LocalOS-Benutzerregistrys konfigurieren

Verwenden Sie diese Schritte, um Benutzerregistrys des lokalen Betriebssystems zu konfigurieren. .

Vorbereitende Schritte

Nähere Informationen zur Verwendung der LocalOS-Benutzerregistry finden Sie im Artikel Registrys des lokalen Betriebssystems. Mit diesen Schritten wird die Sicherheit basierend auf der LocalOS-Benutzerregistry, auf der der WebSphere Application Server installiert ist, konfiguriert.

[AIX Solaris HP-UX Linux Windows]Aus Sicherheitsgründen unterstützt WebSphere Application Server Implementierungen für die Registrys von Windows, AIX, Solaris und mehrere Versionen von Linux. Die Produktprozesse (Server) rufen die entsprechenden Betriebssystem-APIs auf, um einen Benutzer und andere sicherheitsrelevante Tasks (z. B. das Abrufen von Benutzer- und Gruppeninformationen) zu authentifizieren. Zugriff auf diese APIs haben nur Benutzer mit Sonderberechtigungen. Diese Berechtigungen sind vom Betriebssystem abhängig und werden weiter unten beschrieben.

[z/OS]Wenn eine LocalOS-Benutzerregistry ausgewählt wird, wird die ID der gestarteten Task als Server-ID verwendet. Somit ist weder eine Benutzer-ID noch ein Kennwort für die Konfiguration des Servers erforderlich.

[z/OS]Wichtig: Jede gestartete Task, z. B. ein Controller, ein Servant oder ein Dämon, kann eine andere ID haben. Weil Sie jeder jeder Startprozedur eigene Ressourcenberechtigungen erteilen müssen, müssen Sie auch den Controllern und Servants unterschiedliche Benutzer-IDs zuordnen. z/OS Profile Management Tool legt diese Identitäten fest.
[Windows][AIX Solaris HP-UX Linux Windows]Beachten Sie Folgendes:
  • Die Server-ID sollte nicht mit dem Namen der Windows-Maschine übereinstimmen, auf der das Produkt installiert ist. Wenn die Windows-Maschine beispielsweise den Namen vicky hat und die ID für den Sicherheitsserver ebenfalls vicky lautet, tritt beim Abrufen von Informationen (z. B. Gruppeninformationen) für den Benutzer vicky ein Fehler in Windows auf.
  • WebSphere Application Server stellt dynamisch fest, ob die Maschine Member einer Windows-Systemdomäne ist.
  • WebSphere Application Server bietet keine Unterstützung für gesicherte Windows-Domänen.
  • Ist eine Maschine Member einer Windows-Domäne, wird sowohl die Benutzerregistry der Domäne als auch die lokale Benutzerregistry der Maschine in die Authentifizierung und die Zuordnung von Sicherheitsrollen einbezogen.
  • Wenn Sie eine Benutzer-ID einer Windows-Domäne verwenden, um WebSphere Application Server zu installieren und auszuführen, muss die ID die folgenden Berechtigungen haben.
    • Er muss Member der Domänenadministratorgruppe im Domänencontroller sein.
    • Er muss die Berechtigung "Einsetzen als Teil des Betriebssystems" in der Domänensicherheitsrichtlinie des Domänencontrollers haben.
    • Er muss die Berechtigung "Einsetzen als Teil des Betriebssystems" in der lokalen Sicherheitsrichtlinie auf der lokalen Maschine haben.
    • Er muss die Berechtigung "Als Dienst anmelden" auf der lokalen Maschine haben, wenn der Server als Dienst ausgeführt wird.
  • Die Benutzerregistry der Domäne hat Vorrang vor der lokalen Benutzerregistry der Domäne. Dies kann zu unerwünschten Komplikationen führen, wenn beide Benutzerregistrys Benutzer mit identischem Kennwort enthalten.
  • Der Benutzer, unter dem die Produktprozesse ausgeführt werden, sollte über die Berechtigungen Administrator und Einsetzen als Teil des Betriebssystems verfügen, um die APIs des Windows-Betriebssystems aufrufen zu können, mit denen Benutzer- und Gruppeninformationen authentifiziert oder erfasst werden. Für den Prozess ist eine Sonderberechtigung erforderlich, die durch die genannten Berechtigungen abgedeckt ist. Der Benutzer in diesem Beispiel muss nicht mit der ID für Sicherheitsserver übereinstimmen (jedoch einen gültigen Benutzereintrag in der Registry haben). Dieser Benutzer meldet sich in der Befehlszeile bei der Maschine an, um den Produktprozess zu starten oder über die Einstellung Anmelden als im Fenster "Dienste", wenn die Produktprozesse als Dienste gestartet wurden.
[AIX Solaris HP-UX Linux Windows]Beachten Sie die folgenden Punkte:
  • [AIX HP-UX Solaris][Linux]Der Benutzer, unter dessen ID die Produktprozesse ausgeführt werden, sollte die Berechtigung root haben. Diese Berechtigung ist erforderlich, um die APIs des UNIX-Betriebssystems für die Authentifizierung oder Erfassung von Benutzer- und Gruppeninformationen aufrufen zu können. Für den Prozess ist eine Sonderberechtigung erforderlich, die durch die Berechtigung root abgedeckt ist. Dieser Benutzer muss nicht mit der ID für Sicherheitsserver übereinstimmen (jedoch einen gültigen Benutzereintrag in der Registry haben). Dieser Benutzer meldet sich bei der Maschine an und führt die Produktprozesse aus.
  • [AIX HP-UX Solaris]Der Benutzer, der die Verwaltungssicherheit aktiviert, muss die Berechtigung root besitzen, wenn Sie eine Benutzerregistry vom Typ LocalOS verwenden. Andernfalls wird ein Validierungsfehler angezeigt.
  • [Linux]Möglicherweise muss die Shadow-Kennwortdatei sich in Ihrem System befinden.

