Mehrere Sicherheitsdomänen kopieren

Sie können ausgewählte Sicherheitsdomänen aus der Domänensammlung kopieren, um eine neue Domäne zu erstellen. Dieses Vorgehen ist hilfreich, wenn Sie eine Domäne erstellen möchten, die einer bereits vorhandenen Domäne ähnelt und für die Sie nur einige wenige Anpassungen vornehmen müssen. Wenn Sie eine vorhandene Domäne kopieren, müssen Sie für die neue Domäne einen eindeutigen Domänennamen angeben.

Vorbereitende Schritte

Neue Sicherheitsdomänen können nur von Benutzern mit Administratorrolle kopiert oder erstellt werden. Aktivieren Sie vor dem Kopieren mehrerer Sicherheitsdomänen die globale Sicherheit in Ihrer Umgebung.

Die Informationen im Artikel Mehrere Sicherheitsdomänen werden Ihnen helfen, besser zu verstehen, was Sicherheitsdomänen sind und wie diese Version von WebSphere Application Server mehrere Sicherheitsdomänen unterstützt.

Informationen zu diesem Vorgang

Sicherheitsdomänen sind ein Mechanismus für die Verwendung verschiedener Sicherheitseinstellungen für Verwaltungsanwendungen und Benutzeranwendungen. Außerdem unterstützten sie die Verwendung mehrerer Sicherheitseinstellungen, sodass verschiedene Anwendungen verschiedene Sicherheitsattribute wie Benutzerregistry oder Anmeldekonfigurationen verwenden können.

Mit Hilfe mehrerer Sicherheitsdomänen können Sie folgende Ziele erreichen:
  • unterschiedliche Sicherheitsattribute für Verwaltungsanwendungen und Benutzeranwendungen innerhalb einer Zelle konfigurieren
  • Serverkonfigurationen durch Verwaltung verschiedener Sicherheitskonfigurationen in einer Zelle konsolidieren
  • Zugriff zwischen Anwendungen mit unterschiedlichen Benutzerregistrys einschränken oder Vertrauensbeziehungen zwischen Anwendungen herstellen, um die Registry-übergreifende Kommunikation zu unterstützen

Führen Sie die folgenden Schritte aus, i, über die Administrationskonsole eine vorhandene Sicherheitsdomäne zu kopieren:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Sicherheitsdomänen.
  2. Optional: Unter "Vorgaben" können Sie für eine große Domänensammlung die maximale Anzahl der anzuzeigenden Zeilen auswählen. Standardmäßig werden 20 Zeilen angezeigt. Alle darüber hinausgehenden Zeilen erscheinen auf Folgeseiten.
  3. Wählen Sie eine zu kopierende Domäne aus.
  4. Klicken Sie auf Ausgewählte Domäne kopieren..., um die Domäne aus der Sammlung zu kopieren. Wenn Sie eine vorhandene Domäne kopieren und die globalen Sicherheitseinstellungen dieser Domäne beibehalten möchten, wählen Sie Globale Sicherheit kopieren... aus. (Die ausgewählten Einstellungen der Sammlung werden in dem Fall ignoriert.) Bei Auswahl dieser Option müssen Sie einen neuen Domänennamen angeben.
  5. Geben Sie einen eindeutigen Namen für die Domäne an. Dieses Feld ist erforderlich. Ein Domänenname muss innerhalb einer Zelle eindeutig sein und darf keine ungültigen Zeichen enthalten.
  6. Geben Sie eine eindeutige Beschreibung für die Domäne an.
  7. Klicken Sie auf Anwenden. Nachdem Sie auf Anwenden geklickt haben, kehren Sie zur Detailseite für die Sicherheitsdomäne zurück.
  8. Ordnen Sie die Sicherheitsdomäne unter "Zugeordnete Geltungsbereiche" der gesamten Zelle zu. Sie können auch bestimmte Server, Cluster und SIBs auswählen, die in die Sicherheitsdomäne aufgenommen werden sollen.
  9. Passen Sie Ihre Sicherheitskonfiguration an, indem Sie für Ihre neue Domäne Sicherheitsattribute angeben oder indem Sie die Domäne Zellenressourcen zuordnen.
    Sie können unter anderem folgende Sicherheitsattribute ändern:
    Anwendungssicherheit
    Gibt die Einstellungen für die Anwendungssicherheit und die Java™-2-Sicherheit an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.

    Wählen Sie Anwendungssicherheit aktivieren aus, um diese Option für Benutzeranwendungen zu aktivieren oder zu inaktivieren. Ist diese Option inaktiviert, werden die EJBs und Webanwendungen der Sicherheitsdomäne nicht mehr geschützt. Der Zugriff auf diese Ressourcen wird dann ohne Benutzerauthentifizierung gewährt. Wenn Sie diese Option aktivieren, wird die J2EE-Sicherheit für alle EJBs und Webanwendungen in der Sicherheitsdomäne durchgesetzt. Voraussetzung hierfür ist, dass die globale Sicherheit in der globalen Sicherheitskonfiguration aktiviert ist. (Sie können die Anwendungssicherheit erst aktivieren, nachdem Sie die globale Sicherheit auf globaler Ebene aktiviert haben.)

