Registry oder Repository auswählen

Informationen zu Benutzern und Gruppen sind in einer Benutzerregistry gespeichert. In WebSphere Application Server authentifiziert eine Benutzerregistry einen Benutzer und ruft Informationen zu Benutzern und Gruppen ab, um sicherheitsrelevante Funktionen wie Authentifizierung und Berechtigung auszuführen.

Vorbereitende Schritte

Anmerkung: Bei der Profilerstellung während der Installation oder nach der Installation ist die Verwaltungssicherheit standardmäßig aktiviert. Das dateibasierte eingebundene Benutzerrepository ist als aktive Benutzerregistry konfiguriert. Entscheiden Sie, on Sie eine andere Benutzerregistry verwenden möchten.

Bevor Sie eine Benutzerregistry oder ein Repository konfigurieren, müssen Sie sich für einen Registry-Typ oder ein Repository entscheiden. Sie können eine aktive Standardregistry für die Zelle konfigurieren.

Informationen zu diesem Vorgang

WebSphere Application Server stellt Implementierungen bereit, die mehrere Typen von Registrys und Repositorys unterstützen, z. B. die Registry des lokalen Betriebssystems, eine eigenständige LDAP-Registry (Lightweight Directory Access Protocol), eine eigenständige angepasste Registry und zueingebundene Repositorys.

In WebSphere Application Server authentifiziert eine Benutzerregistry oder ein Repository, z. B. ein Verbundrepository, einen Benutzer und ruft Informationen zu Benutzern und Gruppen ab, um sicherheitsrelevante Funktionen wie Authentifizierung und Berechtigung auszuführen.

In WebSphere Application Server wird eine Benutzerregistry oder ein Repository für Folgendes verwendet:
  • Authentifizieren eines Benutzers mit Basisauthentifizierung, Zusicherung der Identität oder Clientzertifikaten
  • Abrufen von Informationen zu Benutzern und Gruppen für sicherheitsrelevante Verwaltungsfunktionen wie die Zuordnung von Benutzern und Gruppen zu Sicherheitsrollen

[z/OS]WebSphere Application Server unterstützt Benutzerregistrys für mehrere Betriebssysteme bzw. Betriebsumgebungen, z. B. die z/OS-SAF-Registry, und die meisten wichtigsten LDAP-basierten Registrys. Über eine benutzerspezifische LDAP-Funktion können Sie auch jeden beliebigen LDAP-Server verwenden, indem Sie die richtige Konfiguration, z. B. Filter für Benutzer und Gruppen, einrichten. Allerdings sind diese benutzerspezifischen LDAP-Server nicht in die Unterstützung eingeschlossen, weil es zu viele Varianten gibt, die nicht getestet werden können.

[z/OS]Das Konfigurieren des richtigen Registrys oder Repositorys ist eine der Voraussetzungen für die Zuordnung von Benutzern und Gruppen zu Rollen für Anwendungen. Wenn keine Registry konfiguriert ist, wird standardmäßig die SAF-basierte Registry vom Typ LocalOS verwendet. Falls Sie keine Registry oder kein Repository des Typs LocalOS verwenden möchten, müssen Sie eine Registry oder ein Repository konfigurieren. Dieser Schritt wird normalerweise beim Aktivieren der Verwaltungssicherheit ausgeführt. Starten Sie die Server neu, und ordnen Sie dann den Rollen für alle Anwendungen Benutzer und Gruppen zu.

Zusätzlich zu den Registrys vom Typ "Lokales Betriebssystem" (LocalOS), "LDAP" und "Eingebundene Repository" stellt WebSphere Application Server ein Plug-in für die Unterstützung beliebiger Registrys bereit, für das das Feature "Angepasste Registry" verwendet wird. Dieses Feature ermöglicht Ihnen, jede Benutzerregistry zu konfigurieren, die in den Anzeigen für die Sicherheitskonfiguration von WebSphere Application Server nicht verfügbar ist.

Das Konfigurieren des richtigen Registrys oder Repositorys ist eine der Voraussetzungen für die Zuordnung von Benutzern und Gruppen zu Rollen für Anwendungen. Wenn keine Benutzerregistry konfiguriert ist, wird standardmäßig die Benutzerregistry LocalOS verwendet. Falls Sie die Benutzerregistry LocalOS nicht verwenden möchten, müssen Sie eine Registry oder ein Repository konfigurieren. Dieser Schritt wird normalerweise beim Aktivieren der Sicherheit ausgeführt. Starten Sie die Server neu, und ordnen Sie dann den Rollen für alle Anwendungen Benutzer und Gruppen zu.

