Einstellungen für globale Sicherheit
Verwenden Sie diese Seite, um die Richtlinie für die Verwaltungssicherheit und die Standardanwendungssicherheit zu konfigurieren. Diese Sicherheitskonfiguration gilt für die Sicherheitsrichtlinie aller Verwaltungsfunktionen und wird als Standardsicherheitsrichtlinie für Benutzeranwendungen verwendet. Wenn Sie die Sicherheitsrichtlinien für Benutzeranwendungen überschreiben und anpassen möchten, können Sie Sicherheitsdomänen definieren.
Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf
.Die Sicherheit hat Auswirkungen auf die Leistung Ihrer Anwendungen.
Die Leistungsauswirkungen können je nach Auslastungsmerkmalen der Anwendung variieren.
Sie müssen zuerst feststellen, ob die erforderliche Sicherheitsstufe für Ihre Anwendungen aktiviert ist, und anschließend die
Auswirkungen auf die Leistung Ihrer Anwendungen messen.
Wenn die Sicherheit konfiguriert ist, empfiehlt es sich, alle Änderungen in den Anzeigen der Registry bzw. des Authentifizierungsverfahrens zu überprüfen. Klicken Sie auf Anwenden, um die Einstellungen für die Benutzerregistry zu ändern. Es wird versucht, die Server-ID für die konfigurierte Benutzerregistry zu authentifizieren bzw. (falls internalServerID verwendet) wird die Administrator-ID zu validieren. Wenn Sie die Einstellungen der Benutzerregistry nach der Aktivierung der Verwaltungssicherheit überprüfen, können Sie Fehler vermeiden, wenn Sie den Server zum ersten Mal erneut starten.
Konfigurationsassistent für Sicherheit
Startet einen Assistenten, mit dem Sie die Basiseinstellungen für Verwaltungs- und Anwendungsschutz konfigurieren können. Dieser Prozess beschränkt die Verwaltungstasks und -anwendungen auf berechtigte Benutzer.
Mit diesem Assistenten können Sie die Anwendungssicherheit, die Ressourcen- oder J2C-Sicherheit (Java 2 Connector) sowie eine Benutzerregistry konfigurieren. Sie können eine vorhandene Registry konfigurieren und Verwaltungs-, Anwendungs- und Ressourcensicherheit aktivieren.
Wenn Sie Änderungen, die Sie mit dem Konfigurationsassistenten für Sicherheit durchgeführt haben, anwenden möchten, ist die Verwaltungssicherheit standardmäßig aktiviert.
Bericht zur Sicherheitskonfiguration
Startet einen Bericht, der die aktuellen Sicherheitseinstellungen des Anwendungsservers erfasst und anzeigt. Es werden Informationen zu den Kernsicherheitseinstellungen, Benutzern und Gruppen mit Verwaltungsaufgaben, CORBA-Benennungsrollen und zum Cookiezugriffsschutz erfasst. Wenn mehrere Sicherheitsdomänen konfiguriert sind, wird im Bericht die Sicherheitskonfiguration jeder Domäne angezeigt.
Es gibt derzeit eine Einschränkung für den Bericht. Er zeigt keine Sicherheitsinformationen auf Anwendungsebene an. Außerdem enthält der Bericht keine Informationen zur JMS-Sicherheit (Java Message Service), zur Bussicherheit und zu Web Services Security.
Verwaltungssicherheit aktivieren
Gibt an, ob die Sicherheit für diese Anwendungsserverdomäne aktiviert werden soll. Die Verwaltungssicherheit setzt voraus, dass Benutzer sich authentifizieren, bevor Sie die administrative Steuerung des Anwendungsservers übernehmen können.
Weitere Informationen finden Sie unter den den zugehörigen Links zu Verwaltungsrollen und Verwaltungsberechtigung.
Bei der Aktivierung der Sicherheit müssen Sie auch die Konfiguration eines Authentifizierungsverfahrens festlegen und eine gültige Kombination aus Benutzer-ID und Kennwort in der ausgewählten Benutzer-Konfiguration angeben (oder eine gültige Administrator-ID, wenn internalServerID verwendet wird).
- Klicken Sie auf .
- Wählen Sie unter "Repository für Benutzeraccounts" das Repository aus und klicken Sie auf Konfigurieren.
Geben Sie im Abschnitt "Serverbenutzer-ID" die Server-ID und das Kennwort an.
Sie können die Option Gestartete z/OS-Task nur angeben, wenn Lokales Betriebssystem als
Benutzerregistry ausgewählt ist.
