Registry oder Repository auswählen
Informationen zu Benutzern und Gruppen sind in einer Benutzerregistry gespeichert. In WebSphere Application Server authentifiziert eine Benutzerregistry einen Benutzer und ruft Informationen zu Benutzern und Gruppen ab, um sicherheitsrelevante Funktionen wie Authentifizierung und Berechtigung auszuführen.
Vorbereitende Schritte
Bevor Sie eine Benutzerregistry oder ein Repository konfigurieren, müssen Sie sich für einen Registry-Typ oder ein Repository entscheiden. Sie können eine aktive Standardregistry für die Zelle konfigurieren.
Informationen zu diesem Vorgang
WebSphere Application Server stellt Implementierungen bereit, die mehrere Typen von Registrys und Repositorys unterstützen, z. B. die Registry des lokalen Betriebssystems, eine eigenständige LDAP-Registry (Lightweight Directory Access Protocol), eine eigenständige angepasste Registry und zueingebundene Repositorys.
In WebSphere Application Server authentifiziert eine Benutzerregistry oder ein Repository, z. B. ein Verbundrepository, einen Benutzer und ruft Informationen zu Benutzern und Gruppen ab, um sicherheitsrelevante Funktionen wie Authentifizierung und Berechtigung auszuführen.
- Authentifizieren eines Benutzers mit Basisauthentifizierung, Zusicherung der Identität oder Clientzertifikaten
- Abrufen von Informationen zu Benutzern und Gruppen für sicherheitsrelevante Verwaltungsfunktionen wie die Zuordnung von Benutzern und Gruppen zu Sicherheitsrollen
WebSphere Application Server
unterstützt Benutzerregistrys für mehrere Betriebssysteme bzw. Betriebsumgebungen, z. B. die
z/OS-SAF-Registry, und die meisten wichtigsten LDAP-basierten Registrys.
Über eine benutzerspezifische LDAP-Funktion können Sie auch jeden beliebigen LDAP-Server verwenden, indem Sie
die richtige Konfiguration, z. B. Filter für Benutzer und Gruppen, einrichten.
Allerdings sind diese benutzerspezifischen LDAP-Server nicht in die Unterstützung eingeschlossen, weil es
zu viele Varianten gibt, die nicht getestet werden können.
Das Konfigurieren des richtigen Registrys oder
Repositorys ist eine der Voraussetzungen für die Zuordnung von Benutzern und Gruppen zu
Rollen für Anwendungen. Wenn keine Registry konfiguriert ist, wird
standardmäßig die SAF-basierte Registry vom Typ LocalOS verwendet. Falls Sie
keine Registry oder kein Repository des Typs LocalOS verwenden möchten, müssen Sie
eine Registry oder ein Repository konfigurieren. Dieser Schritt wird normalerweise beim
Aktivieren der Verwaltungssicherheit ausgeführt. Starten Sie die Server neu, und
ordnen Sie
dann den Rollen für alle Anwendungen Benutzer und Gruppen zu.
Zusätzlich zu den Registrys vom Typ "Lokales Betriebssystem" (LocalOS), "LDAP" und "Eingebundene Repository" stellt WebSphere Application Server ein Plug-in für die Unterstützung beliebiger Registrys bereit, für das das Feature "Angepasste Registry" verwendet wird. Dieses Feature ermöglicht Ihnen, jede Benutzerregistry zu konfigurieren, die in den Anzeigen für die Sicherheitskonfiguration von WebSphere Application Server nicht verfügbar ist.
Das Konfigurieren des richtigen Registrys oder Repositorys ist eine der Voraussetzungen für die Zuordnung von Benutzern und Gruppen zu Rollen für Anwendungen. Wenn keine Benutzerregistry konfiguriert ist, wird standardmäßig die Benutzerregistry LocalOS verwendet. Falls Sie die Benutzerregistry LocalOS nicht verwenden möchten, müssen Sie eine Registry oder ein Repository konfigurieren. Dieser Schritt wird normalerweise beim Aktivieren der Sicherheit ausgeführt. Starten Sie die Server neu, und ordnen Sie dann den Rollen für alle Anwendungen Benutzer und Gruppen zu.
- Eingebundene Repositorys
- Registry des lokalen Betriebssystems
(z. B. SAF-basiert)
Einschränkung: Das Konfigurieren eines transparenten LDAP-Servers unter der Registry des lokalen Betriebssystems und das Authentifizieren der Benutzer unter diesem lokalen Betriebssystem über LDAP wird nicht unterstützt. - Eigenständige LDAP-Registry (Lightweight Directory Access Protocol)
- Eigenständige angepasste Registry
// Standard-InitialContext für den Server abrufen
javax.naming.InitialContext ctx = new javax.naming.InitialContext();
// Lokales UserRegistry-Objekt abrufen
com.ibm.websphere.security.UserRegistry reg =
(com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");
// Ruft die uniqueID der Registry ab, die auf dem im
// NameCallback angegebenen Benutzer-ID basiert.
