Mehrere Sicherheitsdomänen konfigurieren
Standardmäßig verwenden alle Verwaltungsanwendungen und Benutzeranwendungen in WebSphere Application Server die globale Sicherheitskonfiguration. Eine in der globalen Sicherheit definierte Benutzerregistry wird beispielsweise verwendet, um Benutzer für jede Anwendung innerhalb der Zelle zu authentifizieren. Dieses vordefinierte Verhalten ist dasselbe wie in früheren Releases von WebSphere Application Server. Sie können zusätzliche WebSphere-Sicherheitsdomänen erstellen, wenn Sie für einige oder alle Benutzeranwendungen andere Sicherheitsattribute angeben möchten. Diese Artikel beschreibt die Konfiguration einer Sicherheitsdomäne mithilfe der Administrationskonsole.
Vorbereitende Schritte
Die Informationen im Artikel Mehrere Sicherheitsdomänen werden Ihnen helfen, besser zu verstehen, was Sicherheitsdomänen sind und wie diese Version von WebSphere Application Server mehrere Sicherheitsdomänen unterstützt.
Informationen zu diesem Vorgang
Mit Hilfe von Sicherheitsdomänen können Sie mehrere Sicherheitskonfigurationen für Ihre Umgebung definieren. Sie können beispielsweise für Benutzeranwendungen andere Sicherheitseinstellungen (z. B. eine andere Benutzerregistry) wie für Verwaltungsanwendungen festlegen. Sie können auch unterschiedliche Sicherheitskonfigurationen für Benutzeranwendungen festlegen, die auf verschiedenen Servern und in verschiedenen Clustern implementiert sind.

Führen Sie die folgenden Schritte aus, um über die Administrationskonsole eine neue Sicherheitsdomäne zu konfigurieren:
Vorgehensweise
- Klicken Sie auf Sicherheit > Sicherheitsdomänen.
- Klicken Sie auf Neu, wenn Sie eine neue Sicherheitsdomäne erstellen möchten. Geben Sie für die Domäne einen eindeutigen Namen und eine Beschreibung an und klicken Sie auf Anwenden. Falls Sie eine vorhandene Sicherheitsdomäne konfigurieren möchten wählen Sie die zu bearbeitende Domäne aus. Nachdem Sie auf Anwenden geklickt haben, werden der Domänenname und weitere Abschnitte angezeigt. In einem dieser Abschnitte können Sie die Sicherheitsattribute für die Domäne definieren. In einem anderen Abschnitt können Sie die Bereiche auswählen, auf die die Domäne angewendet werden soll.
- Wählen Sie unter "Zugeordnete Geltungsbereiche" aus, ob die Sicherheitsdomäne der gesamten Zelle zugeordnet werden soll, oder ob Sie bestimmte Server, Cluster und SIBs auswählen möchten, die in die Sicherheitsdomäne aufgenommen
werden sollen. Der Abschnitt "Zugeordnete Geltungsbereiche" umfasst zwei Ansichten. Die Standardansicht zeigt eine Zellentopologie. Wenn Sie die Sicherheitsdomäne der gesamten Zelle zuordnen möchten, klicken
Sie auf das Kontrollkästchen für die Zelle. Klicken Sie dann auf Anwenden oder OK.
Der Name der Sicherheitsdomäne erscheint neben dem Zellennamen. Daran können Sie erkennen, dass die Domäne jetzt der Zelle zugeordnet ist. Sie können die Topologieanzeige erweitern und die Domäne Servern und Clustern zuordnen. Wenn ein Element der Topologie bereits einer anderen Sicherheitsdomäne zugeordnet ist, ist das Kontrollkästchen inaktiviert und neben dem Namen des Geltungsbereichs wird der Name der zugeordneten Domäne angezeigt. Falls Sie der Domäne einen dieser Geltungsbereiche zuordnen möchten, müssen Sie zunächst die aktuelle Domänenzuordnung aufheben.
Wählen Sie unter Zugeordnete Geltungsbereiche alle Bereiche aus, um eine Liste der Ressourcen anzuzeigen, die der Sicherheitsdomäne derzeit zugeordnet sind.