    Java-2-Sicherheit
    Wählen Sie Java-2-Sicherheit aus, um die Java-2-Sicherheit auf Domänenebene zu aktivieren bzw. zu inaktivieren. Diese Option aktiviert oder inaktiviert die Java-2-Sicherheit auf Prozessebene (JVM), sodass alle Anwendungen (Verwaltungs- und Benutzeranwendungen) die Java-2-Sicherheit aktivieren oder inaktivieren können.
    Benutzerrealm

    In diesem Abschnitt können Sie die Benutzerregistry für die Sicherheitsdomäne konfigurieren. Sie können jede Registry, die auf Domänenebene verwendet wird, gesondert konfigurieren. Weitere Informationen finden Sie im Artikel Mehrere Sicherheitsdomänen.

    Trust-Association
    Wenn Sie den Trust Association Interceptor (TAI) auf Domänenebene konfigurieren, werden die auf globaler Ebene konfigurierten Interceptor zur Ihrem Komfort auf die Domänenebene kopiert. Sie können die Interceptor-Liste auf Domänenebene an Ihre Anforderungen anpassen. Konfigurieren Sie nur die Interceptor, die auf der Domänenebene verwendet werden sollen.
    SPNEGO-Webauthentifizierung
    Über die SPNEGO-Webauthentifizierung können Sie SPNEGO für die Authentifizierung von Webressourcen auf der Domänenebene konfigurieren.
    Anmerkung: In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) verwendet, um HTTP-Anforderungen für gesicherte Ressourcen sicher zu vereinbaren und zu authentifizieren. Diese Funktion wurde in WebSphere Application Server Version 7.0 als veraltet gekennzeichnet. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.
    RMI/IIOP-Sicherheit

    Die RMI/IIOP-Sicherheitsattribute beziehen sich auf die Eigenschaften des Protokolls CSIv2 (Common Secure Interoperability Version 2). Wenn Sie diese Attribute auf Domänenebene konfigurieren, wird für Ihren Komfort die RMI/IIOP-Sicherheitskonfiguration auf globaler Ebene kopiert.

    Sie können die Attribute ändern, die auf der Domänenebene einen anderen Wert haben sollen. Die Einstellungen der Transportschicht für die eingehende CSIv2-Kommunikation sollten auf globaler Ebene und Domänenebene übereinstimmen. Unterscheiden sich diese Einstellungen, werden die Attribute der Domänenebene auf alle Anwendungen des Prozesses angewendet.

    JAAS - Anwendungsanmeldungen
    Gibt die Konfigurationseinstellungen für JAAS-Anwendungsanmeldungen (Java Authentication and Authorization Service) an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.

    Auf der Domänenebene können Sie die JAAS-Anwendungsanmeldungen, die JAAS-Systemanmeldungen und die JAAS-Aliasnamen für J2C-Authentifizierungsdaten konfigurieren. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JAAS-Anmeldungen, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JAAS-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie diese JAAS-Anmeldungen nur auf Domänenebene, wenn Sie eine Anmeldung angeben müssen, die exklusiv von den Anwendungen in der Sicherheitsdomäne verwendet wird.

    JAAS - Systemanmeldungen
    Gibt die Konfigurationseinstellungen für die JAAS-Systemanmeldungen an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Konfigurationseinstellungen für eine Domäne anpassen.

    Auf der Domänenebene können Sie die JAAS-Anwendungsanmeldungen, die JAAS-Systemanmeldungen und die JAAS-Aliasnamen für J2C-Authentifizierungsdaten konfigurieren. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JAAS-Anmeldungen, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JAAS-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie diese JAAS-Anmeldungen nur auf Domänenebene, wenn Sie eine Anmeldung angeben müssen, die exklusiv von den Anwendungen in der Sicherheitsdomäne verwendet wird.

    JAAS-J2C-Authentifizierung
    Gibt die Konfigurationseinstellungen für die JAAS-J2C-Authentifizierungsdaten an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.

    Auf der Domänenebene können Sie die JAAS-Anwendungsanmeldungen, die JAAS-Systemanmeldungen und die JAAS-Aliasnamen für J2C-Authentifizierungsdaten konfigurieren. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JAAS-Anmeldungen, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JAAS-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie diese JAAS-Anmeldungen nur auf Domänenebene, wenn Sie eine Anmeldung angeben müssen, die exklusiv von den Anwendungen in der Sicherheitsdomäne verwendet wird.

