LocalOS-Benutzerregistrys konfigurieren
Verwenden Sie diese Schritte, um Benutzerregistrys des lokalen Betriebssystems zu konfigurieren. .
Vorbereitende Schritte
Nähere Informationen zur Verwendung der LocalOS-Benutzerregistry finden Sie im Artikel Registrys des lokalen Betriebssystems. Mit diesen Schritten wird die Sicherheit basierend auf der LocalOS-Benutzerregistry, auf der der WebSphere Application Server installiert ist, konfiguriert.
Aus Sicherheitsgründen
unterstützt WebSphere Application Server Implementierungen für die Registrys von Windows, AIX,
Solaris und mehrere Versionen von Linux. Die Produktprozesse (Server) rufen die entsprechenden Betriebssystem-APIs auf,
um einen Benutzer und andere sicherheitsrelevante Tasks (z. B. das Abrufen von Benutzer- und Gruppeninformationen)
zu authentifizieren.
Zugriff auf diese APIs haben nur Benutzer mit Sonderberechtigungen. Diese Berechtigungen sind vom Betriebssystem abhängig und werden weiter unten
beschrieben.
Wenn eine
LocalOS-Benutzerregistry ausgewählt wird, wird die ID der gestarteten Task als Server-ID
verwendet. Somit ist weder eine Benutzer-ID noch ein Kennwort für die Konfiguration des Servers erforderlich.
![[z/OS]](../images/ngzos.gif)
![[Windows]](../images/windows.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
- Die Server-ID sollte nicht mit dem Namen der Windows-Maschine übereinstimmen, auf der das Produkt installiert ist. Wenn die Windows-Maschine beispielsweise den Namen vicky hat und die ID für den Sicherheitsserver ebenfalls vicky lautet, tritt beim Abrufen von Informationen (z. B. Gruppeninformationen) für den Benutzer vicky ein Fehler in Windows auf.
- WebSphere Application Server stellt dynamisch fest, ob die Maschine Member einer Windows-Systemdomäne ist.
- WebSphere Application Server bietet keine Unterstützung für gesicherte Windows-Domänen.
- Ist eine Maschine Member einer Windows-Domäne, wird sowohl die Benutzerregistry der Domäne als auch die lokale Benutzerregistry der Maschine in die Authentifizierung und die Zuordnung von Sicherheitsrollen einbezogen.
- Wenn Sie eine Benutzer-ID einer Windows-Domäne verwenden, um WebSphere Application Server zu installieren und auszuführen,
muss die ID die folgenden Berechtigungen haben.
- Er muss Member der Domänenadministratorgruppe im Domänencontroller sein.
- Er muss die Berechtigung "Einsetzen als Teil des Betriebssystems" in der Domänensicherheitsrichtlinie des Domänencontrollers haben.
- Er muss die Berechtigung "Einsetzen als Teil des Betriebssystems" in der lokalen Sicherheitsrichtlinie auf der lokalen Maschine haben.
- Er muss die Berechtigung "Als Dienst anmelden" auf der lokalen Maschine haben, wenn der Server als Dienst ausgeführt wird.
- Die Benutzerregistry der Domäne hat Vorrang vor der lokalen Benutzerregistry der Domäne. Dies kann zu unerwünschten Komplikationen führen, wenn beide Benutzerregistrys Benutzer mit identischem Kennwort enthalten.
- Der Benutzer, unter dem die Produktprozesse ausgeführt werden, sollte über die Berechtigungen Administrator und Einsetzen als Teil des Betriebssystems verfügen, um die APIs des Windows-Betriebssystems aufrufen zu können, mit denen Benutzer- und Gruppeninformationen authentifiziert oder erfasst werden. Für den Prozess ist eine Sonderberechtigung erforderlich, die durch die genannten Berechtigungen abgedeckt ist. Der Benutzer in diesem Beispiel muss nicht mit der ID für Sicherheitsserver übereinstimmen (jedoch einen gültigen Benutzereintrag in der Registry haben). Dieser Benutzer meldet sich in der Befehlszeile bei der Maschine an, um den Produktprozess zu starten oder über die Einstellung Anmelden als im Fenster "Dienste", wenn die Produktprozesse als Dienste gestartet wurden.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Der Benutzer, unter dessen ID die Produktprozesse ausgeführt werden, sollte die Berechtigung root haben. Diese Berechtigung ist erforderlich, um die APIs des UNIX-Betriebssystems für die Authentifizierung oder Erfassung von Benutzer- und Gruppeninformationen aufrufen zu können. Für den Prozess ist eine Sonderberechtigung erforderlich, die durch die Berechtigung root abgedeckt ist. Dieser Benutzer muss nicht mit der ID für Sicherheitsserver übereinstimmen (jedoch einen gültigen Benutzereintrag in der Registry haben). Dieser Benutzer meldet sich bei der Maschine an und führt die Produktprozesse aus.
Der Benutzer, der die Verwaltungssicherheit aktiviert, muss die Berechtigung root besitzen, wenn Sie eine Benutzerregistry vom Typ LocalOS verwenden. Andernfalls wird ein Validierungsfehler angezeigt.
Möglicherweise muss die Shadow-Kennwortdatei sich in Ihrem System befinden.
Informationen zu diesem Vorgang
Wenn Sie eine Benutzerregistry für WebSphere Application
Server konfigurieren, funktioniert SAF (System Authorization Facility) in Verbindung
mit der Benutzerregistry, um Anwendungen die Berechtigung für die Ausführung auf dem
Server zu geben. Weitere Informationen zu SAF-Funktionen finden Sie im Artikel
SAF-Benutzerregistrys. Führen
Sie die folgenden Schritte aus, um weitere Eigenschaften zu konfigurieren, die der
Benutzerregistry LocalOS und der SAF-Konfiguration zugeordnet sind.
![[z/OS]](../images/ngzos.gif)
Die folgenden Schritte sind notwendig, wenn Sie die Sicherheit zum ersten Mal
konfigurieren.
Vorgehensweise
Ergebnisse
Die in dieser Anzeige vorgenommenen Änderungen treten erst in Kraft, nachdem Sie alle Produktserver, einschließlich Deployment Manager, Knoten und Anwendungsserver, gespeichert, gestoppt und gestartet haben. Falls der Server fehlerfrei aktiviert werden kann, ist die Konfiguration in Ordnung.
Nach Ausführung dieser Schritte haben Sie WebSphere Application Server dahingehend konfiguriert, dass die LocalOS-Registry für die Identifizierung berechtigter Benutzer verwendet wird.
Nächste Schritte
Führen Sie die verbleibenden Schritte zum Aktivieren der Sicherheit aus. Weitere Informationen finden Sie im Artikel Sicherheit aktivieren.