[z/OS]

Sicherheitsaspekte von WebSphere Application Server for z/OS

Funktionen, die unter WebSphere Application Server for z/OS unterstützt werden

WebSphere Application Server for z/OS unterstützt die folgenden Funktionen.

Tabelle 1. Funktionen, die unter WebSphere Application Server for z/OS unterstützt werden. In dieser Tabelle werden die in WebSphere Application Server for z/OS unterstützten Funktionen beschrieben.
Funktion Weitere Informationen
RunAs-EJB Weitere Informationen hierzu finden Sie im Artikel Delegierung.
RunAs für Servlets Weitere Informationen hierzu finden Sie im Artikel Delegierung.
SAF-basierte IIOP-Protokolle Weitere Informationen hierzu finden Sie im Artikel Clientkonfiguration für Common Secure Interoperability Version 2 und Security Authentication Service.
z/OS-Connector-Funktionen Weitere Informationen hierzu finden Sie im Artikel Resource Recovery Services (RRS).
Verwaltungssicherheit Weitere Informationen hierzu finden Sie im Artikel Verwaltungssicherheit.
Anwendungssicherheit Weitere Informationen hierzu finden Sie im Artikel Anwendungssicherheit.
Java-2-Sicherheit Weitere Informationen hierzu finden Sie im Artikel Java-2-Sicherheit.
Inaktivieren Sie die Sicherheit. Weitere Informationen hierzu finden Sie im Artikel Verwaltungssicherheit inaktivieren.
SAF-Schlüsselringe Weitere Informationen hierzu finden Sie im Artikel SAF-Schlüsselringe mit Java Secure Sockets Extension verwenden.
Authentifizierungsfunktionen Beispiele für Authentifizierungsfunktionen: Basis, digitale SSL-Zertifikate, formularbasierte Anmeldung, Sicherheitseinschränkungen, Interceptor-Implementierung für Trust Association
J2EE-Sicherheitsressourcen Weitere Informationen hierzu finden Sie im Artikel Taskübersicht: Ressourcen sichern.
Webauthentifizierung (LTPA) Weitere Informationen hierzu finden Sie im Artikel LTPA-Verfahren konfigurieren.
IIOP mit LTPA Weitere Informationen hierzu finden Sie im Artikel Lightweight Third Party Authentication.
WebSphere-Anwendungsbindungen Es können WebSphere-Anwendungsbindungen verwendet werden, um Rollen Benutzer zuzuordnen.
Synchronisation mit dem Betriebssystemthread Weitere Informationen hierzu finden Sie im Artikel Java-Thread-Identität und Betriebssystemthreadidentität.
SAF-Registrys Weitere Informationen hierzu finden Sie im Artikel Registry oder Repository auswählen.
Identitätszusicherung

Weitere Informationen enthält der Artikel . Identitätszusicherung.

Authentifizierungsprotokolle Beispiel: z/SAS, CSIV2

Weitere Informationen hierzu finden Sie im Artikel Unterstützung für Authentifizierungsprotokolle.

