Bestimmte Anwendungsserver schützen

Auf der Ebene des Anwendungsservers kann die Sicherheit bis zu einem gewissen Grad angepasst werden. Die Verwaltungssicherheit kann auf einem Anwendungsserver inaktiviert werden.

Vorbereitende Schritte

Veraltetes Feature Veraltetes Feature: Die Sicherheit auf Serverebene wird ab diesem Release von WebSphere Application Server nicht weiter unterstützt. Diese Sicherheit wird durch die neu hinzugekommene Unterstützung für mehrere Sicherheitsdomänen ersetzt. Sie können unterschiedliche Sicherheitskonfigurationen erstellen und sie unterschiedlichen Anwendungen in Prozessen von WebSphere Application Server zuordnen. Auf diese Weise können unterschiedliche Sicherheitsattribute für Verwaltungsanwendungen und Benutzeranwendungen innerhalb einer Zellenumgebung konfiguriert werden. Sie können unterschiedliche Anwendungen für die Verwendung verschiedener Sicherheitskonfigurationen konfigurieren, indem Sie die Server, Cluster oder SIBs zuordnen, die diese Anwendungen für die Sicherheitsdomänen bereitstellen. Ausführliche Informationen hierzu enthält der Artikel Mehrere Sicherheitsdomänen.depfeat

Sie können auch Attribute der Java™-2-Sicherheit und andere Sicherheitsattribute ändern, die in der Anzeige "Globale Sicherheit" angezeigt werden. Mit dieser Anzeige können Sie auf die Sicherheitseinstellungen der Zellenebene zugreifen. Authentifizierungsverfahren und Benutzerregistrys können nicht auf Serverebene konfiguriert werden. Dieses Feature ist auf die Konfiguration auf Zellenebene beschränkt.

Standardmäßig übernimmt die Serversicherheit alle für die Sicherheit auf Zellenebene konfigurierten Werte. Wenn Sie die Sicherheitskonfiguration der Zellenebene auf Serverebene überschreiben möchten, klicken Sie auf Server > Anwendungsserver > Servername. Klicken Sie unter "Sicherheit" auf Serversicherheit und anschließend auf einen der folgenden Links:

  • Authentifizierung eingehender CSIv2-Anforderungen
  • Authentifizierung abgehender CSIv2-Anforderungen
  • Eingehender CSIv2-Transport
  • Abgehender CSIv2-Transport
  • [AIX Solaris HP-UX Linux Windows][IBM i]Eingehender SAS-Transport
  • [AIX Solaris HP-UX Linux Windows][IBM i]Abgehender SAS-Transport
  • [z/OS]z/SAS-Authentifizierung
  • Sicherheit auf Serverebene
[AIX Solaris HP-UX Linux Windows][IBM i]Anmerkung: SAS wird nur zwischen Servern der Version 6.0.x und Servern früherer Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden sind.
[z/OS]Anmerkung: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
Nachdem Sie die Konfigurationseinstellungen in einer dieser Anzeigen geändert haben, klicken Sie auf OK oder Anwenden. Daraufhin überschreibt die Sicherheitskonfiguration für dieser Anzeige die Sicherheit auf Zellenebene. Die Einstellungen in anderen Anzeigen, die nicht geändert wurden, werden weiterhin auf Zellenebene übernommen. Sie können die Konfiguration der Zellenebene jederzeit wiederherstellen. Sie können die Sicherheitskonfiguration auf Zellenebene wiederherstellen, indem Sie die Kontrollkästchen der folgenden Optionen in der Anzeige "Serversicherheit" abwählen:
  • Sicherheitseinstellungen für diesen Server überschreiben Zelleneinstellungen
  • RMI/IIOP-Sicherheit für diesen Server überschreibt Zelleneinstellungen
  • SAS-Sicherheit für diesen Server überschreibt Zelleneinstellungen
[z/OS]Für die Sicherheit auf Serverebene können weitere z/SAS-Attribute (Secure Authentication Services for z/OS) berücksichtigt werden:
  • Lokale Identität
  • Ferne Identität
  • Synchronisation mit Thread zulässig

[AIX Solaris HP-UX Linux Windows][z/OS]Weitere Informationen finden Sie im Artikel Server und Verwaltungssicherheit.

Vorgehensweise

  1. Starten Sie die Administrationskonsole für den Deployment Manager. Verwenden Sie zum Aufrufen der Administrationskonsole die folgende Adresse: http://Host.DomänePortnummer/ibm/console. Bei inaktivierter Sicherheit können Sie eine beliebige ID eingeben. Wenn die Sicherheit aktiviert ist, müssen Sie eine gültige Benutzer-ID (mit Kennwort) eingeben. Dies kann die Administrator-ID, die für die Benutzerregistry konfiguriert wurde, oder eine als Administrator angelegte Benutzer-ID sein. Wenn Sie eine Benutzer-ID als Benutzer mit Verwaltungsaufgaben hinzufügen möchten, klicken Sie auf Systemverwaltung > Konsoleinstellungen > Konsolbenutzer.
  2. Konfigurieren Sie die Sicherheit auf Zellenebene. Ausführliche Informationen finden Sie im Artikel Sicherheit aktivieren. Nachdem die Sicherheit konfiguriert ist, können Sie die Sicherheit auf Serverebene konfigurieren.
    Achtung: Die Sicherheit auf Serverebene ist nicht aktiviert, wenn Sie in der Administrationskonsole in den Sicherheitseinstellungen auf Serverebene die Option "Anwendungssicherheit aktivieren" ausgewählt haben. Sie müssen außerdem die Sicherheit auf Zellenebene aktivieren. Wählen Sie dazu in der Administrationskonsole in der Anzeige mit den globalen Sicherheitseinstellungen die Option "Verwaltungssicherheit aktivieren" aus.
  3. Klicken Sie zum Konfigurieren der Sicherheit auf Serverebene auf Server > Anwendungsserver > Servername. Klicken Sie unter "Sicherheit" auf Serversicherheit. Es wird der Status der Sicherheitsstufe angezeigt, die für diesen Anwendungsserver verwendet wird.