Wenn Probleme auftreten, wenn z. B. der Server nach dem Aktivieren der Sicherheitseinrichtung innerhalb der Sicherheitsdomäne nicht gestartet wird, müssen Sie alle Dateien der Zelle auf diesem Knoten erneut synchronisieren. Zum erneuten Synchronisieren der Dateien führen Sie auf dem Knoten den folgenden Befehl aus: syncNode -username Ihre_Benutzer-ID -password Ihr_Kennwort. Dieser Befehl stellt eine Verbindung zum Deployment Manager her und führt eine erneute Synchronisation aller Dateien durch.
Sollte der Server nach dem Aktivieren der Verwaltungssicherheit nicht
gestartet werden, können Sie die Sicherheit inaktivieren. Wechseln Sie in das Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin und führen
Sie den Befehl wsadmin -conntype NONE aus. Geben Sie an der Eingabeaufforderung wsadmin>
den Befehl securityoff und dann exit ein, um zu einer Eingabeaufforderung zurückzukehren. Starten
Sie den Server mit inaktivierter Sicherheit erneut, um mit der Administrationskonsole festzustellen,
ob Einstellungen ungültig sind.
Benutzer einer Registry vom Typ LocalOS: Wenn Sie
LocalOS als aktive Benutzerregistry auswählen, müssen Sie in der Konfiguration
der Benutzerregistry kein Kennwort angeben.
Information | Wert |
---|---|
Standardeinstellung | Aktiviert |
Anwendungssicherheit aktivieren
Aktiviert die Sicherheit für die Anwendungen in Ihrer Umgebung. Diese Art der Sicherheit ermöglicht die Isolierung von Anwendungen und Anforderungen für eine Authentifizierung von Anwendungsbenutzern.
Wenn in früheren Releases von WebSphere Application Server die globale Sicherheit aktiviert wurde, war damit sowohl die Verwaltungssicherheit als auch die Anwendungssicherheit aktiviert. In WebSphere Application Server Version 6.1 hat sich das frühere Konzept der globalen Sicherheit geändert. Es gibt jetzt eine Verwaltungssicherheit und eine Anwendungssicherheit, die unabhängig voneinander aktiviert werden können.
Aufgrund dieser Unterteilung müssen Clients von WebSphere Application Server wissen, ob auf dem Zielserver die Anwendungssicherheit inaktiviert ist. Standardmäßig ist die Verwaltungssicherheit aktiviert. Die Anwendungssicherheit ist standardmäßig inaktiviert. Wenn Sie die Anwendungssicherheit aktivieren möchten, müssen Sie zunächst die Verwaltungssicherheit aktivieren. Die Anwendungssicherheit ist nur bei aktivierter Verwaltungssicherheit wirksam.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |
Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken.
Legt fest, ob die Überprüfung der Java-2-Sicherheitsberechtigung aktiviert oder inaktiviert wird. Standardmäßig ist der Zugriff auf lokale Ressourcen nicht eingeschränkt. Sie können festlegen, dass die Java-2-Sicherheit auch bei Aktivierung der Anwendungssicherheit inaktiviert werden soll.
Wenn die Option Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken aktiviert ist und eine Anwendung mehr Java-2-Sicherheitsberechtigungen benötigt, als in der Standardrichtlinie angegeben sind, wird die Anwendung möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei app.policy oder was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen Berechtigungen besitzen, generieren AccessControl-Ausnahmen. Weitere Informationen zur Java-2-Sicherheit finden Sie unter den zugehörigen Links.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |
Warnen, wenn Anwendungen angepasste Berechtigungen erteilt werden
Gibt an, dass die Sicherheit bei der Implementierung und beim Start der Anwendung eine Warnung ausgibt, wenn Anwendungen angepasste Berechtigungen erteilt werden. Angepasste Berechtigungen werden von den Benutzeranwendungen, nicht von Java-API-Berechtigungen definiert. Java-API-Berechtigungen sind Berechtigungen in den Paketen java.* und javax.*.
Der Anwendungsserver bietet Unterstützung für die Verwaltung von Richtliniendateien. Es gibt in diesem Produkt eine Reihe von Richtliniendateien, von denen einige statisch und andere dynamisch sind. Eine dynamische Richtlinie ist eine Schablone mit Berechtigungen für einen bestimmten Ressourcentyp. In der Schablone für dynamische Richtlinien wird keine Codebasis definiert und keine zugehörige Codebasis verwendet. Die eigentliche Codebasis wird aus den Konfigurations- und Laufzeitdaten dynamisch erstellt. Die Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der J2EE 1.4-Spezifikation nicht haben dürfen. Weitere Informationen zu Berechtigungen finden Sie unter dem zugehörigen Link zu den Richtliniendateien für die Java-2-Sicherheit.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |
Zugriff auf Ressourcenauthentifizierungsdaten einschränken
Aktivieren Sie diese Option, um den Anwendungszugriff auf sensible Authentifizierungsdaten für die JCA-Zuordnung (Java Connector Architecture) zu beschränken.