- Passen Sie Ihre Sicherheitskonfiguration an, indem Sie für Ihre neue Domäne Sicherheitsattribute angeben. Nicht aufgelistete Attribute können nicht auf Domänenebene
angepasst werden. Domänen übernehmen Attribute aus der globalen Sicherheitskonfiguration.
Es gibt 12 Abschnitte für einzeln konfigurierbare Sicherheitsattribute. Sie können jeden dieser Abschnitte ein- bzw. ausblenden. Wenn ein Abschnitt ausgeblendet ist, sehen Sie nur den Namen und einen Summenwert für diesen Abschnitt. Der Summenwert gibt (durch grauen Text) an, ob das Attribut in der globalen Sicherheit definiert ist und von der Domäne wiederverwendet wird, oder ob das Attribut für die Domäne angepasst wurde. Letzteres wird durch schwarzen Text angezeigt, dem das Wort "Angepasst" vorangestellt ist.
Zunächst wird jedes Sicherheitsattribut so definiert, dass es die Einstellungen der globalen Sicherheit verwendet. Für ein so definiertes Attribut gibt es keine domänenspezifische Konfiguration. Anwendungen, die die Domäne nutzen, verwenden für diese Sicherheitsattribute die globale Konfiguration.
Konfigurieren Sie nur die Sicherheitsattribute, die Sie ändern möchten. Wenn Sie ein Sicherheitsattribut für eine Domäne konfigurieren wollen, müssen Sie den Abschnitt für das Attribut einblenden. Die Schlüsseleigenschaften der globalen Konfiguration werden unter der Option Globale Sicherheit verwenden angezeigt. Diese Eigenschaften werden zu Ihrem Komfort bereitgestellt.
Wählen Sie Für diese Domäne anpassen aus, um die Konfiguration für die Domäne anzupassen. Konfigurieren Sie die Eigenschaft und klicken Sie auf OK oder Anwenden.Anmerkung: Wenn Sie Für diese Domäne anpassen auswählen, setzen Sie alle Sicherheitskonfigurationen, die in der globalen Sicherheit für diesen Abschnitt definiert sind, außer Kraft. Eine Ausnahme hiervon bilden die Anwendungsanmeldungen, die Systemanmeldungen und die J2C-Authentifizierungsdaten. Wenn Sie Einträge für eine Domäne definieren, können Anwendungen in der Domäne auf die globalen Einträge sowie auf die domänenspezifischen Einträge zugreifen.Vielleicht möchten Sie für Anwendungen, die die Sicherheitsdomäne nutzen, eine andere Benutzerregistry und dennoch die globale Sicherheitskonfiguration für alle anderen Eigenschaften verwenden. Erweitern Sie in dem Fall die Anzeige für den Abschnitt "Benutzerrealm" und wählen Sie Für diese Domäne anpassen aus. Wählen Sie einen Benutzerregistry-Typ aus, klicken Sie auf Konfigurieren, und geben Sie in der aufgerufenen Anzeige die entsprechenden Konfigurationsdetails an.
Sie können unter anderem folgende Sicherheitsattribute ändern:- Anwendungssicherheit
- Gibt die Einstellungen für die Anwendungssicherheit und die Java™-2-Sicherheit an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
Wählen Sie Anwendungssicherheit aktivieren aus, um diese Option für Benutzeranwendungen zu aktivieren oder zu inaktivieren. Ist diese Option inaktiviert, werden die EJBs und Webanwendungen der Sicherheitsdomäne nicht mehr geschützt. Der Zugriff auf diese Ressourcen wird dann ohne Benutzerauthentifizierung gewährt. Wenn Sie diese Option aktivieren, wird die J2EE-Sicherheit für alle EJBs und Webanwendungen in der Sicherheitsdomäne durchgesetzt. Voraussetzung hierfür ist, dass die globale Sicherheit in der globalen Sicherheitskonfiguration aktiviert ist. (Sie können die Anwendungssicherheit erst aktivieren, nachdem Sie die globale Sicherheit auf globaler Ebene aktiviert haben.)
