Sicherheit aktivieren
In diesem Artikel wird beschrieben, wie die Sicherheit konfiguriert werden muss, wenn sie bei der Erstellung von WAS-Profilen nicht aktiviert wurde.
Vorbereitende Schritte
Wenn Sie WebSphere Application Server installieren, empfiehlt es sich, die Installation mit aktivierter Sicherheit durchzuführen. Gemäß Entwurf stellt diese Option sicher, dass alles richtig konfiguriert wurde. Wenn Sie die Sicherheit aktivieren, schützen Sie Ihren Server damit vor nicht berechtigten Benutzern, sorgen für die Isolation der Anwendung und schaffen die Voraussetzungen für die Authentifizierung der Anwendungsbenutzer.
Es ist hilfreich, die Sicherheit aus der Perspektive der Infrastruktur zu betrachten, damit die Vorzüge verschiedener Authentifizierungsverfahren, Benutzerregistrys, Authentifizierungsprotokolle usw. deutlich werden. Die Auswahl der gemäß Ihren Anforderungen richtigen Sicherheitskomponenten ist Bestandteil der Konfiguration der Sicherheit. Eine Entscheidungshilfe können Ihnen die folgenden Abschnitte geben.
Sobald Sie sich mit den Sicherheitskomponenten vertraut gemacht haben, können Sie mit dem Konfigurieren der Sicherheit unter WebSphere Application Server fortfahren.
![[z/OS]](../images/ngzos.gif)
Vorgehensweise
- Starten Sie die Administrationskonsole von WebSphere Application Server.
Starten Sie den Deployment Manager und geben Sie in Ihrem Browser die Adresse des Servers von WebSphere Application Server Network Deployment ein. Standardmäßig können Sie die Konsole mit dem URL http://Ihr_Host.Ihre_Domäne:9060/ibm/console aufrufen.
Wenn die Sicherheit inaktiviert ist, werden Sie zur Eingabe einer Benutzer-ID aufgefordert. Melden Sie sich mit einer beliebigen Benutzer-ID an. Wenn die Sicherheit aktiviert ist, werden Sie jedoch aufgefordert, eine Benutzer-ID und ein Kennwort einzugeben. Melden Sie sich mit der ID und dem Kennwort eines vordefinierten Benutzers mit Verwaltungsaufgaben an.
- Klicken Sie auf Sicherheit > Globale Sicherheit.
Verwenden Sie den Assistenten für die Sicherheitskonfiguration oder konfigurieren Sie die Sicherheit manuell. Die Konfigurationsreihenfolge ist nicht wichtig.
Fehler vermeiden: Sie müssen die Verwaltungssicherheit und die Anwendungssicherheit gesondert aktivieren. Aufgrund dieser Trennung müssen Clients von WebSphere Application Server wissen, ob auf dem Zielserver die Anwendungssicherheit inaktiviert ist. Standardmäßig ist die Verwaltungssicherheit aktiviert. Die Anwendungssicherheit ist standardmäßig inaktiviert. Bevor Sie versuchen, die Anwendungssicherheit im Zielserver zu aktivieren, müssen Sie sicherstellen, dass die Verwaltungssicherheit in diesem Server aktiviert ist. Die Anwendungssicherheit kann nur wirksam werden, wenn die Verwaltungssicherheit aktiviert ist. gotcha
Weitere Informationen zur manuellen Konfiguration finden Sie im Artikel Benutzer authentifizieren.
- Konfigurieren Sie das Repository für Benutzeraccounts. Weitere Informationen finden Sie im Artikel
Registry oder Repository auswählen. In der Anzeige "Globale Sicherheit" können Sie
Repositorys für Benutzer Accounts, wie z. B. eingebundene Repositorys, Registrys des lokalen Betriebssystems, eigenständige LDAP-Registrys
oder eigenständige angepasste Registrys, konfigurieren.
