Sicherheitskonfigurationen optimieren
Sie können die Sicherheit optimieren, um Leistung und Funktion in ein Gleichgewicht zu bringen. Sie können dieses Gleichgewicht erreichen, indem Sie die folgenden Hinweise zur Optimierung der allgemeinen Sicherheit, zu CSIv2 (Common Secure Interoperability Version 2), LDAP-Authentifizierung (Lightweight Directory Access Protocol), Webauthentifzierung und Berechtigung berücksichtigen.
Informationen zu diesem Vorgang
Vorgehensweise
- Beachten Sie die folgenden Empfehlungen für die Optimierung der allgemeinen Sicherheit.
- Wenn Sie genau wissen, welcher Code auf den Server gestellt wird, und Sie die Prozessressourcen nicht schützen müssen, können Sie Java 2 Security Manager inaktivieren. Bedenken Sie jedoch, dass Sie hiermit einige lokale Ressourcen einem gewissen Risiko aussetzen.
- Replizieren Sie die neuen Sicherheitseinstellungen auf allen Knoten, bevor Sie den Deployment Manager und die Node Agents neu starten,
um die neue Sicherheitsrichtlinie zu übernehmen.
Wenn die Sicherheitskonfigurationen Ihrer Server inkonsistent sind, kann es zu Zugriffsverweigerungen kommen. Daher müssen Sie die neuen Sicherheitseinstellungen weitergeben, wenn Sie die Verwaltungssicherheit aktivieren oder inaktivieren.
Konfigurationsänderungen werden grundsätzlich auf dem Wege der Synchronisation von Konfigurationen weitergegeben. Wenn die automatische Synchronisation aktiviert ist, können Sie warten, bis das entsprechende Intervall verstrichen ist. Sie können aber auch vor Ablauf des Intervalls eine Synchronisation erzwingen. Wenn Sie die manuelle Synchronisation verwenden, müssen Sie alle Knoten synchronisieren.
Wenn sich die Zelle im Konfigurationsstatus befindet und die Sicherheitsrichtlinie Knoten mit aktivierter und inaktivierter Sicherheit enthält, können Sie das Dienstprogramm syncNode zum Synchronisieren der Knoten verwenden, an die die neuen Einstellungen nicht weitergegeben wurden.
Nähere Informationen zum Aktivieren der Sicherheit in einer verteilten Umgebung finden Sie im Artikel Sicherheit für den Realm aktivieren.
- Erhöhen Sie das Cachezeitlimit und die Tokenverfallszeit, wenn Sie der Meinung sind, dass Ihre Umgebung nicht sicher genug ist. Wenn Sie diese Werte erhöhen, ist eine erneute Authentifizierung nicht so oft erforderlich. Bei folgenden Anforderungen werden die bereits erstellten Berechtigungsnachweise verwendet. Wenn Sie die Tokenverfallszeit erhöhen, steigt das Risiko, dass der Token von einem Hacker entdeckt wird, der dann mehr Zeit hat, in das System einzudringen, bevor der Token verfällt. Anhand von Eigenschaften
des Sicherheitscaches können Sie die Anfangsgröße des Caches
für die primäre und die sekundäre Hash-Tabelle bestimmen. Sie
beeinflussen die Häufigkeit, mit der die Hash-Tabellen reorganisiert und die Hash-Algorithmen verteilt werden.
Eine Liste der Eigenschaften finden Sie im Artikel Einstellungen des Authentifizierungscaches.
- Ändern Sie den Administrations-Connector von Simple Object Access Protocol (SOAP) in Remote Method Invocation (RMI), weil RMI Stateful-Verbindungen und SOAP nur Stateless-Verbindungen verwendet. Führen Sie einen Benchmark-Test aus, um festzustellen, ob eine Leistungsverbesserung in Ihrer Umgebung eingetreten ist.
- Verwenden Sie das Script "wsadmin", um die Zugriffs-IDs für alle Benutzer und Gruppen zu vervollständigen, um den Anwendungsstart zu beschleunigen. Führen Sie diese Aktion durch, wenn Anwendungen viele Benutzer und Gruppen enthalten, oder wenn Anwendungen häufig gestoppt und gestartet werden. WebSphere Application Server ordnet Benutzer- und Gruppennamen eindeutigen Zugriffs-IDs in der Berechtigungstabelle zu. Das genaue Format der Zugriffs-ID hängt vom Repository ab. Die Zugriffs-ID kann nur während und nach der Anwendungsimplementierung bestimmt werden. Berechtigungstabellen, die während der Assemblierung erstellt werden, enthalten nicht die richtigen Zugriffs-IDs. Weitere Informationen zum Aktualisieren von Zugriffs-IDs finden Sie im Artikel "Befehle für AdminApp".
