Sicherheit für den Realm aktivieren

Verwenden Sie diesen Artikel, um die Sicherheit von IBM® WebSphere Application Server zu aktivieren. Sie müssen die Verwaltungssicherheit aktivieren, damit die anderen Sicherheitseinstellungen funktionieren.

Informationen zu diesem Vorgang

WebSphere Application Server arbeitet mit Verschlüsselung, um sensible Daten zu schützen und die Vertraulichkeit und Integrität der Kommunikation zwischen WebSphere Application Server und anderen Komponenten im Netz sicherzustellen. Verschlüsselung wird auch von Web Services Security verwendet, wenn bestimmte Sicherheitsvorgaben für die Web-Service-Anwendung konfiguriert wurden.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server verwendet JSSE- (Java™ Secure Sockets Extension) und JCE-Bibliotheken (Java Cryptography Extension) aus dem SDK (Software Development Kit) für diese Verschlüsselung. Das SDK stellt Dateien mit Verschlüsselungsklassen bereit, die durch US-Exportbestimmungen beschränkt sind. Dateien mit uneingeschränkten Verschlüsselungsklassen bieten Ihnen die Möglichkeit, die höchsten Verschlüsselungsstufen zu verwenden und eine höhere Leistung zu erzielen.

[AIX Solaris HP-UX Linux Windows][z/OS]Mit WebSphere Application Server wird ein SDK 6 bereitgestellt, das leistungsstarke, aber eingeschränkte Verschlüsselungsklassen enthält. Sie können die uneingeschränkten Richtliniendateien von der Website IBM Developer Kit: Security Information herunterladen.

Fehler vermeiden Fehler vermeiden: Fixpacks, die Aktualisierungen für Software Development Kit (SDK) enthalten, können uneingeschränkte Richtliniendateien und die Datei cacerts überschreiben. Sichern Sie die uneingeschränkten Richtliniendateien und die Datei cacerts, bevor Sie ein Fixpack anwenden und diese Dateien nach der Anwendung des Fixpacks erneut anwenden. Diese Dateien befinden sich im Verzeichnis {WAS-Installationsverzeichnis}\java\jre\lib\security.gotcha
Wichtig: In Ihrem Herkunftsland gibt es möglicherweise Beschränkungen für den Import, den Besitz oder den Reexport von Verschlüsselungssoftware in ein anderes Land. Bevor Sie die uneingeschränkten Richtliniendateien herunterladen oder verwenden, müssen Sie die Gesetze und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz und den Reexport von Verschlüsselungssoftware prüfen, um festzustellen, ob dies zulässig ist.
Führen Sie die folgenden Schritte aus, um die neuen Dateien mit den Verschlüsselungsklassen herunterzuladen und zu installieren:
  1. Klicken Sie auf Java SE 6.
  2. Blättern Sie nach unten, und klicken Sie auf IBM SDK Policy files.

    Die Website mit den uneingeschränkten JCE-Richtliniendateien für SDK 6 erscheint.