Anmerkung: Sie können eine Server-ID und ein Kennwort für die Interoperabilität angeben oder eine Installation von WebSphere Application Server so konfigurieren, dass automatisch eine interne Server-ID generiert wird. Weitere Informationen zur automatischen Generierung von Server-IDs finden Sie im Artikel Einstellungen für lokales Betriebssystem (LocalOS).
Eine Angabe, die allen Benutzerregistrys bzw. Repositorys gemein ist, ist der Name des primären Benutzers mit Verwaltungsaufgaben. Diese ID ist ein Member des ausgewählten Repository, allerdings mit Sonderberechtigungen für WebSphere Application Server. Die Berechtigungen für diese ID stimmen mit denen der IDs für die Verwaltungsrolle überein. Der Name des primären Benutzers mit Verwaltungsaufgaben kann auf alle geschützten Verwaltungsmethoden zugreifen.
Diese ID darf nicht mit dem Maschinennamen des Systems übereinstimmen, da das Repository manchmal maschinenspezifische Daten zurückgibt, wenn ein Benutzer desselben Namens abgefragt wird.
Für eigenständige LDAP-Registrys müssen Sie sicherstellen, dass der Name des primären Benutzers mit Verwaltungsaufgaben ein Member des Repository ist und nicht nur die LDAP-ID für die Rolle Administration. Der Eintrag muss vorhanden sein.
Der Name des primären Benutzers mit Verwaltungsaufgaben führt keine Prozesse von WebSphere Application Server aus. Dies ist der Prozess-ID vorbehalten.
Die Prozess-ID richtet sich danach, wie der Prozess gestartet wird. Wenn Sie Prozesse beispielsweise in der Befehlszeile starten, ist die Prozess-ID die ID des Benutzers, der beim System angemeldet ist. Bei der Ausführung als Dienst ist die beim System angemeldete Benutzer-ID die ID, die den Dienst ausführt. Falls Sie die Registry des lokalen Betriebssystems ausgewählt haben, erfordert die Prozess-ID Sonderberechtigungen, um die APIs des Betriebssystems aufrufen zu können. Die Prozess-ID muss die folgenden plattformspezifischen Berechtigungen besitzen:
Einsetzen als Teil des Betriebssystems
Root-Berechtigungen
In der Standardkonfiguration werden die Prozesse von WebSphere Application Server unter dem vom System bereitgestellten Profil QEJBSVR ausgeführt.
Wenn Sie die eigenständige Registry des lokalen Betriebssystems in WebSphere Application Server for z/OS verwenden, wird die Benutzer-ID für den Server nicht mit der Administrationskonsole, sondern mit der Klasse STARTED im Betriebssystem z/OS definiert.
- Wählen Sie die Option Als aktuelle Registry festlegen aus, nachdem Sie das
Repository für Benutzeraccounts konfiguriert haben. Wenn Sie auf Anwenden
klicken und die Option "Verwaltungssicherheit aktivieren" ausgewählt ist,
wird geprüft, ob eine Benutzer-ID mit Verwaltungsaufgaben konfiguriert und in der aktiven Benutzerregistry enthalten ist.
Die Benutzer-ID mit Verwaltungsaufgaben kann in der Anzeige "Aktive Benutzerregistry" oder
über den Link "Konsolbenutzer" angegeben werden. Wenn Sie keine Verwaltungs-ID
für die aktive Benutzerregistry konfigurieren, schlägt die Validierung fehl. Anmerkung: Wenn Sie die Benutzerregistry wechseln, müssen die vorhandenen Verwaltungs-IDs und Anwendungsnamen aus der Datei admin-authz.xml gelöscht werden. In den Protokollen werden Ausnahmen für die IDs aufgezeichnet, die zwar in der Datei admin-authz.xml, aber nicht in der aktuellen Benutzerregistry vorhanden sind.