- Java-2-Sicherheit
- Wählen Sie Java-2-Sicherheit aus, um die Java-2-Sicherheit auf Domänenebene zu aktivieren bzw. zu inaktivieren. Diese Option aktiviert oder inaktiviert die Java-2-Sicherheit auf Prozessebene (JVM), sodass alle Anwendungen (Verwaltungs- und Benutzeranwendungen) die Java-2-Sicherheit aktivieren oder inaktivieren können.
- Benutzerrealm
In diesem Abschnitt können Sie die Benutzerregistry für die Sicherheitsdomäne konfigurieren. Sie können jede Registry, die auf Domänenebene verwendet wird, gesondert konfigurieren. Weitere Informationen hierzu enthält der Artikel Mehrere Sicherheitsdomänen.
- Trust-Association
- Wenn Sie den Trust Association Interceptor (TAI) auf Domänenebene konfigurieren, werden die auf globaler Ebene konfigurierten Interceptor zur Ihrem Komfort auf die Domänenebene kopiert. Sie können die Interceptorliste auf Domänenebene an Ihre Anforderungen anpassen. Konfigurieren Sie nur die Interceptor, die auf der Domänenebene verwendet werden sollen.
- SPNEGO-Webauthentifizierung
- Über die SPNEGO-Webauthentifizierung können Sie SPNEGO für die Authentifizierung von Webressourcen
auf der Domänenebene konfigurieren. Anmerkung: In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wurde in WebSphere Application Server Version 7.0 als veraltet gekennzeichnet. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.
- RMI/IIOP-Sicherheit
Die RMI/IIOP-Sicherheitsattribute beziehen sich auf die Eigenschaften des Protokolls CSIv2 (Common Secure Interoperability Version 2). Wenn Sie diese Attribute auf Domänenebene konfigurieren, wird für Ihren Komfort die RMI/IIOP-Sicherheitskonfiguration auf globaler Ebene kopiert.
Sie können die Attribute ändern, die auf der Domänenebene einen anderen Wert haben sollen. Die Einstellungen der Transportschicht für die eingehende CSIv2-Kommunikation sollten auf globaler Ebene und Domänenebene übereinstimmen. Unterscheiden sich diese Einstellungen, werden die Attribute der Domänenebene auf alle Anwendungen des Prozesses angewendet.
- JAAS - Anwendungsanmeldungen
- Gibt die Konfigurationseinstellungen für Anwendungsanmeldung mit dem Java Authentication and Authorization Service
(JAAS) an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen. Anmerkung: Auf der Domänenebene können Sie die JAAS-Anwendungsanmeldungen, die JAAS-Systemanmeldungen und die JAAS-Aliasnamen für J2C-Authentifizierungsdaten konfigurieren. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JAAS-Anmeldungen, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JAAS-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie diese JAAS-Anmeldungen nur auf Domänenebene, wenn Sie eine Anmeldung angeben müssen, die exklusiv von den Anwendungen in der Sicherheitsdomäne verwendet wird.
- JAAS - Systemanmeldungen
- Gibt die Konfigurationseinstellungen für die JAAS-Systemanmeldungen an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Konfigurationseinstellungen für eine Domäne anpassen.
- JAAS-J2C-Authentifizierung
- Gibt die Konfigurationseinstellungen für die JAAS-J2C-Authentifizierungsdaten an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen.
- Java Authentication SPI (JASPI)
Gibt die Konfigurationseinstellungen für einen JASPI-Authentifizierungsprovider (Java Authentication SPI) und zugeordnete Authentifizierungsmodule an. Sie können die Einstellungen der globalen Sicherheit verwenden oder die Einstellungen für eine Domäne anpassen. Zum Konfigurieren von JASPI-Authentifizierungsprovidern für eine Domäne wählen Sie Für diese Domäne anpassen aus. Anschließend können Sie JASPI aktivieren. Wählen Sie Provider aus, um Provider für die Domäne zu definieren.