    [AIX Solaris HP-UX Linux Windows][IBM i]Standardmäßig sollten die Sicherheitskonfiguration auf Zellenebene, CSI (Common Secure Interoperability) und SAS auf Serverebene nicht außer Kraft gesetzt sein. CSI und SAS sind Authentifizierungsprotokolle für RMI/IIOP-Sicherheitsanforderungen. In der Anzeige "Sicherheit auf Serverebene" sind Attribute aus der Anzeige "Globale Sicherheit" aufgelistet, die auf Serverebene überschrieben werden können. Nicht alle Attribute aus der Anzeige "Globale Sicherheit" können auf Serverebene überschrieben werden, einschließlich des Repository für Benutzeraccounts.

    [z/OS]Standardmäßig sollten die Sicherheitskonfiguration auf Zellenebene, CSI (Common Secure Interoperability) und z/SAS auf Serverebene nicht außer Kraft gesetzt sein. CSI und z/SAS sind Authentifizierungsprotokolle für RMI/IIOP-Sicherheitsanforderungen. In der Anzeige "Sicherheit auf Serverebene" sind Attribute aus der Anzeige "Globale Sicherheit" aufgelistet, die auf Serverebene überschrieben werden können. Nicht alle Attribute aus der Anzeige "Globale Sicherheit" können auf Serverebene überschrieben werden, einschließlich des Repository für Benutzeraccounts.

  4. Wenn Sie die Verwaltungssicherheit für diesen Anwendungsserver aktivieren möchten, wählen Sie in der Anzeige "Sicherheit auf Serverebene" die Optionen Sicherheitseinstellungen für diesen Server überschreiben Zelleneinstellungen und Anwendungssicherheit aktivieren aus. Die in der Anzeige "Sicherheit auf Serverebene" vorgenommenen Änderungen überschreiben die Einstellungen für die Sicherheit auf Zellenebene.
  5. Klicken Sie auf Anwenden und Speichern.
  6. Rufen Sie zum Aktivieren der RMI/IIOP-Sicherheit für diesen Anwendungsserver die Anzeige "Sicherheit auf Serverebene" auf. Wählen Sie in dieser Anzeige die Option RMI/IIOP-Sicherheit für diesen Server überschreibt Zelleneinstellungen aus, und klicken Sie dann auf Anwenden. Wenn Sie die Option RMI/IIOP-Sicherheit für diesen Server überschreibt Zelleneinstellungen auswählen, werden alle Einstellungen für CSIv2-Authentifizierung oder Transport durch die Änderungen, die Sie vornehmen, auf Zellenebene außer Kraft gesetzt.

Nächste Schritte

Die Benutzersicherheit für einen bestimmten Anwendungsserver wird in der Regel über die Sicherheit auf Serverebene inaktiviert. Sie kann jedoch auch verwendet werden, um den Java-2-Sicherheitsmanager zu aktivieren und zu inaktivieren und um die Authentifizierungsanforderungen für RMI/IIOP-Anforderungen zu konfigurieren, die bei diesem Anwendungsserver ein- und ausgehen.

Nachdem Sie die Konfiguration für einen bestimmten Anwendungsserver geändert haben, müssen Sie den Server erneut starten, damit die Änderungen wirksam werden. Klicken Sie zum erneuten Starten des Anwendungsserver auf Server > Anwendungsserver und anschließend auf den Namen des zuletzt geänderten Servers. Klicken Sie auf Stoppen und anschließend auf Starten.

Wenn Sie die Sicherheit für den Anwendungsserver inaktiviert haben, können Sie in der Regel eine Webadresse testen, die bei aktivierter Sicherheit geschützt ist.

[AIX Solaris HP-UX Linux Windows][IBM i]Ein URL, der in der Regel mit der DefaultApplication installiert wird, ist die Anwendung snoop. Falls die DefaultApplication im Anwendungsserver installiert ist, können Sie mit dem folgenden URL testen, ob die Sicherheit inaktiviert ist: http://Host.Domäne:9080/snoop. Bei inaktivierter Sicherheit wird keine Eingabeaufforderung angezeigt. Dieser URL ist nur eine Methode zur Validierung der Konfiguration. Prüfen Sie, ob die Konfiguration für Ihre Anwendungen geeignet ist.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_serversecurity
Dateiname:tsec_serversecurity.html