- Die Java-2-Sicherheit ist in Kraft.
- Dem Anwendungscode wird die Berechtigung "accessRuntimeClasses WebSphereRuntimePermission"
in der Datei was.policy in der EAR-Datei der Anwendung zugewiesen.
Dem Anwendungscode ist die Berechtigung beispielsweise gewährt, wenn die folgende Zeile in der Datei
was.policy vorhanden ist:
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
Die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken erweitert die Principalstandardzuordnung der WSPrincipalMappingLoginModule-Implementierung um eine differenzierte Überprüfung der Java-2-Sicherheitsberechtigungen. Wenn die Optionen Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken und Zugriff auf Authentifizierungsdaten für Ressourcen einschränken ausgewählt sind, müssen Sie sicherstellen, dass J2EE-Anwendungen (Java 2 Platform, Enterprise Edition), die die WSPrincipalMappingLoginModule-Implementierung direkt bei der JAAS-Anmeldung (Java Authentication and Authorization Service) verwenden, eine explizite Berechtigung erhalten.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |
Aktuelle Realmdefinition
Gibt die aktuelle Einstellung für das aktive Benutzerrepository an.
Dieses Feld ist schreibgeschützt.
Verfügbare Realmdefinitionen
Gibt die verfügbaren Repositorys für Benutzeraccounts an.
- Lokales Betriebssystem
- Eigenständige LDAP-Registry
- Eigenständige angepasste Registry
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Als aktuelle Registry festlegen
Aktiviert das Benutzerrepository, nachdem es konfiguriert ist.
- Eingebundene Repositorys
- Geben Sie diese Einstellung an, um Profile in mehreren Repositorys unter einem einzigen Realm zu verwalten.
Der Realm kann sich aus Identitäten aus den folgenden Quellen zusammensetzen:
- Dateibasiertes Repository, das im System integriert ist
- Ein oder mehrere externe Repositorys
- Integriertes dateibasiertes Repository und externe Repositorys
Anmerkung: Die Konfiguration für eingebundene Repositorys kann nur von einem Benutzer mit Administratorrechten angezeigt werden. - Lokales Betriebssystem
Verwenden Sie diese Option, wenn der konfigurierte RACF-Sicherheitsserver (Resource Access Control Facility) oder ein SAF-kompatibler (System Authorization Facility) Sicherheitsserver als Benutzerregistry des Anwendungsservers verwendet werden soll.
Wenn Sie sich unter UNIX mit einer Benutzer-ID ohne Rootberechtigung angemeldet haben oder in einer Umgebung mit mehreren Knoten arbeiten, können Sie LocalOS nicht verwenden.
Die LocalOS-Registry ist nur gültig, wenn Sie einen Domänencontroller verwenden oder wenn sich die Zelle von WebSphere Application Server Network Deployment auf einer einzelnen Maschine befindet. Im letzteren Fall können Sie die Knoten in einer Zelle nicht auf mehrere Maschinen verteilen, da diese Konfiguration mit der LocalOS-Benutzerregistry nicht gültig ist.
- Eigenständige LDAP-Registry
Wenn Sie diese Option auswählen, können Sie Einstellungen für die eigenständige LDAP-Registry verwenden, wenn sich Benutzer und Gruppen in einem externen LDAP-Verzeichnis befinden. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaften geändert wird, müssen Sie in die Anzeige Anwenden oder OK klicken, um diese Änderungen zu überprüfen.
wechseln und aufAnmerkung: Da mehrere LDAP-Server unterstützt werden, beinhaltet diese Einstellung keine LDAP-Registry.- Eigenständige angepasste Registry
- Geben Sie diese Einstellung an, um Ihre eigene, eigenständige Registry zu implementieren, die die Schnittstelle "com.ibm.websphere.security.UserRegistry" implementiert. Wenn bei aktivierter Sicherheitseinrichtung eine dieser Eigenschaten geändert wird, müssen Sie in die Anzeige "Globale Sicherheit" wechseln und auf Anwenden oder OK klicken, um diese Änderungen zu überprüfen.
Information | Wert |
---|---|
Standardeinstellung | Inaktiviert |
Konfigurieren...
Wählen Sie diese Option aus, um Einstellungen für die globale Sicherheit zu konfigurieren.