Optional: Sie können Ihren externen Berechtigungsprovider konfigurieren und auf die WebSphere-Berechtigung, die SAF-Berechtigung oder einen externen JACC-Provider umstellen. Weitere Informationen hierzu finden Sie in den Artikeln z/OS-SAF-Berechtigung und Einen externen JACC-Provider aktivieren. Klicken Sie zum Ändern des Berechtigungsproviders Sicherheit > Globale Sicherheit.
- Konfigurieren Sie das Authentifizierungsverfahren.
Konfigurieren Sie in der Anzeige "Authentifizierungsverfahren und Verfallszeit" LTPA (Lightweight Third-Party Authentication) oder Kerberos. Letzteres ist in diesem Release von WebSphere Application Server neu hinzugekommen. LTPA-Berechtigungsnachweise können an andere Maschinen weitergegeben werden. Aus Sicherheitsgründen verfallen Berechtigungsnachweise. Sie können die Verfallszeiten jedoch in der Konsole konfigurieren. LTPA-Berechtigungsnachweise ermöglichen Browsern, Verbindungen zu unterschiedlichen Produktservern herzustellen, d. h., eine mehrmalige Authentifizierung entfällt. Weitere Informationen finden Sie unter LTPA-Verfahren konfigurieren
Anmerkung: Sie können SWAM (Simple WebSphere Authentication Mechanism) als Authentifizierungsverfahren konfigurieren. Beachten Sie jedoch, dass SWAM ab WebSphere Application Server Version 9.0 als veraltet gilt und in einem der künftigen Releases entfernt wird. SWAM-Berechtigungsnachweise können nicht an andere Maschinen weitergeleitet werden und sind deshalb unbegrenzt gültig.
Lesen Sie den Artikel SSO für die Minimierung von Webbenutzerauthentifizierungen implementieren, wenn Sie die Unterstützung für SSO (Single Sign-On) benötigen. Diese Unterstützung bietet Browsern die Möglichkeit, auf verschiedene Produktserver zuzugreifen, ohne sich jedesmal erneut authentifizieren zu müssen. Bei einer formularbasierten Anmeldung müssen Sie SSO konfigurieren, wenn Sie LTPA verwenden.
- Optional: Importieren und exportieren Sie die LTPA-Schlüssel für
zellenübergreifendes SSO (Single Sign-on). Nähere Informationen hierzu finden Sie in den folgenden Artikeln:
Fehler vermeiden: Wenn sich eine der Zellen, zu denen Sie eine Verbindung herstellen, auf einem System mit Version 6.0.x befindet, finden Sie im Artikel "LTPA-Schlüssel konfigurieren" im Information Center von Version 6.0.x weitere Informationen.gotcha
- Konfigurieren Sie bei Bedarf das Authentifizierungsprotokoll
für spezielle Sicherheitsanforderungen von Java-Clients.
Sie können CSIV2 (Common Secure Interoperability Version 2) über Links in der Anzeige "Globale Sicherheit" konfigurieren. Das SAS-Protokoll (Security Authentication Service) wird für die Abwärtskompatibilität mit älteren Produkt-Releases bereitgestellt, ist jedoch veraltet. Wenn Ihre Umgebung Server enthält, die ältere Versionen von WebSphere Application Server verwenden und das SAS-Protokoll unterstützen, erscheinen in der Anzeige "Globale Sicherheit" Links zu den SAS-Protokollanzeigen. Ausführliche Informationen zum Konfigurieren von CSIv2 oder SAS enthält der Artikel CSIV2-Einstellungen für eingehende und abgehende Kommunikation konfigurieren.
Sie können CSIV2 (Common Secure Interoperability Version 2) über Links in der Anzeige "Globale Sicherheit" konfigurieren. Das z/SAS-Protokoll (z/OS Security Authentication Service) wird zwecks Abwärtskompatibilität für vorherige Produktreleases bereitgestellt, ist jedoch veraltet. Wenn Ihre Umgebung Server enthält, die ältere Versionen von WebSphere Application Server verwenden und das SAS-Protokoll unterstützen, erscheinen in der Anzeige "Globale Sicherheit" Links zu den z/SAS-Protokollanzeigen. Ausführliche Informationen zum Konfigurieren von CSIv2 oder z/SAS enthält der Artikel CSIV2-Einstellungen für eingehende und abgehende Kommunikation konfigurieren.
Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.Achtung: In zukünftigen Releases wird IBM das Sicherheitsprotokoll Secure Authentication Service (SAS) IIOP nicht mehr bereitstellen und nicht mehr unterstützen. Es wird empfohlen, das Protokoll Common Secure Interoperability Version 2 (CSIv2) zu verwenden.
Achtung: Das IIOP-Sicherheitsprotokoll z/OS Secure Authentication Service (z/SAS) wird von IBM® nicht mehr geliefert und nicht mehr unterstützt. Es wird empfohlen, das Protokoll Common Secure Interoperability Version 2 (CSIv2) zu verwenden. CSIv2 ist mit früheren Versionen von WebSphere Application Server mit Ausnahme des Client Version 4 kompatibel.
Secure Sockets Layer (SSL) ist standardmäßig vorkonfiguriert. Änderungen sind nur bei kundenspezifischen SSL-Anforderungen notwendig. Sie können die SSL-Konfiguration modifizieren oder eine neue SSL-Konfiguration erstellen. Damit wird die Integrität von Nachrichten gewährleistet, die über das Internet gesendet werden. Das Produkt bietet Ihnen die Möglichkeit, die SSL-Konfigurationen, die von den verschiedenen Features von WebSphere Application Server verwendet werden können, zentral anzugeben. Zu diesen Konfigurationen gehören unter anderem die LDAP-Registry, der Web-Container und das RMI/IIOP-Authentifizierungsprotokoll CSIv2. Weitere Informationen hierzu finden Sie im Artikel SSL-Konfiguration erstellen.Nachdem Sie eine Konfiguration geändert oder eine neue Konfiguration erstellt haben, geben Sie sie in der Anzeige SSL-Konfigurationen an. Führen Sie zum Aufrufen der Anzeige "SSL-Konfigurationen" die folgenden Schritte aus:
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Konfigurationseinstellungen" auf Sicherheitskonfigurationen für Endpunkt verwalten > Konfigurationsname.
- Wählen Sie für jeden Bereich (z. B. für Knoten, Cluster oder Server) unter "Zugehörige Elemente" einen der Konfigurationslinks aus, der für die Sie interessierende Ressource von Relevanz ist.
Editieren Sie die Datei DefaultSSLConfig oder erstellen Sie eine neue SSL-Konfiguration mit einem neuen Aliasnamen. Wenn Sie für Ihre neuen Keystore- und Truststore-Dateien einen neuen Aliasnamen erstellen, ändern Sie alle Stellen, die auf den SSL-Konfigurationsalias DefaultSSLConfig verweisen. Der folgenden Liste können Sie entnehmen, wo die Aliasnamen für die SSL-Konfigurationsrepertoires in der Konfiguration von WebSphere Application Server verwendet werden.
Für alle Transporte, die die neuen Kanalketten für Netzeingabe und Netzausgabe verwenden, darunter HTTP und Java Message Service (JMS), können die Aliasnamen für die SSL-Konfigurationsrepertoires an den folgenden Positionen für jeden Server geändert werden:- Klicken Sie auf Server > Anwendungsserver > Servername. Klicken Sie unter "Kommunikation" auf Ports. Suchen Sie eine Transportkette, in der SSL aktiviert ist, und klicken Sie dann auf Zugeordnete Transporte anzeigen. Klicken Sie auf Name_des_Transportkanals. Klicken Sie unter "Transportkanal" auf SSL-Kanal für eingehende Anforderungen (SSL_2).
- Klicken Sie auf Systemverwaltung > Deployment Manager. Klicken Sie unter "Weitere Eigenschaften" auf Ports. Suchen Sie eine Transportkette, in der SSL aktiviert ist, und klicken Sie dann auf Zugeordnete Transporte anzeigen. Klicken Sie auf Name_des_Transportkanals. Klicken Sie unter "Transportkanal" auf SSL-Kanal für eingehende Anforderungen (SSL_2).
