[z/OS]

Verwaltungssicherheit und Standardsicherheitsrichtlinie für Anwendungen aktivieren

Konfigurieren Sie in dieser Anzeige die Verwaltung und die Standardsicherheitsrichtlinie für Anwendungen. Diese Sicherheitskonfiguration gilt für die Sicherheitsrichtlinie aller Verwaltungsfunktionen und wird als Standardsicherheitsrichtlinie für Benutzeranwendungen verwendet. Wenn Sie die Sicherheitsrichtlinien für Benutzeranwendungen überschreiben und anpassen möchten, können Sie Sicherheitsdomänen definieren.

Informationen zu diesem Vorgang

Starten Sie die Administrationskonsole mit folgendem URL:
http://Hostname_des_Servers:Portnummer/ibm/console

Führen Sie zum Aktivieren der Verwaltungssicherheit die folgenden Schritte aus: Die Optionen in der Anzeige "Globale Sicherheit" für die Implementierung der Sicherheit in Ihrer Umgebung sind flexibler als die Optionen in den früheren Releases von WebSphere Application Server.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Wählen Sie die Option Verwaltungssicherheit aktivieren aus.
  3. Optional: Wählen Sie die Option Anwendungssicherheit aktivieren ab, wenn WebSphere Application Server keine Authentifizierung von Anwendungsbenutzern voraussetzen soll.
  4. Optional: Wählen Sie die Option Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken ab, wenn Sie die Überprüfung der Java-2-Sicherheitsberechtigungen nicht aktivieren möchten.
    Wenn die Java™-2-Sicherheit aktiviert ist und eine Anwendung mehr Java-2-Sicherheitsberechtigungen benötigt, als in der Standardrichtlinie angegeben sind, wird die Anwendung möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei app.policy oder was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen Berechtigungen besitzen, generieren AccessControl-Ausnahmen. Lesen Sie die Dokumentation zur Java-2-Sicherheit und zu dynamischen Richtlinien, falls Sie mit diesen Themen nicht vertraut sind.
    Anmerkung: Aktualisierungen der Datei app.policy gelten nur für die Unternehmensanwendungen, die auf dem Knoten ausgeführt werden, zu dem die Datei app.policy gehört.
    1. Optional: Wählen Sie die Option Warnen, wenn Anwendungen angepasste Berechtigungen erteilt werden aus. Die Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der J2EE 1.3-Spezifikation nicht haben dürfen. Wenn eine Anwendung mit einer in dieser Richtliniendatei definierten Berechtigung installiert wird und diese Option ausgewählt ist, wird eine Warnung ausgegeben. Diese Option ist standardmäßig ausgewählt.
    2. Optional: Wählen Sie die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken aus, wenn Sie den Anwendungszugriff auf sensible Authentifizierungsdaten für die JCA-Zuordnung (Java EE Connector Architecture) beschränken müssen.

      Nähere Informationen hierzu finden Sie im Artikel Einstellungen für globale Sicherheit.

  5. Wählen Sie im Menü Authentifizierungsverfahren und Verfallszeit das aktive Authentifizierungsverfahren aus, wenn die Sicherheit aktiviert ist. In diesem Release von WebSphere Application Server gehören LTPA und Kerberos zu den verfügbaren Authentifizierungsverfahren.
    Anmerkung: SWAM wurde in WebSphere Application Server Version Version 9.0 als veraltet gekennzeichnet und wird in einem der künftigen Releases entfernt.
  6. Verwenden Sie das Menü Repository für Benutzeraccounts aus, um Repository anzugeben, das bei aktivierter Sicherheit aktiv ist. Sie können für eine der folgenden Benutzerrepositorys Einstellungen konfigurieren:
    Eingebundene Repositorys
    Mit der Funktion "Eingebundene Repositorys" können Sie mehrere Registrys für WebSphere Application Server verwenden. Diese Registrys, z. B. dateibasierte oder LDAP-Registrys bzw. eine untergeordnete Baumstruktur einer LDAP-Registry, werden in einem einzigen Repository definiert und theoretisch kombiniert.
    Lokales Betriebssystem
    Die Implementierung ist eine SAF-konforme Registry, wie z. B. Resource Access Control Facility (RACF), die in einem MVS-Sysplex gemeinsam genutzt wird.
    Eigenständige LDAP-Registry
    Die Einstellungen der eigenständigen LDAP-Registry werden verwendet, wenn Benutzer und Gruppen sich in einem externen LDAP-Verzeichnis befinden. Wenn bei aktivierter Sicherheitseinrichtung eines dieser Eigenschaften geändert wird, müssen Sie zur Anzeige Globale Sicherheit wechseln und auf OK oder Anwenden klicken, um die Änderungen zu überprüfen.
    Eigenständige angepasste Registry
    Das Feature für die eigenständige angepasste Registrys unterstützt alle Benutzerregistrys, die nicht von WebSphere Application Server implementiert werden. Durch die Implementierung der Schnitttstelle UserRegistry haben Sie die Möglichkeit, jede beliebige Benutzerregistry in der Produktionsumgebung zu nutzen.
  7. Optional: Wählen Sie in der Anzeige Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln die Option FIPS-Algorithmen verwenden aus, wenn Sie eine FIPS-zertifizierte JSSE verwenden. WebSphere Application Server unterstützt ein Channel-Framework, das mit IBMJSSE2 arbeitet. IBMJSSE2 verwendet IBMJCEFIPS für die Verschlüsselungsunterstützung, wenn Sie die Option FIPS-Algorithmen (Federal Information Processing Standard) verwenden auswählen.
  8. Klicken Sie auf OK.

    In dieser Anzeige wird die Sicherheitskonfiguration abschließend auf ihre Gültigkeit überprüft. Wenn Sie in dieser Anzeige auf OK oder Anwenden klicken, wird die Routine für die Gültigkeitsprüfung der Sicherheit ausgeführt und alle gefundenen Probleme werden gemeldet. Wenn Sie alle Felder ausgefüllt haben, klicken Sie auf OK oder Anwenden, um die ausgewählten Einstellungen zu übernehmen. Klicken Sie auf Speichern, um die Einstellungen persistent in eine Datei zu schreiben. Falls Sie Informationsnachrichten in roter Textfarbe sehen, gibt es Probleme mit der Validierung der Sicherheit. In der Regel ist der Fehler in der Nachricht angegeben. Gehen Sie Ihre Konfiguration erneut durch, und stellen Sie sicher, dass die Einstellungen für die Benutzerregistry stimmen und die richtige Registry ausgewählt wurde. Es kann vorkommen, dass die LTPA-Konfiguration nicht vollständig angegeben ist.

    Nähere Informationen hierzu finden Sie im Artikel Einstellungen für globale Sicherheit.

  9. Optional: Konfigurieren Sie die SAF-Berechtigung. Weitere Informationen zu diesen Einstellungen finden Sie im Artikel z/OS-SAF-Berechtigung.

Ergebnisse

Die Konfiguration ist erfolgreich, wenn keine Fehlernachrichten angezeigt werden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablglobl
Dateiname:tsec_enablglobl.html