  3. Klicken Sie auf Sign in, und geben Sie Ihre ID und Ihr Kennwort für IBM.com ein.
  4. Wählen Sie Unrestricted JCE Policy files for SDK 6 aus, und klicken Sie auf Continue.
  5. Lesen Sie die Lizenzvereinbarung, und klicken Sie anschließend auf I Agree.
  6. Klicken Sie auf Download Now.
  7. Extrahieren Sie die Dateien mit den uneingeschränkten Verschlüsselungsklassen aus der komprimierten Datei. Die komprimierte Datei enthält eine Datei US_export_policy.jar und eine Datei local_policy.jar.
  8. [AIX Solaris HP-UX Linux Windows][IBM i]Wechseln Sie im Installationsverzeichnis von WebSphere Application Server in das Verzeichnis $JAVA_HOME/jre/lib/security, und sichern Sie die vorhandenen Dateien US_export_policy.jar und local_policy.jar.
  9. [z/OS]Hängen Sie in Ihrer Installation von WebSphere Application Server das Produkt-HFS im Lese-/Schreibzugriff an. Wechseln Sie in das Verzeichnis $JAVA_HOME/jre/lib/security zurück, und sichern Sie Ihre Dateien US_export_policy.jar und local_policy.jar.
  10. Ersetzen Sie die Dateien US_export_policy.jar und local_policy.jar durch die beiden Dateien, die Sie von der Website IBM.com heruntergeladen haben.
  11. [z/OS]Hängen Sie Ihr hierarchisches Produktdateisystem erneut im Lesezugriff an.
[z/OS]Im Lieferumfang des integrierten Software Development Kit (SDK) sind die uneingeschränkten JAR-Standortrichtliniendateien (Java Archive) enthalten. Anstatt diese Dateien von der Website herunterzuladen, können Sie eine symbolische Verbindung zu den Dateien erstellen, sofern die Regelungen in Ihrem Land dies zulassen. Diese uneingeschränkten Richtliniendateien befinden sich im Verzeichnis Installationsstammverzeichnis/java/demo/jce/policy-files/unrestricted/. Mit den folgenden UNIX-basierten Befehlen können Sie symbolische Verbindungen zu diesen Dateien erstellen:
# Pfade exportieren. Sie finden die Werte der folgenden
# Variablen im Jobprotokoll, indem Sie nach was.install.root,
# java.home usw. suchen:
export was.install.root=<was.install.root>
export java.home=<java.home>
# Die vorherigen Pfad gelten für 31- und 64-Bit-Konfigurationen von
# WebSphere Application Server for z/OS. Für eine 64-Bit-Konfiguration
# zeigt der Pfad von java.home auf die integrierte 64-Bit-JVM
# (Java Virtual Machine).

# Löschen Sie die ursprünglichen Richtliniendateien mit der Erweiterung .jar. Da
# automatisch eine Sicherung im HFS smpe.home vorhanden ist, ist keine explizite
# Sicherung erforderlich:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Setzen Sie die folgenden Befehle in separaten Zeilen ab, um die
# symbolischen Verbindungen zu den uneingeschränkten Richtliniendateien zu erstellen:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
Wenn Sie die symbolischen Verbindungen zu den uneingeschränkten Richtliniendateien im Demoverzeichnis entfernen und Verbindungen zu den ursprünglichen Dateien herstellen möchten, verwenden Sie die folgenden UNIX-basierten Befehle:
# Pfade exportieren. Sie finden die Werte der folgenden
# Variablen im Jobprotokoll, indem Sie nach was.install.root,
# java.home usw. suchen:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# Die vorherigen Pfad gelten für 31- und 64-Bit-Konfigurationen von
# WebSphere Application Server for z/OS. Für eine 64-Bit-Konfiguration
# zeigt der Pfad von java.home auf die integrierte 64-Bit-JVM
# (Java Virtual Machine).

# Löschen Sie die aktuellen Richtliniendateien mit der Erweiterung .jar. Sie können
# die folgenden Dateien sichern:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Setzen Sie die folgenden Befehle in separaten Zeilen ab, um symbolische
# Verbindungen zu dem SMPE-HFS zu erstellen, in dem sich die ursprünglichen
# Dateien befinden:
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

Führen Sie die folgenden Schritte aus, um die Sicherheit für den Realm zu aktivieren:

Vorgehensweise

  1. Aktivieren Sie die Verwaltungssicherheit in WebSphere Application Server.

    Weitere Informationen hierzu finden Sie im Artikel Sicherheit aktivieren. Klicken Sie auf Sicherheit > Globale Sicherheit. Wählen Sie in der Liste eine verfügbare Realmdefinition aus, und klicken Sie dann auf Als aktuelle Registry festlegen aus. Speichern Sie die Konfiguration im Repository. Vergewissern Sie sich, dass die Validierung, die nach dem Anklicken von OK in der Anzeige Sicherheit > Globale Sicherheit durchgeführt wird, erfolgreich verlaufen ist, bevor Sie die Verarbeitung fortsetzen. Andernfalls riskieren Sie bei der Ausführung der folgenden Schritte, dass der Server nicht gestartet wird. Rekonfigurieren Sie die Sicherheitseinstellungen, bis die Gültigkeitsprüfung erfolgreich abschlossen ist.

