Berechtigungen in der Datei filter.policy

Die Java™-2-Sicherheit bestimmt anhand mehrerer Richtliniendateien die Berechtigung für jedes Java-Programm. Der Richtlinienfilter der Java-2-Sicherheit wird nur angewendet, wenn die Java-2-Sicherheit aktiviert ist.

Bevor Sie die Datei filter.policy ändern, müssen Sie das Tool "wsadmin" starten.

Weitere Informationen hierzu finden Sie im Artikel Systemressourcen und APIs (Java-2-Sicherheit) für die Entwicklung von Anwendungen schützen.Die in der Datei filter.policy definierten Filterrichtlinien gelten für die gesamte Zelle. Die Datei filter.policy ist die einzige Richtliniendatei, die zum Einschränken statt Erteilen von Berechtigungen verwendet wird. Die in der Datei filter.policy genannten Berechtigungen werden aus der Datei app.policy und der Datei was.policy gefiltert. Berechtigungen, die in anderen Richtliniendateien definiert sind, sind nicht von der Datei filter.policy betroffen.

Wenn eine Berechtigung herausgefiltert wird, wird eine Prüfnachricht protokolliert. Sollte es sich bei den in den Dateien app.policy und was.policy definierten Berechtigungen um zusammengesetzte Berechtigungen handeln, wie beispielsweise die Berechtigung java.security.AllPermission, wird die Berechtigung nicht entfernt. Stattdessen wird eine Warnung in die Protokolldatei geschrieben. Wenn die Option "Berechtigungswarnung ausgeben" aktiviert ist (Standardeinstellung), und die Dateien app.policy und was.policy angepasste Berechtigungen (keine Java-API-Berechtigungen, der Name des Berechtigungspakets darf nicht mit java oder javax beginnen) enthält, wird eine Warnung aufgezeichnet, und die Berechtigung wird nicht entfernt. Sie können den Wert der Option Warnen, wenn Anwendungen angepasste Berechtigungen erteilt werden in der Anzeige "Globale Sicherheit" ändern. Von der Verwendung der Berechtigung AllPermission für die Unternehmensanwendung wird abgeraten.

In der Datei filter.policy sind einige Standardberechtigungen definiert. Diese Berechtigungen sind Mindestberechtigungen, deren Verwendung für das Produkt empfohlen wird. Werden weitere Berechtigungen zur Datei filter.policy hinzugefügt, können bestimmte Operationen von Unternehmensanwendungen unter Umständen nicht ausgeführt werden. Gehen Sie bei Hinzufügen von Berechtigungen zur Datei filter.policy deshalb mit Bedacht vor.

Sie können die Datei filter.policy nicht mit dem Richtlinientool editieren. Zum Editieren müssen Sie einen Texteditor verwenden. Gehen Sie sorgfältig vor, und überprüfen Sie, dass in der Datei filter.policy keine Syntaxfehler vorhanden sind. Wenn die Datei filter.policy Syntaxfehler enthält, wird die Datei in der Sicherheitslaufzeit nicht vom Produkt geladen. Die Filterfunktion ist dann entsprechend inaktiviert.

Wenn Sie die Datei filter.policy extrahieren möchten, setzen Sie den folgenden Befehl ab, und verwenden Sie die entsprechenden Informationen aus Ihrer Umgebung:

[AIX Solaris HP-UX Linux Windows]

set obj [$AdminConfig extract cells/cell_name/filter.policy c:/temp/test/filter.policy]

[IBM i][z/OS]

set obj [$AdminConfig extract cells/cell_name/filter.policy /temp/test/filter.policy]

Wenn Sie die Richtliniendatei prüfen möchten, setzen Sie den folgenden Befehl ab, und verwenden Sie die entsprechenden Informationen aus Ihrer Umgebung:

[AIX Solaris HP-UX Linux Windows]

[AIX Solaris HP-UX Linux Windows]$AdminConfig checkin cells/cell_name/filter.policy c:/temp/test/filter.policy $obj

[IBM i][z/OS]

$AdminConfig checkin cells/cell_name/filter.policy /temp/test/filter.policy $obj

Eine aktualisierte Datei filter.policy wird auf alle Unternehmensanwendungen von WebSphere Application Server angewendet, nachdem die Server erneut gestartet wurden. Die Datei filter.policy wird von den Konfigurations- und Dateireplikationsservices verwaltet.