Informationen zu diesem Vorgang

[z/OS]Wenn Sie eine Benutzerregistry für WebSphere Application Server konfigurieren, funktioniert SAF (System Authorization Facility) in Verbindung mit der Benutzerregistry, um Anwendungen die Berechtigung für die Ausführung auf dem Server zu geben. Weitere Informationen zu SAF-Funktionen finden Sie im Artikel SAF-Benutzerregistrys. Führen Sie die folgenden Schritte aus, um weitere Eigenschaften zu konfigurieren, die der Benutzerregistry LocalOS und der SAF-Konfiguration zugeordnet sind.

[z/OS]Wichtig: Das lokale Betriebssystem ist kein gültiges Benutzer-Account-Repository, wenn Sie eine heterogene Zellenumgebung mit z/OS- und anderen Knoten haben.

[AIX Solaris HP-UX Linux Windows][IBM i]Die folgenden Schritte sind notwendig, wenn Sie die Sicherheit zum ersten Mal konfigurieren.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Repository für Benutzeraccounts" auf Lokales Betriebssystem und anschließend auf Konfigurieren.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Geben Sie im Feld Name des primären Benutzers mit Verwaltungsaufgaben einen gültigen Benutzernamen ein. Dieser Wert gibt den Namen eines Benutzers mit Verwaltungsberechtigungen an, der in der Registry definiert ist. Dieser Benutzername wird für den Zugriff auf die Administrationskonsole oder von wsadmin verwendet.
  4. [z/OS]Wenn die SAF-Berechtigung nicht aktiviert ist, geben Sie im Feld Name des primären Benutzers mit Verwaltungsaufgaben einen gültigen Benutzernamen ein. Dieser Wert gibt den Namen eines Benutzers mit Verwaltungsberechtigungen an, der in der Registry definiert ist. Dieser Benutzername wird für den Zugriff auf die Administrationskonsole oder von wsadmin verwendet.
  5. Optional: [z/OS]Wählen Sie die Option Groß-/Kleinschreibung für Berechtigung ignorieren aus, damit WebSphere Application Server eine Überprüfung ohne Berücksichtigung der Groß-/Kleinschreibung durchführen kann, wenn Sie die Standardberechtigung verwenden.
  6. Klicken Sie auf Anwenden.
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Wählen Sie die Option Automatisch generierte Server-ID oder die Option Im Repository gespeicherte Server-ID aus. Wenn Sie die Option Im Repository gespeicherte Server-ID auswählen, geben Sie die folgenden Informationen ein:
    Serverbenutzer-ID oder Benutzer mit Verwaltungsaufgaben
    Geben Sie den Kurznamen des Accounts an, den Sie im zweiten Schritt ausgewählt haben.
    Benutzerkennwort des Servers
    Geben Sie das Kennwort des Accounts an, den Sie im zweiten Schritt ausgewählt haben.
  8. [z/OS]Wählen Sie Automatisch generierte Server-ID oder Benutzer-ID für die gestartete z/OS-Task aus.
  9. [IBM i]Geben Sie im Feld Name des primären Benutzers mit Verwaltungsaufgaben ein gültiges Benutzerprofil ein.