Optimieren Sie den Object Request Broker (ORB), weil dieser, unabhängig davon, ob die Sicherheit aktiviert ist oder nicht, ein Faktor für die Leistung von Enterprise-Beans ist. Lesen Sie den Artikel zu den Richtlinien für die Optimierung von ORB.
- Wenn Sie SSL verwenden, aktivieren Sie die Option für das SSL-Verfahren zur Sitzungsüberwachung wie im Artikel "Einstellungen für die Sitzungsverwaltung" beschrieben.
Manchmal kann durch die Verwendung der nicht eingeschränkten JCE-Richtliniendatei (Java Cryptography Extension) eine Leistungsverbesserung erzielt werden. Lesen Sie den Artikel zur Optimierung von Web Services Security.
- Durch die Verteilung der Arbeitslast auf mehrere Java Virtual Machines (JVMs) anstelle der Verwendung einer einzelnen JVM auf einer einzelnen Maschine kann die Sicherheitsleistung verbessert werden, weil es weniger Konkurrenzsituationen in Bezug auf Berechtigungsentscheidungen gibt.
- Mit den folgenden Schritten können Sie CSIv2 (Common Secure Interoperability Version 2) optimieren.
- Verwenden Sie SSL-Clientzertifikate anstelle einer Benutzer-ID und eines Kennworts für die Authentifizierung von Java-Clients. Da Sie bereits eine SSL-Verbindung verwenden, wird durch die gegenseitige Authentifizierung wenig zusätzlicher Aufwand erzeugt, während der Servicekontext, der die Benutzer-ID und das Kennwort enthält, vollständig entfernt wird.
- Wenn Sie große Datenmengen senden, die nicht sicherheitsrelevant sind, können Sie den Verschlüsselungsgrad reduzieren. Je mehr Massendaten verschlüsselt werden müssen und je stärker das Verschlüsselungsverfahren ist, desto mehr Zeit nimmt dieser Prozess in Anspruch. Wenn die Daten nicht sicherheitsrelevant sind, verschwenden Sie keine Ressourcen mit 128-Bit-Verschlüsselung.
- Geben Sie nur einen Stern (*) in der Liste der vertrauenswürdigen Server-IDs ein (d. h. Sie vertrauen allen Servern), wenn Sie die Identitätsprüfung für Downstream-Delegierung verwenden. Dieses Vertrauen kann durch eine gegenseitige SSL-Authentifizierung zwischen den Servern hergestellt werden. Dieser zusätzliche Schritt beim SSL-Handshake erfordert weniger Ressourcen als die vollständige Authentifizierung des übergeordneten Servers anhand der anerkannten Liste. Wenn ein Stern (*) verwendet wird, ist der Identitätstoken vertrauenswürdig. Die SSL-Verbindung vertraut dem Server über die Clientzertifikatsauthentifizierung.
- Vergewissern Sie sich, dass die statusabhängigen (stateful) Sitzungen für CSIv2 aktiviert sind. Das ist die Standardeinstellung, für die jedoch nur bei der ersten Anforderung und nach Ablauf des Tokenverfallsdatums eine Authentifizierung erforderlich ist.
- Überlegen Sie, ob Sie die Werte für den CSIv2-Sitzungscache nicht ändern sollten. Durch das Ändern dieser Werte können Ressourcenengpässe vermieden werden. Weitere Informationen finden Sie im Artikel zur abgehenden CSIv2-Kommunikation (Common Secure Interoperability Version 2).
- Wenn Sie nur mit WAS-Servern der Version 5 und höher arbeiten,
ändern Sie das aktive Authentifizierungsprotokoll in CSI anstelle von CSI und SAS. Damit vermeiden Sie, das bei jeder Anforderung auf der Client- oder Serverseite
ein Interceptor aufgerufen wird. Wichtig: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
- Mit den folgenden Schritten können Sie die LDAP-Authentifizierung (Lightweight Directory Access Protocol) optimieren.
- Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit.
- Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen, und wählen Sie Eigenständige LDAP-Registry aus. Klicken Sie anschließend auf Konfigurieren.
- Wählen Sie bei der Konfiguration eigenständiger LDAP-Registrys die Option Groß-/Kleinschreibung ignorieren aus, wenn die Groß-/Kleinschreibung nicht wichtig ist.
- Wählen Sie die Option Verbindung wiederverwenden aus.
- Verwenden Sie die Cachefeatures, die von Ihrem LDAP-Server unterstützt werden.