Web- und SIP-Sicherheit
Klicken Sie unter "Authentifizierung" auf "Web- und SIP-Sicherheit", um Links zu den folgenden Einstellungen anzuzeigen:
- Allgemeine Einstellungen
- Single Sign-on (SSO)
- SPNEGO-Webauthentifizierung
- Trust-Association
Allgemeine Einstellungen
Wählen Sie diese Option aus, um die Einstellungen für die Webauthentifizierung anzugeben.
Single Sign-on (SSO)
Wählen Sie diese Option aus, um die Konfigurationswerte für Single Sign-on anzugeben.
Mit der SSO-Unterstützung müssen Webbenutzer beim Zugriff auf Ressourcen von WebSphere Application Server (wie HTML, JSP-Dateien, Servlets, Enterprise-Beans) und Lotus-Domino-Ressourcen nur noch einmal authentifiziert werden.
SPNEGO-Webauthentifizierung
Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) ist eine Methode, über die Web-Clients und der Server das Webauthentifizierungsprotokoll vereinbaren können, das verwendet wird, um die Kommunikation zuzulassen.
Trust-Association
Wählen Sie diese Option aus, um die Einstellungen für die Trust-Association anzugeben. Die Trust-Association wird verwendet, um Reverse-Proxy-Server mit den Anwendungsservern zu verbinden.
Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
RMI/IIOP-Sicherheit
Klicken Sie unter "Authentifizierung" auf "RMI/IIOP-Sicherheit", um Links zu den folgenden Einstellungen anzuzeigen:
- Eingehende CSIv2-Kommunikation
- Abgehende CSIv2-Kommunikation
Eingehende CSIv2-Kommunikation
Wählen Sie diese Option aus, um Authentifizierungseinstellungen für empfangene Anforderungen und Transporteinstellungen für Verbindungen festzulegen, die von diesem Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) akzeptiert werden.
- CSIv2-Attributebene. Die Attributschicht kann ein Identitätstoken enthalten, das eine Identität von einem Upstream-Server darstellt und bereits authentifiziert ist. Die Identitätsschicht hat die höchste Priorität, gefolgt von der Nachrichtenschicht und schließlich der Transportschicht. Wenn ein Client Daten über alle drei Schichten sendet, wird nur die Identitätsschicht verwendet. Das SSL-Clientzertifikat kann nur als Identität verwendet werden, wenn es die einzige Information ist, die während der Anforderung bereitgestellt wird. Der Client ruft die IOR (Interoperable Object Reference) aus dem Namespace ab und liest die Werte der markierten Komponente, um festzustellen, welche Sicherheitsmaßnahmen der Server benötigt.
- CSIv2-Transportebene. Die Transportschicht, die die niedrigste Schicht ist, kann ein SSL-Clientzertifikat (Secure Sockets Layer) als Identität enthalten.
CSIv2-Nachrichtenebene. Die Nachrichtenschicht kann eine Benutzer-ID und ein Kennwort oder ein authentifiziertes Token mit Verfallsdatum enthalten.
Abgehende CSIv2-Kommunikation
Wählen Sie diese Option aus, um Authentifizierungseinstellungen für gesendete Anforderungen und Transporteinstellungen für Verbindungen festzulegen, die von diesem Server über das Authentifizierungsprotokoll Object Management Group (OMG) Common Secure Interoperability (CSI) eingeleitet werden.
- CSIv2-Attributebene. Die Attributschicht kann ein Identitätstoken enthalten, das eine Identität von einem Upstream-Server darstellt und bereits authentifiziert ist. Die Identitätsschicht hat die höchste Priorität, gefolgt von der Nachrichtenschicht und schließlich der Transportschicht. Wenn ein Client Daten über alle drei Schichten sendet, wird nur die Identitätsschicht verwendet. Das SSL-Clientzertifikat kann nur als Identität verwendet werden, wenn es die einzige Information ist, die während der Anforderung bereitgestellt wird. Der Client ruft die IOR (Interoperable Object Reference) aus dem Namespace ab und liest die Werte der markierten Komponente, um festzustellen, welche Sicherheitsmaßnahmen der Server benötigt.
- CSIv2-Transportebene. Die Transportschicht, die die niedrigste Schicht ist, kann ein SSL-Clientzertifikat (Secure Sockets Layer) als Identität enthalten.
CSIv2-Nachrichtenebene. Die Nachrichtenschicht kann eine Benutzer-ID und ein Kennwort oder ein authentifiziertes Token mit Verfallsdatum enthalten.
