Mit PolicyTool Richtliniendateien für die Java-2-Sicherheit verwenden

Verwenden Sie das Dienstprogramm PolicyTool, um Richtliniendateien zu aktualisieren.

Vorbereitende Schritte

Die Java™-2-Sicherheit verwendet mehrere Richtliniendateien, um die erteilte Berechtigung für jedes Java-Programm zu bestimmen. Java Development Kit stellt das Tool PolicyTool für die Bearbeitung dieser Richtliniendateien bereit. Dieses Tool wird für das Editieren jeder Richtliniendatei empfohlen, um die Syntax des Dateiinhalts überprüft wird. Syntaxfehler in der Richtliniendatei führen beim Ausführen von Anwendungen, wozu auch das Starten des Servers gehört, zu einer Ausnahme des Typs AccessControlException. Die Ursache dieser Ausnahme zu ermitteln, kann schwierig sein, wenn der Benutzer nicht bestens mit den Ressourcen eines ungültigen Zugriffs vertraut ist. Gehen Sie beim Bearbeiten dieser Richtliniendateien sehr sorgfältig vor.

Eine Liste der verfügbaren Richtliniendateien finden Sie im Artikel Richtliniendateien für die Java-2-Sicherheit.

[z/OS]Zur Verwendung des Dienstprogramms PolicyTool mit WebSphere Application Server for z/OS wählen Sie eine der folgenden beiden Optionen aus:
  • Sie können die Richtliniendateien auf eine andere Plattform als Microsoft Windows kopieren und die Dateien ändern. Um diese Möglichkeit nutzen zu können, müssen Sie die Dateien mit FTP auf die andere Plattform übertragen, das Dienstprogramm PolicyTool aufrufen und die aktualisierten Dateien anschließend wieder im Binärmodus auf das z/OS-System übertragen.
  • Rufen Sie das Dienstprogramm PolicyTool auf, das mit dem auf Ihrem z/OS-System installierten Software Development Kit (SDK) bereitgestellt wird.

[IBM i]Sie müssen entweder den Client oder die Plug-in-Komponente von WebSphere Application Server auf einer Workstation installieren, um auf das Dienstprogramm PolicyTool zugreifen zu können. Derzeit wird das Tool auf dem iSeries-Server nicht unterstützt.

Vorgehensweise

  1. [z/OS]Rufen Sie das Dienstprogramm PolicyTool auf, das mit dem auf Ihrem z/OS-System installierten Software Development Kit (SDK) bereitgestellt wird.
    1. Exportieren Sie die Anzeige auf eine Einheit mit Xwindows-Unterstützung. Geben Sie in Open MVS (OMVS) beispielsweise den Befehl export DISPLAY=<IP-Adresse_der_Xwindows-Einheit>:0.0 ein.
    2. Stellen Sie das z/OS-System so ein, dass es auf die Anzeige der Einheit mit Xwindows-Unterstützung zugreifen kann. Geben Sie auf einem AIX-System beispielsweise xhost + Adresse_des_MVS-Systems ein.
    3. Konvertieren Sie die Richtliniendatei im Format Extended Binary Coded Decimal Interchange Code (EBCDIC).
    4. Rufen Sie das Dienstprogramm PolicyTool unter OMVS mit dem Befehl $JAVA_HOME>/policytool auf. Die Variable JAVA_HOME steht für das Verzeichnis, in dem das SDK installiert ist.
  2. [IBM i]Ordnen Sie dem Betriebssystem ein Laufwerk zu, um in der Verzeichnisstruktur zur Richtliniendatei zu navigieren.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Starten Sie das Dienstprogramm PolicyTool.
    [Windows]In einer Windows-Eingabeaufforderung können Sie beispielsweise den folgenden Befehl eingeben:
    %{was.install.root}/java/jre/bin/policytool

    [AIX Solaris HP-UX Linux Windows]Daraufhin wird das Fenster PolicyTool geöffnet. Das Tool sucht in Ihrem Ausgangsverzeichnis nach der Datei java.policy. Wenn die Datei nicht vorhanden ist, wird eine Fehlernachricht angezeigt.

    Klicken Sie auf OK.