- Wenn Sie einen IBM Tivoli Directory Server verwenden, können Sie den Verzeichnistyp IBM Tivoli Directory Server oder SecureWay auswählen. IBM Tivoli Directory Server steigert den Durchsatz, da sie die neuen Gruppenzugehörigkeitsattribute für eine beschleunigte Suche nach Gruppenzugehörigkeiten nutzen kann. Wenn Sie IBM Tivoli Directory Server verwenden, muss die Beachtung der Groß-/Kleinschreibung für die Berechtigung aktiviert sein.
- Wenn Sie Benutzer von iPlanet Directory sind, wählen Sie entweder iPlanet Directory Server (auch bekannt als Sun ONE) oder Netscape als Verzeichnistyp aus. Mit dem Verzeichnistyp iPlanet Directory Server können Sie bei Lookup-Operationen für Gruppenzugehörigkeiten die Leistung verbessern. Verwenden Sie jedoch Role nur für Gruppenmechanismen.
- Mit den folgenden Schritten können Sie die Webauthentifizierung optimieren.
- Erhöhen Sie das Cachezeitlimit und die Tokenverfallszeit, wenn Sie der Meinung sind, dass Ihre Umgebung sicher genug ist. In diesem Cache werden die Informationen für die Webauthentifizierung gespeichert. Solange die Informationen im Cache bleiben, muss nicht das Anmeldemodul zum Authentifizieren des Benutzers aufgerufen werden. Bei folgenden Anforderungen werden die bereits erstellten Berechtigungsnachweise verwendet. Wenn Sie die Tokenverfallszeit erhöhen, steigt das Risiko, dass der Token gestohlen und dem Dieb mehr Zeit gegeben wird, in das System einzudringen, bevor der Token verfällt.
- SSO (Single Sign-on) aktivieren. Klicken Sie zum Konfigurieren von SSO auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Websicherheit" auf Single Sign-On (SSO).
SSO ist nur verfügbar, wenn Sie LTPA als Authentifizierungsmechanismus in der Anzeige "Authentifizierungsverfahren und Verfallszeit" konfigurieren. Sie können Simple WebSphere Authentication Mechanism (SWAM) als Authentifizierungsverfahren in der Anzeige "Authentifizierungsverfahren und Verfallszeit" auswählen. Wenn Sie SSO auswählen, reicht eine Authentifizierung gegenüber einem Anwendungsserver aus, Anforderungen an mehrere Anwendungsserver in derselben SSO-Domäne zu richten. Es gibt Szenarien, in denen SSO nicht sinnvoll ist, und Sie sollten es auch in diesen Fällen nicht verwenden.
- Inaktivieren bzw. aktivieren Sie die Option Weitergabe der Sicherheitsattribute für eingehende Webanforderungen in der SSO-Anzeige, je nach dem, ob die Funktion erforderlich ist oder nicht. In einigen Fällen wird durch das Aktivieren der Funktion die Leistung verbessert. Diese Verbesserung bezieht sich auf Fälle mit großem Datenvolumen, in denen eine hohe Anzahl von Aufrufen der Benutzerregistry die Leistung reduziert. In anderen Fällen wird durch das Inaktivieren der Funktion die Leistung verbessert. Diese Verbesserung tritt meist ein, wenn die Aufrufe der Benutzerregistry nicht viele Ressourcen binden.
- Mit den beiden folgenden angepassten Eigenschaften können Sie unter Umständen die Leistung steigern, wenn die Weitergabe von Sicherheitsattributen
aktiviert ist:
- com.ibm.CSI.propagateFirstCallerOnly
Der Standardwert dieser Eigenschaft ist true. Wenn diese angepasste Eigenschaft auf true gesetzt ist, wird bei aktivierter Weitergabe von Sicherheitsattributen der erste Caller im Weitergabetoken, der im Thread bleibt, protokolliert. Wenn diese Eigenschaft auf false gesetzt wird, werden Wechsel des Callers protokolliert. Dies kann sich negativ auf die Leistung auswirken.
- com.ibm.CSI.disablePropagationCallerList
Wenn diese angepasste Eigenschaft auf true gesetzt ist, gibt es keine Möglichkeit, eine Caller-Liste oder Hostliste zum Weitergabetoken hinzuzufügen. Diese Funktion ist von Vorteil, wenn die Caller-Liste oder Hostliste im Weitergabetoken in der Umgebung nicht benötigt wird.
- com.ibm.CSI.propagateFirstCallerOnly
- Die folgenden Schritte ermöglichen eine Optimierung der Berechtigung.
- Ordnen Sie Ihre Benutzer Gruppen in der Benutzerregistry zu. Ordnen Sie die Gruppen Ihren Java-EE-Rollen zu. Diese Zuordnung verbessert die Leistung erheblich, wenn die Anzahl der Benutzer zunimmt.