CSIV2-Konformitätsstufe "0" Weitere Informationen hierzu finden Sie im Artikel Übersicht über die Sicherheitsplanung.
WebSphere-Erweiterungen zum JAAS-Programmiermodell Weitere Informationen hierzu finden Sie im Artikel Programmiermodell Java Authentication and Authorization Service für Webauthentifizierung verwenden.
Zuordnung verteilter Identitäten mit SAF Weitere Informationen enthält der Artikel Zuordnung verteilter Identitäten mit SAF.
Alle Basisversionen von WebSphere Application Server unterstützen die folgenden Funktionen:
  • Verwendung von RunAs: Mit RunAs können Sie die Identität eines Callers, eines Servers oder einer Rolle ändern. Dies ist jetzt Bestandteil der Servlet-Spezifikation.
  • Unterstützung für SAF-basierte IIOP-Authentifizierungsprotokolle: WebSphere Application Server Network Deployment verwendet für die IIOP-Authentifizierung SAS (Secure Authentication Service). z/OS hat eine eigene Version von SAS mit der Bezeichnung z/OS Secure Authentication Services (z/SAS) (die ähnliche Funktionen, aber andere Verfahren verwendet) und unterstützt Funktionen wie lokale Sicherheit, SSL-basierte (Secure Sockets Layer) Berechtigung, digitale Zertifikate mit SAF-Zuordnung (System Authorization Facility) und die Zusicherung von SAF-Identitäten.
    Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
  • SAF-basierte Autorisierung und RunAs-Funktion: Für die Berechtigung und die Delegierung von Sicherheitsinformationen können Sie SAF-Profile (EJBROLE) verwenden.
  • Unterstützung für z/OS-Connector-Funktionen: An Stelle der Verwendung eines Aliasnamens zum Speichern von Benutzer-ID und Kennwort wird die Möglichkeit der Weitergabe lokaler Betriebssystemidentitäten unterstützt.
  • Unterstützung von SAF-Schlüsselringen für HTTP und IIOP: Verwenden Sie SystemSSL für HTTP, IIOP und zur Unterstützung von SAF-Schlüsselringen. Sie können auch JSSE verwenden.
  • Authentifizierungsfunktionen: Methoden der Webauthentifizierung wie Basis, digitale SSL-Zertifikate, formularbasierte Anmeldung, Sicherheitsvorgaben und TAI (Trust Association Interceptor) stimmen funktional in den Version 9.0 und 5 überein.
  • Berechtigung für J2EE-Ressourcen: Für die Berechtigung für J2EE-Ressourcen werden Rollen wie die von Version 4 genutzt. Diese Rollen werden als Deskriptoren verwendet.
  • Aktivierung der Sicherheit: Die Sicherheit kann global aktiviert oder inaktiviert werden. Beim Serverstart ist ein gewisses Maß an Sicherheit aktiviert. Die volle Sicherheit muss jedoch vom Administrator aktiviert werden.
  • Webauthentifizierung mit LTPA und SWAM: SSO mit Lightweight Third Party Authentication (LTPA) und Simple WebSphere Authentication Mechanism (SWAM) wird unterstützt.
    Anmerkung: Beachten Sie jedoch, dass SWAM ab WebSphere Application Server Version 9.0 als veraltet gilt und in einem der künftigen Releases entfernt wird.
  • IIOP-Authentifizierung mit LTPA: Die IIOP-Authentifizierung mit LTPA wird unterstützt.
  • WebSphere-Anwendungsbindungen für Autorisierung: WebSphere-Anwendungsbindungen für Autorisierung werden jetzt unterstützt.
  • Synchronisation mit Betriebssystemthread: Die Anwendungssynchronisation mit dem Betriebssystemthread wird unterstützt.
  • Auf J2EE-Rollen basierende Naming-Sicherheit: Der Zugriff auf den Namespace wird mit J2EE-Rollen geschützt. Neue Rollen und Aufgaben sind cosNamingRead, cosNamingWrite, cosNamingCreate und cosNamingDelete.
  • Rollenbasierte Verwaltungssicherheit: Rollen für die Sicherheit sind:
    • Monitor (Überwachung, geringste Berechtigung, nur Lesezugriff)
    • Operator (Bedienung, Laufzeitänderungen möglich)
    • Configurator (Konfiguration, Überwachungs- und Konfigurationsberechtigungen)
    • Administrator (Verwaltung, höchste Berechtigung)
    • Deployer (Implementierer, wird von wsadmin für Konfigurationsaktionen und Laufzeitoperationen in Anwendungen verwendet)
    • Adminsecuritymanager (kann Benutzer Verwaltungsrollen zuordnen und Berechtigungsgruppen verwalten)

    Weitere Informationen zu Verwaltungsrollen finden Sie im Artikel Verwaltungsrollen.