Java Authentication and Authorization Service
Klicken Sie unter "Authentifizierung" auf "Java Authentication and Authorization Service", um Links zu den folgenden Optionen anzuzeigen:
- Anwendungsanmeldungen
- Systemanmeldungen
- J2C-Authentifizierungsdaten
Anwendungsanmeldungen
Wählen Sie diese Option aus, um Anmeldekonfigurationen zu definieren, die von JAAS verwendet werden.
Entfernen Sie die Anmeldekonfigurationen ClientContainer, DefaultPrincipalMapping und WSLogin nicht, weil diese unter Umständen von anderen Anwendungen verwendet werden. Wenn diese Konfigurationen entfernt werden, können in anderen Anwendungen Fehler auftreten.
Systemanmeldungen
Wählen Sie dieser Option aus, um die JAAS-Anmeldekonfigurationen zu definieren, die von Systemressourcen verwendet werden, einschließlich des Authentifizierungsverfahrens, der Principalzuordnung und der Berechtigungsnachweiszuordnung.
J2C-Authentifizierungsdaten
Wählen Sie diese Option aus, um die Einstellungen für die JAAS/J2C-Authentifizierungsdaten anzugeben.
Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
LTPA
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Für die Verschlüsselung der Authentifizierungsinformationen, die zwischen Servern ausgetauscht werden, wird unter anderem das Verfahren Lightweight Third Party Authentication (LTPA) verwendet.
Kerberos und LTPA
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver die Daten sicher von einem Server an einen anderen senden kann.
Kerberos-Konfiguration
Wählen Sie diese Option aus, wenn die Authentifizierungsinformationen so verschlüsselt werden sollen, dass der Anwendungsserver Daten sicher von einem Server an einen anderen senden kann.
Für die Verschlüsselung der Authentifizierungsinformationen, die zwischen Servern ausgetauscht werden, wird KRB5 des LTPA-Verfahrens verwendet.
Einstellungen des Authentifizierungscache
Wählen Sie diese Option aus, um die Einstellungen für den Authentifizierungscache festzulegen.
Java Authentication SPI (JASPI) aktivieren
Wählen Sie diese Option aus, um die Verwendung der JASPI-Authentifizierung (Java Authentication SPI) zu aktivieren.
Anschließend können Sie auf Provider klicken, um einen JASPI-Authentifizierungsprovider und die zugehörigen Authentifizierungsmodule in der globalen Sicherheitskonfiguration zu erstellen oder zu bearbeiten.
Realmqualifizierte Benutzernamen verwenden
Gibt an, dass die von Methoden wie getUserPrincipal() zurückgegebenen Benutzernamen im Sicherheitsrealm qualifiziert sind, in dem sie sich befinden.
Sicherheitsdomänen
Verwenden Sie den Link "Sicherheitsdomäne", um weitere Sicherheitskonfigurationen für Benutzeranwendungen zu konfigurieren.
Wenn Sie beispielsweise für eine Gruppe von Benutzeranwendungen eine andere Benutzerregistry als die auf globaler Ebene verwendete verwenden möchten, können Sie eine Sicherheitskonfiguration mit dieser Benutzerregistry erstellen und sie dieser Gruppe von Anwendungen zuordnen. Diese zusätzlichen Sicherheitskonfigurationen können verschiedenen Geltungsbereichen (Zelle, Cluster/Server, SIBs) zugeordnet werden. Nachdem die Sicherheitskonfigurationen einem Geltungsbereich zugeordnet wurden, verwenden alle Benutzeranforderungen in diesem Geltungsbereich die entsprechende Sicherheitskonfiguration. Ausführliche Informationen hierzu enthält der Artikel Mehrere Sicherheitsdomänen.
Für jedes Sicherheitsattribut können Sie die globalen Sicherheitseinstellungen verwenden oder Einstellungen für diese Domäne anpassen.
Externe Berechtigungsprovider
Wählen Sie diese Option aus, um anzugeben, ob die Standardberechtigungskonfiguration oder ein externer Berechtigungsprovider verwendet werden soll.
Die externen Provider müssen für die Verarbeitung der Java EE-Berechtigung (Java Platform, Enterprise Edition) auf der Spezifikation Java Authorization Contract for Containers (JACC) basieren. Ändern Sie in den Anzeigen für den Berechtigungsprovider keine Einstellungen, sofern Sie keinen externen Sicherheitsprovider als JACC-Berechtigungsprovider konfiguriert haben.
Angepasste Eigenschaften
Wählen Sie diese Option aus, um Name/Wert-Datenpaare anzugeben, in denen der Name ein Eigenschaftsschlüssel und der Wert eine Zeichenfolge ist.