- Klicken Sie auf Systemverwaltung > Node Agents > Name_des_Node_Agent. Klicken Sie unter "Weitere Eigenschaften" auf Ports. Suchen Sie eine Transportkette, in der SSL aktiviert ist, und klicken Sie dann auf Zugeordnete Transporte anzeigen. Klicken Sie auf Name_des_Transportkanals. Klicken Sie unter "Transportkanal" auf SSL-Kanal für eingehende Anforderungen (SSL_2).
Für ORB-SSL-Transporte können Sie die Aliasnamen für die SSL-Konfigurationsrepertoires an den folgenden Positionen ändern. Diese Konfigurationen sind für die Serverebene für WebSphere Application Server bzw. die Zellenebene für WebSphere Application Server Network Deployment bestimmt.- Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Eingehende CSIv2-Kommunikation.
- Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende CSIv2-Kommunikation.
Für LDAP-SSL-Transporte können Sie die Aliasnamen im Repertoire für SSL-Konfigurationen ändern, indem Sie auf Sicherheit > Globale Sicherheit klicken. Klicken Sie unter "Repository für Benutzeraccounts" auf die Dropdown-Liste Verfügbare Realmdefinitionen und wählen Sie Eigenständige LDAP-Registry aus.
Legen Sie die Berechtigung fest. Wenn Sie sich bei der Anpassung für ein z/OS-Sicherheitsprodukt entscheiden, ist als Berechtigung standardmäßig die SAF-Berechtigung (System Authorization Facility) festgelegt (Verwendung von EJBROLE-Profilen). Andernfalls wird standardmäßig die Berechtigung von WebSphere Application Server verwendet. Bei Bedarf können Sie eine externe JACC-Berechtigung (Java™ Authorization Contract for Containers) festlegen. Nähere Informationen finden Sie im Artikel Spezielle Hinweise zur Steuerung des Zugriffs auf Benennungsrollen mit SAF-Autorisierung oder Berechtigungsprovider.
Überprüfen Sie die SSL-Repertoires für WebSphere Application Server. Die von WebSphere z/OS Profile Management Tool oder vom Befehl zpmt generierten Beispielanpassungsjobs erstellen SSL-Schlüsselringe, die Sie verwenden können, wenn Sie RACF als Sicherheitsserver nutzen. Diese Jobs erstellen ein eindeutiges Zertifikat der RACF-Zertifizierungsstelle für Ihre Installation und eine Reihe von Serverzertifikaten, die von dieser Zertifizierungsstelle signiert sind. Die ID der gestarteten Task des Controllers von Application Server hat einen SAF-Schlüsselring, der diese Zertifikate enthält. In einer Umgebung mit WebSphere Application Server Network Deployment werden RACF-Schlüsselringe, deren Eigner die Benutzer-ID des Deployment Manager ist, und Benutzer-IDs des Node Agent erstellt.
Ein RACF-Schlüsselring ist eindeutig an seinem Schlüsselringnamen im Repertoire und an der MVS-Benutzer-ID des Servercontrollerprozesses zu erkennen. Wenn mehrere Servercontrollerprozesse von WebSphere Application Server eindeutige MVS-Benutzer-IDs haben, müssen Sie sicherstellen, dass ein RACF-Schlüsselring und ein privater Schlüssel generiert werden, auch wenn sie dasselbe Repertoire benutzen.
Es gibt zwei Arten von konfigurierbaren SSL-Repertoires:- Das System-SSL-Repertoire wird für die HTTPS- und IIOP-Kommunikation sowie für native Transporte verwendet. Falls Sie nach Aktivierung der Sicherheit die Administrationskonsole verwenden möchten, müssen Sie für HTTP ein System-SSL-Repertoire definieren und auswählen. Das Definieren und Auswählen eines System-SSL-Repertoires ist erforderlich, wenn die IIOP-Sicherheit den SSL-Transport erfordert oder unterstützt oder für Verwaltungsanforderungen ein sicherer RMI-Connector ausgewählt wird.