- Legen Sie sorgfältig die Methodenberechtigungen für Enterprise-Beans fest. Sie können beispielsweise einen Stern verwenden, um alle Methoden im Element method-name anzugeben. Wenn alle Methoden von Enterprise-Beans dieselben Berechtigungen erfordern, geben Sie mit dem Stern (*) im Element method-name alle Methoden an. Auf diese Weise wird die Größe der Implementierungsdeskriptoren und der zum Laden des Implementierungsdeskriptors erforderliche Speicher verringert. Die Suchzeit für den Abgleich der Methodenberechtigung für die Enterprise-Beans-Methode verkürzt sich ebenfalls.
- Legen Sie sorgfältig die Sicherheitsvorgaben für Servlets fest. Sie können beispielsweise das URL-Muster *.jsp verwenden, damit für alle JSP-Dateien dieselben Vorgaben für die Authentifizierungsdaten gelten. Für einen URL hat die exakte Übereinstimmung im Implementierungsdeskriptor Vorrang vor der längsten Pfadübereinstimmung. Verwenden Sie den Erweiterungsabgleich mit *.jsp, *.do und *.html, wenn keine genauen Übereinstimmungen vorhanden sind, und die längste Pfadübereinstimmung für einen angegebenen URL in den Sicherheitsvorgaben vorhanden ist.
- Verwenden Sie neue Optimierungsparameter, wenn Sie mit der Java-2-Sicherheit arbeiten. Die neuen Optimierungsparameter können die Leistung erheblich verbessern und führen ein neues Konzept mit dem Namen
Schreibgeschütztes Subject ein, das einen neuen Cache für J2C-Authentifizierungssubjekte aktiviert, wenn
containergesteuerte Aliasnamen für Authentifizierungsdaten verwendet werden. Wenn das J2C-Authentifizierungssubjekt nach der Erstellung nicht geändert werden muss, kann
die Leistung der Java-2-Sicherheit mit den folgenden neuen Optimierungsparametern verbessert werden:
- com.ibm.websphere.security.auth.j2c.cacheReadOnlyAuthDataSubjects=true
- com.ibm.websphere.security.auth.j2c.readOnlyAuthDataSubjectCacheSize=50 (Dies ist die maximale Anzahl an Subjekten in der Hashtabelle des Caches. Sobald der Cache die Größe erreicht, werden einige Einträge gelöscht. Um eine bessere Leistung zu erzielen, sollten Sie eine Größe festlegen, die der Anzahl eindeutiger Subjekte entspricht (der Cache basiert auf der Eindeutigkeit von Benutzer-Principal + Authentifizierungsdatenalias + Instanz der verwalteten Verbindungsfactory), wenn rollenbasierte Sicherheit und Java-2-Sicherheit gemeinsam verwendet werden.
- Verwenden Sie die neuen Optimierungsparameter, um die Leistung
der Weitergabe von Sicherheitsattributen zu verbessern. Die neuen Optimierungsparameter können über
angepasste Eigenschaften in der Administrationskonsole gesetzt werden, um den zusätzlichen Aufwand für die Weitergabe von Sicherheitsattributen zu reduzieren:
- com.ibm.CSI.disablePropagationCallerList=true
- com.ibm.CSI.propagateFirstCallerOnly=true (verwenden Sie diese Eigenschaft, wenn Sie nur den ersten Caller überwachen möchten)
- Überprüfen Sie die Einstellungen für den
Sicherheitscache (WSSecureMap), der die Leistung der Weitergabe von Sicherheitsattributen beeinflussen kann. Die Die Einstellungen für den Sicherheitscache (WSSecureMap) können über angepasste Eigenschaften in der Administrationskonsole angepasst werden.
- com.ibm.ws.security.WSSecureMapInitAtStartup=true
- com.ibm.ws.security.WSSecureMapSize (Intger von 100 oder höher).
Ergebnisse
Nächste Schritte
Unterartikel
Tipps zur Leistung von Secure Sockets Layer
Diese Seite enthält Tipps zur Leistung von Secure Sockets Layer (SSL). Leistungsaspekte erfordern in der Regel immer einen Kompromiss zwischen Funktion und Geschwindigkeit. Je größer der Funktionsumfang und der Verarbeitungsaufwand ist, desto geringer wird der Durchsatz ausfallen.Tipps zur Optimierung der Sicherheit
Die Erhöhung der Sicherheit bedeutet im Allgemeinen Folgendes: Die Kosten pro Transaktion steigen und der Durchsatz geht zurück. Beachten Sie beim Konfigurieren von WebSphere Application Server die folgenden Informationen zur Sicherheit.Sicherheitsleistung optimieren
Verwenden Sie die folgenden Prozeduren, um die Leistung ohne Beeinträchtigung Ihrer Sicherheitseinstellungen zu optimieren.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_tune
Dateiname:tsec_tune.html