WebSphere Application Server for z/OS mit anderen WebSphere Application Server-Plattformen vergleichen

Wichtige Ähnlichkeit:
  • Modulares Sicherheitsmodell: Im modularen Sicherheitsmodell können für die Authentifizierung IIOP-CSIV2 (Common Secure Interoperability Version 2), Web Trust Authentication, JMX-Connector (Java Management Extensions) oder das JAAS-Programmiermodell (Java Authentication and Authorization Service) verwendet werden. Folgende Schritte sind erforderlich:
    1. Bestimmen Sie, welche Registry geeignet ist und welche Authentifizierungsverfahren (Token) erforderlich sind.
    2. Bestimmen Sie, ob es sich um eine lokale oder ferne Registry handelt und welche Webauthentifizierung verwendet werden soll, SWAM (Simple WebSphere Authentication Mechanism) oder LTPA (Lightweight Third-Party Authentication).
      Anmerkung: Beachten Sie jedoch, dass SWAM ab WebSphere Application Server Version 9.0 als veraltet gilt und in einem der künftigen Releases entfernt wird.
Wichtigste Unterschiede:
  • SAF-Registrys: Lokale Betriebssystemregistrys sind unter z/OS höchst funktional, da z/OS nicht auf einen einzelnen Server beschränkt ist. z/OS stellt Funktionen wie die Zuordnung von Zertifikaten zu Benutzern, Autorisierung und Delegierung bereit.
  • Identitätszusicherung: Verwenden Sie zur Autorisierung der Zusicherung Trusted Server oder CBIND. Auf einer verteilten Plattform muss ein Server in die Trusted-Server-Liste aufgenommen werden. Unter z/OS muss eine Server-ID eine spezielle CBIND-Berechtigung haben. Die Zusicherungstypen sind SAF-Benutzer-ID, DN und SSL-Clientzertifikat.
  • zSAS- und SAS-Authentifizierungsprotokolle für IIOP-Clients: z/SAS unterstützt RACF-PassTickets und unterscheidet sich damit von SAS. Die SAS-Schicht von WebSphere (Verteilte Plattformen) verwendet portierbare CORBA-Interceptor (Common Object Request Broker Architecture) für die Implementierung des Secure Association Service, z/OS jedoch nicht.
  • CORBA-Features: z/OS bietet keine Unterstützung für CORBA-Sicherheitsschnittstellen, einschließlich der aktuellen CORBA-Modelle LoginHelper, Credentials und ServerSideAuthenticator. Die CORBA-Funktionen wurden auf JAAS migriert.

    Die Anwendungsprogrammierschnittstelle LoginHelp wird in WebSphere Application Server Version 9.0 nicht weiter unterstützt. Weitere Informationen hierzu finden Sie im Artikel Programmgesteuerte CORBA-Anmeldung (Common Object Request Broker Architecture) auf JAAS (Java Authentication and Authorization Service) migrieren (CORBA und JAAS).

  • Authentifizierungsprotokolle: CSIV2 ist eine OMG-Spezifikation (Object Management Group) für den z/OS Security Server und wird automatisch zusammen mit der WebSphere-Sicherheit aktiviert. Dieser dreischichtige Ansatz umfasst Secure Sockets Layer Transport Layer Security (SSL/TLS) für Nachrichtenschutz, eine ergänzende Clientauthentifizierungsschicht für Benutzer und Kennwörter (GSSUP, Generic Security Services Username Password) und eine Sicherheitsattributschicht, die von Servern der mittleren Schicht (die spezielle Berechtigungen für den Zielserver benötigen) für die Zusicherung der Identität verwendet wird.