- Das JSSE-Repertoire (Java Secure Socket Extension) ist für Java-basierte SSL-Kommunikation bestimmt.
Benutzer müssen für die Verwendung der Protokolle HTTP und IIOP ein SSL-Systemrepertoire erstellen. Außerdem muss ein JMX-Connector (Java Management Extensions) für die Verwendung von SSL konfiguriert werden. Wenn der SOAP-HTTP-Connector gewählt wird, muss ein JSSE-Repertoire für das Verwaltungssubsystem ausgewählt werden. Klicken Sie in einer Umgebung mit WebSphere Application Server Network Deployment auf Systemverwaltung > Deployment Manager > Verwaltungsservices > JMX-Connector > SOAP-Connector > Angepasste Eigenschaften > sslConfig klicken.
Die Installationsdialoge von z/Os konfigurieren eine Reihe von SSL-Repertoires. Die Konfiguration dieser Repertoires legt SAF-Schlüsselringe und Dateien fest, die vom Anpassungsprozess gefüllt werden, wenn die RACF-Befehle generiert werden.Tabelle 1. Konfiguration von SSL-Repertoires in den z/OS-Installationsdialogen. In dieser Tabelle sind die SSL-Repertoires aufgelistet, die von den z/OS-Installationsdialogen konfiguriert werden.
Name des Repertoires Typ Standardverwendung NodeDefaultSSLSettings
JSSE
(nur Basisprodukt) Konfiguration für SOAP-JMX-Connector, SOAP-Client, HTTP-Transport für Web-Container
CellDefaultSSLSettings
JSSE
(nur Network Deployment) Konfiguration für SOAP-JMX-Connector, SOAP-Client, HTTP-Transport für Web-Container
DefaultIIOPSSL
SSSL
Wird nur verwendet, wenn DAEMON SSL aktiviert ist
Es ist keine weitere Aktion erforderlich, wenn diese Einstellungen Ihren Anforderungen genügen. Wenn Sie diese Einstellungen erstellen oder ändern möchten, müssen Sie sicherstellen, dass die genannten Keystore-Dateien erstellt werden.
- Klicken Sie auf
Sicherheit > Globale Sicherheit, um die restlichen Sicherheitseinstellungen zu konfigurieren und die Sicherheit
zu aktivieren. Informationen zu diesen Einstellungen finden Sie im Artikel Einstellungen für globale Sicherheit.
Weitere Informationen hierzu finden Sie im Artikel Server und Verwaltungssicherheit.
- Prüfen Sie die fertig gestellte Sicherheitskonfiguration. Klicken Sie dazu auf OK oder Anwenden. Wenn Probleme auftreten, werden diese in roter Schrift angezeigt.
- Wenn keine Validierungsprobleme vorliegen, klicken Sie auf
Speichern, um die Einstellungen in einer Datei zu speichern, die der Server anschließend beim Neustart verwendet. Wenn Sie die Einstellungen speichern, werden sie in das Konfigurationsrepository geschrieben.
Wichtig: Wenn Sie in der Anzeige "Globale Sicherheit" nicht auf Anwenden oder OK geklickt haben, bevor Sie auf Speichern klicken, werden die Änderungen nicht in das Repository geschrieben. Der Server muss erneut gestartet werden, damit die Änderungen wirksam werden, wenn Sie die Administrationskonsole starten.
Durch die Speicheraktion ist der Deployment Manager in der Lage, die geänderten Einstellungen nach dem Neustart von WebSphere Application Server zu verwenden. Weitere Informationen hierzu finden Sie im Artikel Sicherheit für den Realm aktivieren. Die Konfiguration eines Deployment Manager unterscheidet sich von der Konfiguration eines eigenständigen Basisanwendungsservers. Die Konfiguration wird temporär im Deployment Manager gespeichert, bis sie mit allen Node Agents synchronisiert wurde.