Änderungen, die in dieser Datei vorgenommen wurden, werden auf anderen Knoten in der Zelle repliziert.

[AIX Solaris HP-UX Linux Windows][z/OS]Die von WebSphere Application Server bereitgestellte Datei filter.policy befindet sich unter Stammverzeichnis_des_Anwendungsservers/profiles/Profilename/config/cells/Zellennamee/filter.policy.

[IBM i]Die von WebSphere Application Server bereitgestellte Datei filter.policy befindet sich unter Profilstammverzeichnis/config/cells/Zellenname/filter.policy.

Diese Datei enthält standardmäßig die folgenden Berechtigungen:

filterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
runtimeFilterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };

Die im Filter filterMask definierten Berechtigungen werden für das Filtern statischer Richtlinien verwendet. Die Sicherheitslaufzeit versucht, die Berechtigungen aus den Anwendungen beim Anwendungsstart zu entfernen. Zusammengesetzte Berechtigungen werden nicht entfernt, jedoch mit einer Warnung ausgegeben, und die Anwendungsimplementierung wird gestoppt, wenn Anwendungen Berechtigungen enthalten, die im Filter filterMask definiert sind, und wenn das Erstellen von Scripts verwendet wird. Der Filter runtimeFilterMask definiert Berechtigungen, die von der Sicherheitslaufzeit verwendet werden, um Zugriffe auf Berechtigungen für Anwendungs-Threads zu verweigern. Fügen Sie dem Filter runtimeFilterMask keine weiteren Berechtigungen hinzu. Dies kann zur Folge haben, dass Anwendungen nicht gestartet werden oder nicht fehlerfrei funktionieren. Gehen Sie sorgfältig vor, wenn Sie dem Filter runtimeFilterMask weitere Berechtigungen hinzufügen möchten. Normalerweise müssen Sie nur zur Zeilengruppe filterMask Berechtigungen hinzufügen.

WebSphere Application Server stützt sich auf die Filterrichtliniendatei, um bestimmte Berechtigungen zu beschränken oder nicht zuzulassen, die die Integrität des Systems gefährden können. WebSphere Application Server stuft die Berechtigungen exitVM und setSecurityManager als Berechtigungen ein, die die meisten Anwendungsserver niemals verwenden. Wenn diese Berechtigungen erteilt werden, sind die folgenden Szenarien möglich:
exitVM
Ein Servlet, eine JSP-Datei (JavaServer Pages), eine Enterprise-Bean oder eine andere Bibliothek, die von den zuvor Genannten verwendet wird, könnte die API System.exit aufrufen und dazu führen, dass der gesamte WebSphere Application Server-Prozess beendet wird.
setSecurityManager
Eine Anwendung könnte ihren eigenen Sicherheitsmanager installieren, der dann zusätzliche Berechtigungen gewähren oder die vom Sicherheitsmanager von WebSphere Application Server normalerweise durchgesetzten Standardrichtlinien umgehen könnte.
Wichtig: Verwenden Sie im Anwendungscode nicht die Berechtigung setSecurityManager, um einen Sicherheitsmanager zu definieren. Wenn eine Anwendung die Berechtigung setSecurityManager verwendet, tritt ein Konflikt mit dem internen Sicherheitsmanager von WebSphere Application Server auf. Wenn Sie für RMI (Remote Method Invocation) einen Sicherheitsmanager in einer Anwendung definieren müssen, müssen Sie auch die Option "Java-2-Sicherheit verwenden, um den Anwendungszugriff auf lokale Ressourcen zu beschränken" in der Anzeige "Globale Sicherheit" in der Administrationskonsole von WebSphere Application Server auswählen. WebSphere Application Server registriert anschließend einen Sicherheitsmanager. Der Anwendungscode kann diese Registrierung mit der API "System.getSecurityManager" prüfen.

Die aktualisierte Datei filter.policy wird erst wirksam, nachdem Sie die betreffenden Java-Prozesse neu gestartet haben.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_filterpolicy
Dateiname:rsec_filterpolicy.html