WebSphere Application Server unterstützt die folgenden Typen von Benutzerregistrys:
  • Eingebundene Repositorys
  • Registry des lokalen Betriebssystems [z/OS](z. B. SAF-basiert)
    Einschränkung: Das Konfigurieren eines transparenten LDAP-Servers unter der Registry des lokalen Betriebssystems und das Authentifizieren der Benutzer unter diesem lokalen Betriebssystem über LDAP wird nicht unterstützt.
  • Eigenständige LDAP-Registry (Lightweight Directory Access Protocol)
  • Eigenständige angepasste Registry
Die Schnittstelle "UserRegistry" wird verwendet, um die angepasste Registry und das eingebundene Repository für das Repository für Benutzeraccounts zu implementieren. Diese Schnittstelle ist hilfreich, wenn die aktuellen Benutzer- und Gruppendaten in anderen Formaten, z. B. als Datenbank, vorliegen und nicht in LDAP-Registrys oder Registrys des lokalen Betriebssystems verschoben werden können. Implementieren Sie in einem solchen Fall die Schnittstelle "UserRegistry", damit WebSphere Application Server die vorhandene Registry für alle sicherheitsrelevanten Operationen verwenden kann. Zur Verwendung einer angepassten Registry muss Software implementiert werden, und es wird erwartet, dass die Implementierung nicht von der Ressourcenverwaltung von WebSphere Application Server abhängig ist. Eine Datenquellenkonfiguration von Application Server kann beispielsweise nicht verwendet werden. Sie müssen Datenbankverbindungen aufrufen und ihr Verhalten direkt im Code vorgeben.
Anmerkung: WebSphere Application Server implementiert einen Proxy für die Benutzerregistry mit der Schnittstelle "UserRegistry". Die Rückgabewerte unterscheiden sich jedoch ein wenig von denen der Schnitttstelle. Beispielsweise gibt getUniqueUserId die eindeutige ID (uniqueID) mit integriertem Realmnamen zurück. Der Rückgabewert kann nicht an getUserSecurityName übergeben werden, wie das folgende Beispiel zeigt:
		// Standard-InitialContext für den Server abrufen
javax.naming.InitialContext ctx = new javax.naming.InitialContext();

		// Lokales UserRegistry-Objekt abrufen
		com.ibm.websphere.security.UserRegistry reg = 
         (com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");				

// Ruft die uniqueID der Registry ab, die auf dem im
     // NameCallback angegebenen Benutzer-ID basiert.
String uniqueid = reg.getUniqueUserId(userName);
// Realmnamen löschen und echte eindeutige ID abrufen
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);

// Sicherheitsnamen basierend auf der eindeutigen ID aus der Benutzerregistry abrufen.
		String securityName = reg.getUserSecurityName(uid);
Für diese Parsing-Funktion kann eine Service-Provider-Schnittstelle (SPI, Service Provider Interface) verwendet werden.
Wenn Sie den Anwendungen Benutzer und Gruppen zugeordnet haben, müssen Sie die Benutzerregistrys ändern. Löschen Sie alle Benutzer und Gruppen, einschließlich aller RunAs-Rollen, für die Anwendungen, und ordnen Sie sie nach dem Ändern der Registry erneut zu. Verwenden Sie dazu die Administrationskonsole oder das Scripting-Tool "wsadmin". Mit dem folgenden wsadmin-Befehl, der Jacl verwendet, werden alle Benutzer und Gruppen aus Anwendungen gelöscht:
$AdminApp deleteUserAndGroupEntries Name_Ihrer_Anwendung
Name_Ihrer_Anwendung steht hier für den Namen der Anwendung. Vor Ausführung dieser Operation sollten Sie die alte Anwendung sichern. Wenn jedoch beide der folgenden Bedingungen zutreffen, können Sie die Registrys wechseln, um die Benutzer- und Gruppeninformationen zu löschen:
  • Alle Benutzer- und Gruppennamen, einschließlich des Kennworts für die Benutzer der RunAs-Rollen, in allen Anwendungen stimmen in beiden Benutzerregistrys überein.
  • Die Bindungsdatei der Anwendung enthält keine Zugriffs-IDs, die für jede Registry eindeutig sind, selbst wenn es sich um denselben Benutzer- oder Gruppennamen handelt.