Vergewissern Sie sich außerdem, dass alle Node Agents der Domäne gestartet und aktiv sind. Stoppen Sie während dieses Prozesses alle Anwendungsserver. Sollte einer der Node Agents nicht aktiv sein, führen Sie auf der Maschine des Node Agent ein Dienstprogramm für manuelle Dateisynchronisation aus, um die Sicherheitskonfiguration mit der des Deployment Manager zu synchronisieren. Andernfalls kann der Node Agent nicht mehr mit dem Deployment Manager kommunizieren, nachdem für den Deployment Manager die Sicherheit aktiviert wurde.
- Starten Sie die Administrationskonsole von WebSphere Application Server.
Starten Sie den Deployment Manager und geben Sie in Ihrem Browser die Adresse des Servers von WebSphere Application Server Network Deployment ein. Standardmäßig können Sie die Konsole mit dem URL http://Ihr_Host.Ihre_Domäne:9060/ibm/console aufrufen.
Wenn die Sicherheit derzeit inaktiviert ist, melden Sie sich mit einer beliebigen Benutzer-ID an. Falls die Sicherheit gegenwärtig aktiviert ist, melden Sie sich mit einer vordefinierten Administrator-ID und dem zugehörigen Kennwort an. Dies ist in der Regel die Benutzer-ID für Server, die beim Konfigurieren der Benutzerregistry angegeben wird.
Unterartikel
Verwaltungssicherheit
Die Verwaltungssicherheit legt fest, ob Sicherheitseinrichtungen überhaupt zum Einsatz kommen. Ferner legt sie den Typ der Registry fest, anhand derer die Authentifizierung erfolgt, und andere Werte, von denen viele Standardeinstellungen sind. Eine sorgfältige Planung muss vorausgehen, da Sie sich von der Administrationskonsole aussperren können oder einen Serverabsturz verursachen können, wenn Sie die Verwaltungssicherheit nicht richtig aktivieren.Sicherheitshinweise für die Arbeit in einer Umgebung von WebSphere Application Server WebSphere Application Server Network Deployment mit mehreren Knoten
WebSphere Application Server Network Deployment unterstützt die zentrale Verwaltung verteilter Knoten und Anwendungsserver. Eine solche zentrale Verwaltung zieht naturgemäß eine größere Komplexität nach sich. Dies gilt insbesondere, wenn die Sicherheit ins Spiel gebracht wird. In einer verteilten Umgebung kommt der Sicherheit sogar eine noch größere Bedeutung zu, denn es muss gewährleistet werden, dass die Kommunikation zwischen Anwendungsservern und Node Agents sowie zwischen Node Agents (einem knotenspezifischen Konfigurationsmanager) und dem Deployment Manager (einem zentralen Konfigurationsmanager für die gesamte Domäne) geschützt ist.Anwendungssicherheit
Mit der Anwendungssicherheit wird die Sicherheit für die Anwendungen in Ihrer Umgebung aktiviert. Diese Art der Sicherheit ermöglicht die Isolierung von Anwendungen und Anforderungen für eine Authentifizierung von Anwendungsbenutzern.Java-2-Sicherheit
Die Java-2-Sicherheit bietet ein richtlinienbasiertes, differenziertes Verfahren für die Zugriffssteuerung, das die allgemeine Systemintegrität verstärkt. Es sucht nach Berechtigungen, bevor es den Zugriff auf bestimmte, geschützte Systemressourcen zulässt. Die Java-2-Sicherheit sichert den Zugriff auf Systemressourcen wie Datei-E/A, Sockets und Eigenschaften. Die J2EE-Sicherheit überwacht hingegen den Zugriff auf Webressourcen, wie z. B. Servlets, JSP-Dateien (JavaServer Pages) und EJB-Methoden.Sicherheit für den Realm aktivieren