  4. Klicken Sie auf File > Open.
  5. Navigieren Sie im Fenster Open in der Verzeichnisstruktur zu der Richtliniendatei, die Sie aktualisieren müssen. Klicken Sie nach Auswahl der Richtliniendatei auf Open. Im Fenster werden die Einträge der Codebasis aufgelistet.
  6. Erstellen oder ändern Sie den Codebasiseintrag.
    1. Ändern Sie den vorhanden Codebasiseintrag, indem Sie doppelt auf die Codebasis oder auf die Codebasis klicken und dann Edit Policy Entry auswählen. Daraufhin erscheint das Fenster "Policy Entry" mit der Liste der für die ausgewählte Codebasis definierten Berechtigungen.
    2. Erstellen Sie einen neuen Codebasiseintrag. Klicken Sie dazu auf Add Policy Entry.

      Daraufhin wird das Fenster "Policy Entry" geöffnet. Geben Sie in der Spalte mit der Codebasis die Codebasisinformation in Form einer URL an.

      [AIX Solaris HP-UX Linux Windows][z/OS]Sie können beispielsweise Folgendes eingeben:
      Stammverzeichnis_des_Anwendungsservers/InstalledApps/testcase.ear
      Die Variable Stammverzeichnis_des_Anwendungsservers steht für das Installationsverzeichnis.
      [IBM i]Sie können beispielsweise Folgendes eingeben:
      Profilstammverzeichnis/InstalledApps/testcase.ear
  7. Ändern oder fügen Sie die Berechtigungsspezifikation hinzu.
    1. Ändern Sie die Berechtigungsspezifikation, indem Sie doppelt auf den zu ändernden Eintrag klicken oder die Berechtigung auswählen und auf Edit Permission klicken. Daraufhin erscheint das Fenster "Permissions" mit den Informationen zur ausgewählten Berechtigung.
    2. Fügen Sie eine neue Berechtigung hinzu. Klicken Sie dazu auf Add Permission. Daraufhin erscheint das Fenster "Permissions". Das Fenster "Permissions" enthält vier Zeilen: Permission, Target Name, Actions und Signed By.
  8. Wählen Sie die Berechtigung in der Berechtigungsliste aus. Daraufhin wird die ausgewählte Berechtigung angezeigt. Nach Auswahl einer Berechtigung enthalten die Felder "Target Name", "Actions" und "Signed By" automatisch die gültigen Optionen oder ermöglichen die Eingabe von Text im Texteingabebereich.
    1. Wählen Sie in der Liste Target Name aus, oder geben Sie im Texteingabebereich den Zielnamen ein.
    2. Wählen Sie in der Liste Actions aus.
    3. Geben Sie, sofern erforderlich, Signed By ein.
      Wichtig: Das Schlüsselwort "Signed By" wird in den folgenden Richtliniendateien nicht unterstützt: app.policy, spi.policy, library.policy, was.policy und filter.policy. In den folgenden Richtliniendateien wird das Schlüsselwort "Signed By" unterstützt: #java.policy, server.policy und client.policy. Java Authentication and Authorization Service (JAAS) wird in den Dateien app.policy, spi.policy, library.policy, was.policy und filter.policy nicht unterstützt. Das JAAS-Principalschlüsselwort wird jedoch in einer JAAS-Richtliniendatei unterstützt, wenn es mit der JVM-Systemeigenschaft "java.security.auth.policy" angegeben wird.
  9. Klicken Sie auf OK, um das Fenster "Permissions" zu schließen. Es werden die geänderten Berechtigungen für die angegebene Codebasis angezeigt.
  10. Klicken Sie auf Done, um das Fenster zu schließen. Daraufhin werden die geänderten Codebasiseinträge aufgelistet. Wiederholen Sie die vorherigen Schritte, bis Sie alle gewünschten Einträge bearbeitet haben.
  11. Klicken Sie auf File > Save, nachdem Sie die gewünschten Änderungen in der Datei vorgenommen haben.
  12. [z/OS]Konvertieren Sie die Richtliniendatei vom Format EBCDIC wieder in das Format ASCII.

Ergebnisse

Sie haben eine Richtliniendatei aktualisiert. Verwenden Sie zum Editieren von Richtliniendateien stets das Tool PolicyTool. Editieren Sie Richtliniendateien nicht manuell. Syntaxfehler in der Richtliniendatei können dazu führen, dass Anwendungsserver oder Unternehmensanwendungen nicht gestartet werden oder nicht ordnungsgemäß funktionieren. Damit die Änderungen in der aktualisierten Richtliniendatei wirksam werden, müssen Sie die Java-Prozesse erneut starten.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_policytool
Dateiname:tsec_policytool.html