Konformität mit J2EE 1.3

Zur Konformität mit J2EE gehört unter anderem:
  • CSIV2-Konformitätsstufe "0": Dies ist eine OMG-Spezifikation (für den z/OS Security Server), die Teil der CORBA-Unterstützung ist. CSIV2 wird automatisch aktiviert, wenn die Sicherheit aktiviert wird.
  • Verwendung der Java-2-Sicherheit: "Standardmäßig" ist die "Java-2-Sicherheit aktiviert". Im Gegensatz zur subjektbezogenen Autorisierung ermöglicht diese Sicherheit eine sehr detaillierte codebasierte Zugriffssteuerung. Jede Klasse gehört zu einer bestimmten Domäne. Zu den von der Java-2-Sicherheit geschützten Berechtigungen gehören die Berechtigungen für Dateizugriff, Netzzugriff, Sockets, Beenden der JVM, Eigenschaftenverwaltung und Threads. Java 2 verwendet den Sicherheitsmanager für die Verwaltung der Sicherheit und die Realisierung des erforderlichen Schutzes. Zu den Erweiterungen der Java-2-Sicherheit gehören dynamische Richtlinien (keine codebasierten, sondern ressourcenbasierte Berechtigungen), in Schablonenprofilen definierte Standardberechtigungen für Ressourcen und Filterdateien zum Inaktivieren von Richtlinien.
  • Verwendung der JAAS-Programmierung: Zur JAAS-Programmierung gehört eine Standardgruppe von APIs für die Authentifizierung. JAAS ist ein strategisches Autorisierungs- und Authentifizierungsverfahren. IBM® Developer Kit for Java Technology Edition Version 5 ist im Lieferumfang von WebSphere Version Version 9.0 (allerdings mit Erweiterungen) enthalten.
  • Verwendung der Servletfunktion RunAs: In WebSphere Application Server für verteilte Plattformen (nicht auf der Plattform z/OS) wird diese Funktion als Delegierungsrichtlinie bezeichnet. Sie können die Identität so ändern, dass sie als System, Aufrufer oder Rolle (Benutzer) ausgeführt wird. Diese Funktion ist jetzt Bestandteil der Servlet-Spezifikation. Für die Authentifizierung wird eine Kombination aus Benutzer-ID und ein Kennwort verwendet und anschließend wird der Aliasname der entsprechenden XML-Datei oder einem EJBROLE zugeordnet, um die Benutzer-ID der RunAs-Rolle festzustellen.

Konformität mit WebSphere Application Server Network Deployment auf API/SPI-Ebene

Die Konformität mit WebSphere Application Server Network Deployment auf API- (Application Programming Interface) oder SPI-Ebene (Service Provider Programming Interface) vereinfacht die Implementierung von Anwendungen aus WebSphere Application Server Network Deployment unter z/OS. In WebSphere Application Server Network Deployment erweiterte oder nicht mehr unterstützte Features sind gleichermaßen in z/OS erweitert oder nicht mehr unterstützt. Dies bedeutet jedoch nicht, dass Benutzer von z/OS keine Migration durchführen müssten. Die Konformität mit WebSphere WebSphere Application Server Network Deployment auf API/SPI-Ebene gilt für Folgendes:
  • Erweiterungen von WebSphere Application Server für das JAAS-Programmiermodell: Das Berechtigungsmodell ist eine Erweiterung des Java-2-Sicherheitsmodells für die JAAS-Programmierung (damit dieses mit dem J2EE-Modell zusammenarbeiten kann). Die auf Subjects basierende Autorisierung wird für authentifizierte Benutzer-IDs ausgeführt. An Stelle der einfachen Anmeldung mit Benutzer-ID und Kennwort gibt es jetzt einen Anmeldeprozess, bei dem ein Anmeldekontext erstellt wird, Callback-Handler zum Anfordern von Benutzer-ID und Kennwort übergeben werden und die Anmeldung erfolgt. WebSphere Application Server for z/OS stellt das Anmeldemodul, den Callback-Handler zum Abrufen der erforderlichen Daten, die Callbacks, die WSSubject-Option sowie getCallerSubject und getRunAsSubject bereit.
  • Verwendung der Sicherheits-APIs von WebSphere Application Server: z/OS unterstützt Sicherheits-APIs von WebSphere Application Server.
  • Verwendung sicherer JMX-Connector: JMX-Connector können mit Benutzer-ID und Kennwort als Berechtigungsnachweis verwendet werden. Es gibt die Connectortypen RMI und SOAP/HTTPS. (Beide sind für die Verwaltung bestimmt.) Der SOAP-Connector verwendet die JSSE-SSL-Repertoires. Für den RMI-Connector gelten dieselben Einschränkungen und Vorteile wie für IIOP-Verfahren (wie CSIV2).

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_oversecure
Dateiname:csec_oversecure.html