Standardmäßig sind in der Bindungsdatei einer Anwendung keine Zugriffs-IDs enthalten. Diese IDs werden beim Starten der Anwendungen generiert. Wenn Sie jedoch eine Anwendung von einem früheren Release migriert oder mit dem Script wsadmin Zugriffs-IDs zu Anwendungen hinzugefügt haben, um den Durchsatz zu erhöhen, müssen Sie die vorhandenen Benutzer- und Gruppendaten entfernen und nach dem Konfigurieren der neuen Benutzerregistry wieder hinzufügen.

Nähere Informationen zum Aktualisieren von Zugriffs-IDs finden Sie unter "updateAccessIDs" im Artikel "AdminApp-Objekt für scriptgesteuerte Verwaltung".

Achtung: WebSphere Application Server unterstützt eine Vielzahl von Benutzerregistrys und Repositorys unter verschiedenen Betriebssystemen. Während des Benutzerauthentifizierungsprozesses können Sie nicht alphanumerische Zeichen in Ihrem Benutzernamen oder Kennwort verwenden. Einschränkungen zur Verwendung dieser nicht alphanumerischen Zeichen richtet sich nach dem zugrunde liegenden System und dem Typ der Benutzerregistry. Weitere Informationen zu den nicht unterstützten nicht alphanumerischen Zeichen finden Sie in der Dokumentation zu Ihrem Betriebssystem und zu Ihrer Benutzerregistry bzw. Ihrem Repository.
[AIX]Die folgenden Zeichen werden beispielsweise in einem Benutzernamenswert nicht unterstützt:
  • ˋ
  • #
  • =
  • \
  • :
  • "
  • ,
  • /
  • ?
  • '
  • Leerzeichen

Eine umfassende Liste der nicht alphanumerischen Zeichen, die nicht unterstützt werden, finden Sie in der Dokumentation zum IBM Betriebssystem AIX.

[HP-UX]Die folgenden Zeichen werden beispielsweise in einem Benutzernamenswert nicht unterstützt:
  • ˋ
  • :
  • "
  • /
  • Leerzeichen

Führen Sie einen der folgenden Schritte aus, um Ihre Benutzerregistry zu konfigurieren:

Vorgehensweise

Nächste Schritte

  1. Wenn Sie die Sicherheit aktivieren, müssen Sie die verbleibenden Schritte unbedingt ausführen. Vergewissern Sie sich, dass in der Anzeige "Globale Sicherheit" die passende Registry oder das passende Repository angegeben ist. Im letzten Schritt validieren Sie die Benutzer-ID und das Kennwort. Klicken Sie dazu in der Anzeige "Globale Sicherheit" auf Anwenden. Speichern, stoppen und starten Sie alle WebSphere Application Server.
  2. Alle Änderungen in Anzeigen für Benutzerregistrys treten erst in Kraft, nachdem Sie die Änderungen validiert haben. Dazu müssen Sie in der Anzeige "Globale Sicherheit" auf Anwenden klicken. Wenn die Änderungen ausgewertet sind, speichern Sie die Konfiguration. Stoppen Sie dann alle WebSphere Application Server, einschließlich Zellen, Knoten und Anwendungsservern, und starten Sie sie erneut. Zur Vermeidung von Inkonsistenzen zwischen den Prozessen von WebSphere Application Server, sollten Sie sicherstellen, dass Änderungen an der Benutzerregistry oder am Repository nur vorgenommen werden, wenn alle Prozesse aktiv sind. Ist einer der Prozesse inaktiv, muss eine Synchronisation erzwungen werden, damit der Prozess später wieder gestartet werden kann.

    Wenn die Server fehlerfrei initialisiert werden, ist die Konfiguration korrekt.

  3. [z/OS]Wenn SAF (System Authorization Facility) mit LocalOS als der neuen Registry bzw. als dem neuen Repository ausgewählt ist, werden die Werte in der Bindungsdatei (mit Ausnahme der Benutzer-ID und des Kennworts (bzw. der Kennwortphrase) für Benutzer der RunAs-Rolle) ignoriert.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_useregistry
Dateiname:tsec_useregistry.html