Weitergabe von JACC-Richtlinien
Wenn eine Anwendung unter WebSphere Application Server installiert oder implementiert wird, werden die Richtlinieninformationen in der Anwendung beim Speichern der Konfiguration an den Provider weitergegeben. Die Kontext-ID für diese Anwendung wird in der zugehörigen Datei application.xml gespeichert. Diese Datei wird für die Weitergabe der Richtlinie an den JACC-Provider (Java™ Authorization Contract for Containers) und für Entscheidungen über den Zugriff auf Java EE-Ressourcen (Java Platform, Enterprise Edition) verwendet.
Wenn eine Anwendung deinstalliert wird, werden die Sicherheitsrichtlinieninformationen der Anwendung beim Speichern der Konfiguration aus dem Provider entfernt.
Hat der Provider die Schnittstelle RoleConfiguration implementiert, enthalten die an den Richtlinienprovider weitergegebenen Daten auch die Informationen der Berechtigungstabelle. Weitere Informationen zu dieser Schnittstelle finden Sie im Artikel Schnittstellen, die JACC unterstützen.
Falls eine Anwendung keine Sicherheitsrichtlinieninformationen enthält, sind die PolicyConfiguration-Objekte (und ggf. die RoleConfiguration-Objekte) leer. Das Vorhandensein leerer PolicyConfiguration- und RoleConfiguration-Objekte zeigt an, dass es für das Modul keine Sicherheitsrichtlinieninformationen gibt.
Eine installierte Anwendung kann aktualisiert werden, ohne zuvor deinstalliert und erneut installiert werden zu müssen. Sie können beispielsweise ein neues Modul zu einer Anwendung hinzufügen oder ein vorhandenes Modul modifizieren. In diesem Fall werden die Informationen der betroffenen Module standardmäßig an den Provider weitergegeben. Ein Modul ist betroffen, wenn im Rahmen des Updates der Implementierungsdeskriptor des Moduls oder Anmerkungen im Modul geändert wurden. Falls der Provider die RoleConfiguration-Schnittstellen unterstützt, wird die gesamte Berechtigungstabelle für diese Anwendung an den Provider weitergegeben.
Falls die Sicherheitsinformationen bei Anwendungsaktualisierungen nicht an den Provider weitergegeben werden sollen, können Sie die JVM-Eigenschaft "com.ibm.websphere.security.jacc.propagateonappupdate" im Deployment Manager, in einer Network Deployment-Umgebung oder im nicht verwalteten Basisanwendungsserver auf false setzen. Wenn diese Eigenschaft den Wert false hat, werden Aktualisierungen einer vorhandenen Anwendung im Server nicht an den Provider weitergegeben. Sie können diese Eigenschaft auch für einzelne Anwendungen setzen. Bearbeiten Sie dazu die angepassten Eigenschaften einer Anwendung. Hierfür können Sie das Tool wsadmin verwenden. Wird diese Eigenschaft auf Anwendungsebene gesetzt, werden Updates dieser Anwendung nicht an den Provider weitergegeben. Bei einem vollständigen Update wird der Provider mit den gesamten Sicherheitsrichtlinieninformationen der Anwendung aktualisiert. Das Ersetzen einer EAR-Datei durch eine neue EAR-Datei wird beispielsweise als vollständiges Update angesehen.
Wenn eine Anwendung installiert und gespeichert wird, aktualisiert der Deployment Manager die Sicherheitsrichtlinieninformationen der Anwendung im Provider. An die jeweiligen Knoten wird die Anwendung jedoch erst weitergegeben, wenn der Synchronisationsbefehl abgesetzt und abgeschlossen wurde. Wenn eine Anwendung deinstalliert und die Konfiguration dann im Deployment Manager gespeichert wird, wird die Richtlinie für diese Anwendung aus dem JACC-Provider entfernt.
Solange der Deployment Manager jedoch den Synchronisationsbefehl nicht für die Knoten, auf denen die Anwendung bereitgestellt wird, abgesetzt und beendet hat, wird die Anwendung auf diesen Knoten weiter ausgeführt. Der Zugriff auf diese Anwendung würde in diesem Fall verweigert werden, weil dem JACC-Provider keine für die Zugriffsentscheidung erforderlichen Daten vorliegen. Beachten Sie, dass der Deployment Manager Anwendungsupdates auch an den Provider weitergibt. Die Änderungen im Provider gehen daher erst nach Abschluss der Synchronisation mit den Anwendungen auf den Knoten konform.
Wie bereits erwähnt, werden die Informationen zur Sicherheitsrichtlinie während der Sicherungsoperation an den JACC-Provider weitergegeben. Die Datei SystemOut.log gibt Aufschluss darüber, ob die Weitergabe an den Provider erfolgreich war oder nicht. Überprüfen Sie die Protokolldatei nach der Installation, um sicherzustellen, dass bei der Weitergabe keine Probleme aufgetreten sind. Falls bei der Weitergabe Probleme aufgetreten sind, schlägt der Zugriff auf die Anwendung fehl, wenn Tivoli Access Manager als JACC-Provider verwendet wird.
Falls die Sicherheitsrichtlinie für die Anwendung ordnungsgemäß an den Provider weitergegeben wurde, sind in den Dateien Prüfanweisungen mit dem Nachrichtenschlüssel SECJ0415I enthalten. Sollten bei der Weitergabe der Sicherheitsrichtlinie an den Provider Fehler aufgetreten sein (z. B. Netzfehler, JACC-Provider nicht verfügbar), enthalten die Dateien SystemOut.log Fehlernachrichten mit den Nachrichtenschlüsseln SECJ0396E (Installation) und SECJ0398E (Änderung). Die Installation der Anwendung wird wegen eines Fehlers bei der Weitergabe der Sicherheitsrichtlinie an den JACC-Provider nicht gestoppt. Es werden auch keine Ausnahme- oder Fehlernachrichten während der Speicheroperation aufgezeichnet. Führen Sie nach der Behebung dieses Fehlers das Tool propagatePolicyToJaccProvider aus, um die SSicherheitsrichtlinie an den Provider weiterzugeben, ohne die Anwendung erneut zu installieren. Weitere Informationen finden Sie im Artikel Sicherheitsrichtlinie installierter Anwendungen mit wsadmin-Scripting an einen JACC-Provider weitergeben.