Eigentumsrecht an diesen Dateien erteilen.
- Die richtigen Dateiberechtigungen erstellen
WebSphere Application Server müssen Lese- und Schreibzugriff auf die
Dateien im Verzeichnis
WAS_HOME>/config haben, aber die Dateien dürfen nicht für jeden
zugänglich sein (Modus 770). Alle Member der Konfigurationsgruppe von
WebSphere Application Server müssen auf die Dateien im Verzeichnis
WAS_HOME/properties Lese- und Schreibzugriff haben. Legen Sie die Zugriffsberechtigungen für die folgenden Dateien gemäß Ihren Sicherheitsrichtlinien fest:
- TraceSettings.properties
- client.policy
- client_types.xml
- ipc.client.props
- sas.client.props
- sas.stdclient.properties
- sas.tools.properties
- soap.client.props
- wsadmin.properties
- wsjaas_client.conf
Sie können beispielsweise den folgenden Befehl absetzen:
chmod 775 Dateiname.
Dateiname steht hier für den Namen der zuvor aufgelisteten Datei. Diese Dateien enthalten sensible Daten wie Kennwörter.
Anmerkung: Wenn Sie die Kerberos-Authentifizierung oder die
SPNEGO-Webauthentifizierung aktiviert haben, legen Sie Zugriffsberechtigungen für die folgenden Dateien fest, da diese Bestandteil der
Sicherheitsrichtlinien sind: die Kerberos-Konfigurationsdatei
(krb5.conf oder krb5.ini)
und die Kerberos-Chiffrierschlüsseldatei.
- Fügen Sie die Administratoren, die alle oder einen Teil der
Verwaltungstasks von WebSphere Application Server ausführen, der Konfigurationsgruppe hinzu.
- Beschränken Sie den Zugriff auf die Verzeichnisse
/var/mqm und die Protokolldateien, die für das Feature Embedded Messaging von
WebSphere Application Server oder WebSphere MQ als JMS-Provider erforderlich sind. Erteilen Sie nur der Benutzer-ID mqm und den Membern der Benutzergruppe mqm Schreibzugriff.
Ergebnisse
Nachdem Sie Ihre Umgebung gesichert haben, können nur die Benutzer, denen die Berechtigung erteilt
wurde, auf die Dateien zugreifen. Wenn Sie diese Dateien nicht ordnungsgemäß
sichern, kann dies dazu führen, dass die Sicherheitskomponente in den
Anwendungen von
WebSphere Application Server nicht mehr funktioniert.
Nächste Schritte
Wenn Fehler auftreten, die durch Berechtigungen für den Dateizugriff
ausgelöst wurden, prüfen Sie die Berechtigungseinstellungen.