Verwenden Sie diesen Artikel, um die Sicherheit von IBM WebSphere Application Server zu aktivieren. Sie müssen die Verwaltungssicherheit aktivieren, damit die anderen Sicherheitseinstellungen funktionieren.Unterstützung von Java Servlet 3.1 für die Sicherheit konfigurieren
WebSphere Application Server Traditional unterstützt alle Sicherheitsaktualisierungen, die in der Spezifikation Java Servlet 3.1 definiert sind.Sicherheit nach der Aktivierung testen
Es sind Basistests verfügbar, die zeigen, ob die grundlegenden Sicherheitskomponenten ordnungsgemäß funktionieren. Verwenden Sie diese Task, um Ihre Sicherheitskonfiguration zu validieren.Assistent für die Sicherheitskonfiguration
Der Assistent für Sicherheitskonfiguration führt Sie durch die grundlegend erforderlichen Schritte zum Sichern Ihrer Anwendungsserverumgebung.Bericht zur Sicherheitskonfiguration
Der Bericht zur Sicherheitskonfiguration erfasst die aktuellen Sicherheitseinstellungen des Anwendungsservers und zeigt sie an. Es werden Informationen zu den Kernsicherheitseinstellungen, Benutzern und Gruppen mit Verwaltungsaufgaben, CORBA-Benennungsrollen und zum Cookie-Zugriffsschutz erfasst. Wenn mehrere Sicherheitsdomänen konfiguriert werden, hat jede Sicherheitsdomäne ihren eigenen Bericht mit einer Untergruppe der im globalen Sicherheitsbericht angezeigten Abschnitte, die für die Domäne gültig sind.Neue angepasste Eigenschaft in einer globalen Sicherheitskonfiguration oder in einer Sicherheitsdomänenkonfiguration hinzufügen
Angepasste Eigenschaften sind beliebige Name/Wert-Paare von Daten. Dabei ist der Name ein Eigenschaftsschlüssel und der Wert ein Zeichenfolgewert, der verwendet werden kann, um interne Eigenschaften der Systemkonfiguration zu definieren. Durch die Definition einer neuen Eigenschaft können Sie Einstellungen konfigurieren, die über die Einstellungen der Administrationskonsole hinausgehen. Sie können neue angepasste Eigenschaften in einer Sicherheitskonfiguration oder in einer Sicherheitsdomänenkonfiguration hinzufügen.Vorhandene angepasste Eigenschaft in einer globalen Sicherheitskonfiguration oder in einer Sicherheitsdomänenkonfiguration ändern
Angepasste Eigenschaften sind beliebige Name/Wert-Paare von Daten. Dabei ist der Name ein Eigenschaftsschlüssel und der Wert ein Zeichenfolgenwert, der verwendet werden kann, um interne Eigenschaften der Systemkonfiguration zu definieren. Durch die Definition einer neuen Eigenschaft können Sie Einstellungen konfigurieren, die über die Einstellungen der Administrationskonsole hinausgehen. Sie können vorhandene angepasste Eigenschaften in einer globalen Sicherheitskonfiguration oder in einer Sicherheitsdomänenkonfiguration ändern.Vorhandene angepasste Eigenschaft in einer globalen Sicherheitskonfiguration oder in einer Sicherheitsdomänenkonfiguration löschen
Angepasste Eigenschaften sind beliebige Name/Wert-Paare von Daten. Dabei ist der Name ein Eigenschaftsschlüssel und der Wert ein Zeichenfolgenwert, der verwendet werden kann, um interne Eigenschaften der Systemkonfiguration zu definieren. Durch die Definition einer neuen Eigenschaft können Sie Einstellungen konfigurieren, die über die Einstellungen der Administrationskonsole hinausgehen. Sie können vorhandene angepasste Eigenschaften in einer globalen Sicherheitskonfiguration oder in einer Sicherheitsdomänenkonfiguration löschen.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
Dateiname:tsec_csec2.html