String uniqueid = reg.getUniqueUserId(userName);
// Realmnamen löschen und echte eindeutige ID abrufen
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);
// Sicherheitsnamen basierend auf der eindeutigen ID aus der Benutzerregistry abrufen.
String securityName = reg.getUserSecurityName(uid);
Für diese Parsing-Funktion kann eine Service-Provider-Schnittstelle
(SPI, Service Provider Interface) verwendet werden.$AdminApp deleteUserAndGroupEntries Name_Ihrer_Anwendung
Name_Ihrer_Anwendung steht hier für den Namen der Anwendung. Vor Ausführung dieser Operation sollten Sie die alte Anwendung sichern. Wenn jedoch
beide der folgenden Bedingungen zutreffen, können Sie die Registrys wechseln, um die Benutzer- und
Gruppeninformationen zu löschen: - Alle Benutzer- und Gruppennamen, einschließlich des Kennworts für die Benutzer der RunAs-Rollen, in allen Anwendungen stimmen in beiden Benutzerregistrys überein.
- Die Bindungsdatei der Anwendung enthält keine Zugriffs-IDs, die für jede Registry eindeutig sind, selbst wenn es sich um denselben Benutzer- oder Gruppennamen handelt.
Standardmäßig sind in der Bindungsdatei einer Anwendung keine Zugriffs-IDs enthalten. Diese IDs werden beim Starten der Anwendungen generiert. Wenn Sie jedoch eine Anwendung von einem früheren Release migriert oder mit dem Script wsadmin Zugriffs-IDs zu Anwendungen hinzugefügt haben, um den Durchsatz zu erhöhen, müssen Sie die vorhandenen Benutzer- und Gruppendaten entfernen und nach dem Konfigurieren der neuen Benutzerregistry wieder hinzufügen.
Nähere Informationen zum Aktualisieren von Zugriffs-IDs finden Sie unter "updateAccessIDs" im Artikel "AdminApp-Objekt für scriptgesteuerte Verwaltung".
![[AIX]](../images/aixlogo.gif)
- ˋ
- #
- =
- \
- :
- "
- ,
- /
- ?
- '
- Leerzeichen
Eine umfassende Liste der nicht alphanumerischen Zeichen, die nicht unterstützt werden, finden Sie in der Dokumentation zum IBM Betriebssystem AIX.
![[HP-UX]](../images/hpux.gif)
- ˋ
- :
- "
- /
- Leerzeichen
Führen Sie einen der folgenden Schritte aus, um Ihre Benutzerregistry zu konfigurieren:
Vorgehensweise
- LocalOS-Benutzerregistrys konfigurieren
- LDAP-Benutzerregistrys konfigurieren
- Eigenständige angepasste Registrys konfigurieren.
- Realm in einer Konfiguration für eingebundene Repositorys verwalten
Nächste Schritte
- Wenn Sie die Sicherheit aktivieren, müssen Sie die verbleibenden Schritte unbedingt ausführen. Vergewissern Sie sich, dass in der Anzeige "Globale Sicherheit" die passende Registry oder das passende Repository angegeben ist. Im letzten Schritt validieren Sie die Benutzer-ID und das Kennwort. Klicken Sie dazu in der Anzeige "Globale Sicherheit" auf Anwenden. Speichern, stoppen und starten Sie alle WebSphere Application Server.
- Alle Änderungen in Anzeigen für Benutzerregistrys treten erst in Kraft, nachdem Sie
die Änderungen validiert haben. Dazu müssen Sie
in der Anzeige "Globale Sicherheit" auf
Anwenden klicken. Wenn die Änderungen ausgewertet sind, speichern Sie die
Konfiguration. Stoppen Sie dann alle WebSphere Application Server, einschließlich Zellen, Knoten und Anwendungsservern, und starten Sie sie erneut. Zur Vermeidung von Inkonsistenzen zwischen den Prozessen von WebSphere Application Server, sollten Sie sicherstellen,
dass Änderungen an der Benutzerregistry oder am Repository nur vorgenommen werden,
wenn alle Prozesse aktiv
sind. Ist einer der Prozesse inaktiv, muss eine Synchronisation erzwungen werden, damit der Prozess
später wieder gestartet werden kann.
Wenn die Server fehlerfrei initialisiert werden, ist die Konfiguration korrekt.
Wenn SAF (System Authorization Facility) mit LocalOS als der neuen Registry bzw. als dem neuen Repository ausgewählt ist, werden die Werte in der Bindungsdatei (mit Ausnahme der Benutzer-ID und des Kennworts (bzw. der Kennwortphrase) für Benutzer der RunAs-Rolle) ignoriert.