    Java Authentication SPI (JASPI)

    Gibt die Konfigurationseinstellungen für einen JASPI-Authentifizierungsprovider (Java Authentication SPI) an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen. Zum Konfigurieren von JASPI-Authentifizierungsprovidern für eine Domäne wählen Sie Für diese Domäne anpassen aus. Anschließend können Sie JASPI aktivieren. Wählen Sie Provider aus, um Provider für die Domäne zu definieren.

    Anmerkung: Der JASPI-Authentifizierungsprovider kann mit auf Domänenebene konfigurierten Providern aktiviert werden. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JASPI-Provider, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JASPI-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie JASPI-Authentifizierungsprovider in einer Domäne nur, wenn der Provider ausschließlich von den Anwendungen in dieser Sicherheitsdomäne verwendet werden soll.
    Attribute des Authentifizierungsverfahrens

    Gibt die verschiedenen Cacheeinstellungen an, die auf Domänenebene angewendet werden müssen.

    Wählen Sie Einstellungen des Authentifizierungscache aus, um Ihre Cacheeinstellungen für die Authentifizierung anzugeben. Die Konfiguration in dieser Anzeige wird nur auf diese Domäne angewendet.

    Wählen Sie LTPA-Zeitlimit aus, wenn Sie auf Domänenebene ein anderes LTPA-Zeitlimit konfigurieren möchten. Das Standardzeitlimit wird auf globaler Ebene definiert und liegt bei 120 Minuten. Wenn das LTPA-Zeitlimit auf Domänenebene festgelegt wird, wird jedes in der Sicherheitsdomäne beim Zugriff auf Benutzeranwendungen erstellte Token mit dieser Verfallszeit erstellt.

    Wenn Realmqualifizierte Benutzernamen verwenden aktiviert ist, werden von Methoden wie getUserPrincipal() zurückgegebene Benutzernamen mit dem Sicherheitsrealm (Benutzerregistry) qualifiziert, der von Anwendungen in der Sicherheitsdomäne verwendet wird.

    Berechtigungsprovider

    Auf Domänenebene können Sie einen externen JACC-Provider (Java Authorization Contract for Containers) eines Fremdanbieters konfigurieren. Der JACC-Provider von Tivoli Access Manager kann nur auf globaler Ebene konfiguriert werden. Sicherheitsdomänen können diesen Provider dennoch verwenden, wenn Sie den Berechtigungsprovider nicht durch einen anderen JACC-Provider oder durch die integrierte native Autorisierung außer Kraft setzen.

    [z/OS]Zusätzlich können Sie die folgenden SAF-Berechtigungsoptionen auf der Ebene der Sicherheitsdomäne konfigurieren:
    • Nicht authentifizierte Benutzer-ID
    • Mapper für SAF-Profile
    • SAF-Delegierung aktivieren/inaktivieren
    • APPL-Profil verwenden (bzw. nicht verwenden), um den Zugriff auf den Anwendungsserver einzuschränken
    • Berechtigungsfehlernachrichten unterdrücken (bzw. nicht unterdrücken)
    • Strategie für SMF-Prüfsätze
    • Präfix für SAF-Profile

    [z/OS]Weitere Informationen zu den SAF-Berechtigungsoptionen enthält der Artikel z/OS-SAF-Berechtigung.

    [z/OS]
    z/OS-Sicherheitsoptionen
    Auf Prozessebene (JVM) können Sie die folgenden z/OS-spezifische Sicherheitsoptionen festlegen, die dann von allen Anwendungen (Verwaltungs- und Benutzeranwendungen) aktiviert oder inaktiviert werden können:
    • Synchronisation von Anwendungsserver und z/OS-Thread-ID aktivieren
    • RunAs-Threadidentität des Verbindungsmanagers aktivieren

    Weitere Informationen zu den z/OS-Sicherheitsoptionen finden Sie unter z/OS-Sicherheitsoptionen.

    Angepasste Eigenschaft
    Legen Sie auf der Domänenebene angepasste Eigenschaften fest, die entweder neue Eigenschaften sind oder sich von den auf globaler Ebene festgelegten Eigenschaften unterscheiden. Standardmäßig können alle Anwendungen in der Zelle auf die angepassten Eigenschaften der globalen Sicherheitskonfiguration zugreifen. Der Code der Sicherheitslaufzeit prüft zunächst, ob es angepasste Eigenschaften auf Domänenebene gibt. Werden keine solchen gefunden, versucht die Laufzeit, die Eigenschaften aus der globalen Sicherheitskonfiguration abzurufen.
  10. Klicken Sie auf Anwenden.
  11. Nachdem Sie Ihre Konfigurationsänderungen gespeichert haben, starten Sie den Server erneut, damit die Änderungen wirksam werden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_copy
Dateiname:tsec_sec_domains_copy.html