Sicherheitsrichtlinie installierter Anwendungen mit wsadmin-Scripting an einen JACC-Provider weitergeben

Es ist möglich, dass Sie bereits Anwendungen installiert haben, bevor Sie die JACC-basierte (Java™ Authorization Contract for Containers) Berechtigung aktivieren. Sie können mit der Standardberechtigung anfangen und später dann auf die JACC-basierte Berechtigung mit einem externen Provider umstellen.

Vorbereitende Schritte

Bewährtes Verfahren Bewährtes Verfahren: Verwenden Sie das Tool wsadmin, um Informationen, unabhängig vom Anwendungsinstallationsprozess an den JACC-Provider weiterzugeben und Anwendungen nicht erneut installieren zu müssen. Möglicherweise sind auch während der Installation oder Änderung der Anwendung Probleme bei der Weitergabe der Sicherheitsrichtlinie an den JACC-Provider aufgetreten (z. B. Netzprobleme, JACC-Provider nicht verfügbar usw.). In diesem Fall steht die Sicherheitsrichtlinie der zuvor installierten Anwendungen dem JACC-Provider für Zugriffsentscheidungen nicht zur Verfügung. Eine Möglichkeit ist die, die beteiligten Anwendungen erneut zu installieren. Eine erneute Installation kann jedoch mit dem Scripting-Tool wsadmin vermieden werden. Verwenden Sie dieses Tool, um Informationen unabhängig vom Anwendungsinstallationsprozess an den JACC-Provider weiterzugeben. Bei Verwendung dieses Tools ist eine erneute Installation der Anwendungen überflüssig.bprac

Das Tool verwendet die MBean SecurityAdmin, um die Richtlinieninformationen aus dem Implementierungsdeskriptor einer installierten Anwendung an den JACC-Provider weiterzugeben. Sie können dieses Tool mit wsadmin für das Basisprodukt auf Anwendungsserverebene und für das Produkt WebSphere Application Server Network Deployment auf Deployment-Manager-Ebene aufrufen. Die MBean SecurityAdmin ist nur verfügbar, wenn der Server aktiv ist.

Verwenden Sie propagatePolicyToJACCProvider{-appNames appNames}, um die Richtlinieninformationen im Implementierungsdeskriptor oder Annotationen aus den EAR-Dateien an den JACC-Provider weiterzugeben. Falls der JACC-Provider die Schnittstellen RoleConfigurationFactory und RoleConfiguration vom JACC-Provider implementiert, werden auch die Informationen aus den Berechtigungstabellen in den Bindungsdateien der EAR-Dateien an den Provider weitergegeben. Weitere Informationen zu diesen Schnittstellen finden Sie im Artikel "Schnittstellen, die JACC unterstützen".

Die appNames-Zeichenfolge enthält die Liste der Anwendungsnamen (mit Doppelpunkten (:) als Trennzeichen), deren Richtlinieninformationen im Provider gespeichert werden müssen. Falls appNames nicht vorhanden ist, werden die Richtlinieninformationen aller implementierten Anwendungen an den Provider weitergegeben.

Achten Sie außerdem auf die folgenden Punkte:
  • Bevor Sie Anwendungen auf den JACC-Provider von Tivoli Access Manager migrieren, erstellen oder importieren Sie die in den Anwendungen enthaltenen Benutzer und Gruppen in Tivoli Access Manager.
  • Je nach Anwendung oder Anzahl der weitergegebenen Anwendungen müssen Sie möglicherweise das Anforderungszeitlimit in der Datei soap.client.props im Verzeichnis Profilstammverzeichnis/properties (bei Verwendung von SOAP) bzw. der Datei sas.client.props (bei Verwendung von RMI) für den Befehl erhöhen. Sie können das Anforderungszeitlimit auf 0 einstellen, um das Zeitlimitproblem zu umgehen, und nach der Ausführung des Befehls wird auf den ursprünglichen Wert zurücksetzen.

Vorgehensweise

  1. JACC-Provider in WebSphere Application Server konfigurieren.

    Weitere Informationen finden Sie im Artikel "Zugriff auf J2EE-Ressourcen mit Tivoli Access Manager berechtigen".

  2. Starten Sie den Server erneut.
  3. Geben Sie die folgenden Befehle ein:
    wsadmin>$AdminTask propagatePolicyToJACCProvider {-appNames appNames}

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_jaccmigrate
Dateiname:tsec_jaccmigrate.html