  2. Verteilen Sie mit der Administrationskonsole eine Kopie der neuen Konfiguration an alle aktiven Node Agents. Wenn ein Node Agent die Konfiguration mit aktivierter Sicherheit nicht abrufen kann, schlägt die Kommunikation mit dem Deployment Manager fehl. Im Node Agent ist die Sicherheit nicht aktiviert. Um die Synchronisation eines bestimmten Knotens zu erzwingen, führen Sie in der Administrationskonsole die folgenden Schritte aus:
    1. Klicken Sie auf Systemverwaltung > Knoten, und wählen Sie die Option neben allen Knoten aus. Den Deployment-Manager-Knoten müssen Sie nicht auswählen.
    2. Klicken Sie auf Vollständige Neusynchronisation, um sicherzustellen, dass die Dateisynchronisation durchgeführt wurde. Möglicherweise wird die Nachricht angezeigt, dass die Knoten bereits synchronisiert sind. Das ist in Ordnung. Vergewissern Sie sich nach Einleitung der Synchronisation, dass für alle Knoten der Status Synchronisiert angezeigt wird.
  3. Stoppen Sie den Deployment Manager. Starten Sie den Deployment Manager in der Befehlszeile oder als Dienst manuell erneut. Zum Stoppen des Deployment Manager klicken Sie auf Systemverwaltung > Deployment Manager und anschließend auf Stoppen. Mit dieser Aktion melden Sie sich bei der Administrationskonsole ab und stoppen den Deployment-Manager-Prozess.
  4. Starten Sie den Deployment-Manager-Prozess erneut.

    [AIX Solaris HP-UX Linux Windows]Zum erneuten Starten des Deployment-Manager-Prozesses führen Sie im Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin das Script startManager.bat bzw. startManager.sh aus. Kehren Sie nach Abschluss der Deployment-Manager-Initialisierung in die Administrationskonsole zurück, um diese Task abzuschließen. Vergessen Sie nicht, dass die Sicherheit jetzt nur für den Deployment Manager aktiviert ist. Wenn Sie SSO (Single Sign-On) aktiviert haben, geben Sie die Webadresse mit dem vollständig qualifizierten Domänennamen an, z. B. http://myhost.domäne:Portnummer/ibm/console. Wenn Sie zur Eingabe einer Benutzer-ID und eines Kennworts aufgefordert werden, geben Sie die Werte ein, die Sie in der konfigurierten Benutzerregistry für die Administrator-ID definiert haben.

    [z/OS]Geben Sie den folgenden Befehl ein, um den Deployment-Manager-Prozess erneut zu starten:
    START Name_des_Deployment-Manager-Prozesses,JOBNAME=Kurzname_des_Servers,
    ENV=Kurzname_der_Zelle.Kurzname_des_Knotens.Kurzname_des_Servers
    Sie müssen den Befehl in einer Zeile eingeben. Er ist hier nur zur besseren Lesbarkeit auf mehrere Zeilen aufgeteilt. Nähere Informationen zur Verwendung der MVS-Systembefehle unter z/OS finden Sie über die Links unter "Zugehörige Links". Rufen Sie nach Abschluss der Initialisierung des Deployment-Managers erneut die Administrationskonsole auf, um diese Task zu beenden. Die Sicherheit ist nur im Deployment Manager. Wenn Sie Single Sign-on (SSO) aktiviert haben, geben Sie den vollständig qualifizierten Domänennamen Ihrer Webadresse an, z. B. http://myhost.domain:Portnummer/ibm/console. Wenn Sie zur Eingabe einer Benutzer-ID und eines Kennworts aufgefordert werden, geben Sie die Werte ein, die Sie in der konfigurierten Benutzerregistry für die Administrator-ID verwendet habend.
  5. [IBM i]Starten Sie den Deployment-Manager-Prozess erneut. Öffnen Sie zum erneuten Starten des Deployment-Manager-Prozesses die Qshell-Umgebung und suchen Sie das Verzeichnis Stammverzeichnis_des_Anwendungsservers/bin. Die Variable Stammverzeichnis_des_Anwendungsservers verweist auf das Standardverzeichnis Stammverzeichnis_des_Anwendungsservers/bin/. Geben Sie in der Qshell-Befehlszeile startManager ein.