    Der Name des primären Benutzers mit Verwaltungsaufgaben gibt das Benutzerprofil an, das verwendet werden muss, wenn der Server sich am zugrunde liegenden Betriebssystem authentifiziert. Diese Identität ist auch der Benutzer, der die anfängliche Berechtigung für den Zugriff auf die Verwaltungsanwendung über die Administrationskonsole besitzt. Die Benutzer-ID mit Verwaltungsaufgaben ist für alle Benutzerregistrys einheitlich. Diese Verwaltungs-ID ist ein Member der ausgewählten Benutzerregistry, allerdings mit Sonderberechtigungen für WebSphere Application Server. Sie hat jedoch keine Sonderberechtigungen in der Benutzerregistry, die sie darstellt. Mit anderen Worten, Sie können jede gültige Benutzer-ID in der Registry als Benutzer-ID mit Verwaltungsaufgaben oder als Benutzer-ID für Server verwenden.

    Im Feld Name des primären Benutzers mit Verwaltungsaufgaben können Sie jedes Benutzerprofil angeben, das den folgenden Kriterien entspricht:
    • Das Benutzerprofil hat den Status *ENABLED.
    • Das Benutzerprofil hat ein gültiges Kennwort.
    • Das Benutzerprofil wird nicht als Gruppenprofil verwendet.
      Wichtig: Einem Gruppenprofil wird eine eindeutige Gruppen-ID-Nummer zugeordnet, die zu keinem regulären Benutzerprofil gehört. Führen Sie den Befehl DSPUSRPRF (Benutzerprofil anzeigen) aus, wenn das Benutzerprofil, das als Name des primären Benutzers mit Verwaltungsaufgaben verwendet werden soll, eine definierte Gruppen-ID-Nummer hat. Wenn das Feld Gruppen-ID auf *NONE gesetzt ist, können Sie das Benutzerprofil als Namen für den primären Benutzer mit Verwaltungsaufgaben verwenden.
  10. Optional: [z/OS]Aktivieren und konfigurieren Sie SAF-Berechtigung.
    1. Klicken Sie auf Sicherheit > Globale Sicherheit > Externe Berechtigungsprovider.
    2. Wählen Sie die Option SAF-Berechtigung aus, um SAF als Berechtigungsprovider zu aktivieren.
    3. Klicken Sie unter "Zugehörige Elemente" auf z/OS-SAF-Berechtigung, um die SAF-Berechtigung zu konfigurieren. Eine Erläuterung der SAF-Berechtigungsoptionen finden Sie im Artikel z/OS-SAF-Berechtigung.
  11. Klicken Sie auf OK.

    Die Administrationskonsole validiert nicht die Benutzer-ID und das Kennwort, wenn Sie auf OK klicken. Dies geschieht erst, wenn Sie in der Anzeige "Globale Sicherheit" auf OK oder Anwenden geklickt haben. Stellen Sie zunächst sicher, dass Lokales Betriebssystem im Abschnitt "Repository für Benutzeraccounts" als verfügbare Realmdefinition ausgewählt ist, und klicken Sie dann auf Als aktuelle Registry festlegen. Falls die Sicherheit bereits aktiviert war und Sie in dieser Anzeige den Benutzer oder das Kennwort ändern, vergessen Sie nicht, die Anzeige "Globale Sicherheit" aufzurufen und auf OK oder Anwenden zu klicken, um Ihre Änderungen auszuwerten. Sollten bei der Validierung Unstimmigkeiten festgestellt werden, treten beim Serverstart möglicherweise Fehler auf.

    Wichtig: Bis Sie andere Benutzer berechtigen, Verwaltungsfunktionen auszuführen, können Sie nur mit der Benutzer-ID für Server und dem zugehörigen Kennwort, das Sie angegeben haben, auf die Administrationskonsole zugreifen. Weitere Informationen hierzu finden Sie im Artikel Zugriff auf Verwaltungsrollen berechtigen.

Ergebnisse

Die in dieser Anzeige vorgenommenen Änderungen treten erst in Kraft, nachdem Sie alle Produktserver, einschließlich Deployment Manager, Knoten und Anwendungsserver, gespeichert, gestoppt und gestartet haben. Falls der Server fehlerfrei aktiviert werden kann, ist die Konfiguration in Ordnung.

Nach Ausführung dieser Schritte haben Sie WebSphere Application Server dahingehend konfiguriert, dass die LocalOS-Registry für die Identifizierung berechtigter Benutzer verwendet wird.

Nächste Schritte

Führen Sie die verbleibenden Schritte zum Aktivieren der Sicherheit aus. Weitere Informationen finden Sie im Artikel Sicherheit aktivieren.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
Dateiname:tsec_localos.html