    Rufen Sie nach Abschluss der Initialisierung des Deployment-Managers erneut die Administrationskonsole auf, um diese Task zu beenden. Vergessen Sie nicht, dass die Sicherheit jetzt nur für den Deployment Manager aktiviert ist. Wenn Sie SSO (Single Sign-On) aktiviert haben, geben Sie die Webadresse mit dem vollständig qualifizierten Domänennamen an, z. B. http://myhost.domäne:Portnummer/ibm/console. Wenn Sie zur Eingabe einer Benutzer-ID und eines Kennworts aufgefordert werden, geben Sie die Werte ein, die Sie in der konfigurierten Benutzerregistry für die Administrator-ID definiert haben.

  6. Sollte der Deployment Manager nach dem Aktivieren der Sicherheit nicht starten, inaktivieren Sie die Sicherheit mit einem Script, und starten Sie ihn dann erneut. Inaktivieren Sie die Sicherheit. Setzen Sie hierfür im Verzeichnis DeploymentManager/bin den folgenden Befehl ab:
    ./wsadmin.sh -conntype NONE
    Geben Sie an der Eingabeaufforderung securityoff ein.
  7. Starten Sie alle Node Agents erneut, um die Sicherheit auch dort zu aktivieren. Bevor Sie diesen Schritt ausführen, müssen Sie den Deployment Manager neu gestartet haben. Wird die Sicherheit des Node Agent aktiviert, bevor die Sicherheit für den Deployment Manager aktiviert ist, kann der Deployment Manager nicht den Status des Agenten abfragen und dem Agenten keine Befehle erteilen. Führen Sie zum Stoppen aller Node Agents die folgenden Schritte aus:
    1. Klicken Sie auf Systemverwaltung > Node Agents, und wählen Sie die Option für alle Node Agents aus. Klicken Sie auf Neustart. Eine Nachricht wie die folgende erscheint: Der Node Agent auf Knoten KNOTENNAME wurde erneut gestartet.
    2. Wenn Sie die Anwendungsserver zuvor nicht gestoppt haben, können Sie alternativ alle Server auf einem bestimmten Knoten erneut starten, indem Sie auf Systemverwaltung > Node Agents und anschließend auf die Node Agents klicken, für die Sie alle Server erneut starten möchten. Klicken Sie auf Alle Server auf Knoten erneut starten. Diese Aktion startet den Node Agent und alle gestarteten Anwendungsserver erneut.
  8. Sollte einer der Node Agents nicht gestartet werden, führen Sie eine manuelle Neusynchronisation der Konfiguration durch. Dazu müssen Sie auf dem physischen Knoten den Clientbefehl syncNode ausführen. Dieser Client meldet sich beim Deployment Manager an und kopiert alle Konfigurationsdateien auf den Node Agent. Damit wird sichergestellt, dass die Konfiguration mit aktivierter Sicherheit verwendet wird. Wenn der Node Agent zwar gestartet ist, aber nicht mit dem Deployment Manager kommuniziert, stoppen Sie den Node Agent mit dem Befehl stopServer.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
Dateiname:tsec_egs.html