Anmerkung: Der JASPI-Authentifizierungsprovider kann mit auf Domänenebene konfigurierten Providern aktiviert werden. Standardmäßig haben alle Anwendungen des Systems Zugriff auf die JASPI-Provider, die auf globaler Ebene konfiguriert sind. Die Sicherheitslaufzeit prüft zunächst, ob es JASPI-Anmeldungen auf Domänenebene gibt. Werden keine solchen gefunden, überprüft die Laufzeit die globale Sicherheitskonfiguration auf JAAS-Anmeldungen. Konfigurieren Sie JASPI-Authentifizierungsprovider in einer Domäne nur, wenn der Provider ausschließlich von den Anwendungen in dieser Sicherheitsdomäne verwendet werden soll.
- Attribute des Authentifizierungsverfahrens
Gibt die verschiedenen Cacheeinstellungen an, die auf Domänenebene angewendet werden müssen.
Wählen Sie Einstellungen des Authentifizierungscache aus, um Ihre Cacheeinstellungen für die Authentifizierung anzugeben. Die Konfiguration in dieser Anzeige wird nur auf diese Domäne angewendet.
Wählen Sie LTPA-Zeitlimit aus, wenn Sie auf Domänenebene ein anderes LTPA-Zeitlimit konfigurieren möchten. Das Standardzeitlimit wird auf globaler Ebene definiert und liegt bei 120 Minuten. Wenn das LTPA-Zeitlimit auf Domänenebene festgelegt wird, wird jedes in der Sicherheitsdomäne beim Zugriff auf Benutzeranwendungen erstellte Token mit dieser Verfallszeit erstellt.
Wenn Realmqualifizierte Benutzernamen verwenden aktiviert ist, werden von Methoden wie getUserPrincipal() zurückgegebene Benutzernamen mit dem Sicherheitsrealm (Benutzerregistry) qualifiziert, der von Anwendungen in der Sicherheitsdomäne verwendet wird.
- Berechtigungsprovider
Auf Domänenebene können Sie einen externen JACC-Provider (Java Authorization Contract for Containers) eines Fremdanbieters konfigurieren. Der JACC-Provider von Tivoli Access Manager kann nur auf globaler Ebene konfiguriert werden. Sicherheitsdomänen können diesen Provider dennoch verwenden, wenn Sie den Berechtigungsprovider nicht durch einen anderen JACC-Provider oder durch die integrierte native Autorisierung außer Kraft setzen.
Zusätzlich können Sie die folgenden SAF-Berechtigungsoptionen auf der Ebene der Sicherheitsdomäne konfigurieren:
- Nicht authentifizierte Benutzer-ID
- Mapper für SAF-Profile
- SAF-Delegierung aktivieren/inaktivieren
- APPL-Profil verwenden (bzw. nicht verwenden), um den Zugriff auf den Anwendungsserver einzuschränken
- Berechtigungsfehlernachrichten unterdrücken (bzw. nicht unterdrücken)
- Strategie für SMF-Prüfsätze
- Präfix für SAF-Profile
Weitere Informationen zu den SAF-Berechtigungsoptionen enthält der Artikel z/OS-SAF-Berechtigung.
- z/OS-Sicherheitsoptionen
- Auf Prozessebene (JVM) können Sie die folgenden z/OS-spezifische Sicherheitsoptionen festlegen, die dann von allen Anwendungen (Verwaltungs- und Benutzeranwendungen) aktiviert oder inaktiviert werden können:
- Synchronisation von Anwendungsserver und z/OS-Thread-ID aktivieren
- RunAs-Threadidentität des Verbindungsmanagers aktivieren
Weitere Informationen zu den z/OS-Sicherheitsoptionen finden Sie unter z/OS-Sicherheitsoptionen.
- Angepasste Eigenschaften
- Legen Sie auf der Domänenebene angepasste Eigenschaften fest, die entweder neue Eigenschaften sind oder sich von den auf globaler Ebene festgelegten Eigenschaften unterscheiden. Standardmäßig können alle Anwendungen in der Zelle auf die angepassten Eigenschaften der globalen Sicherheitskonfiguration zugreifen. Der Code der Sicherheitslaufzeit prüft zunächst, ob es angepasste Eigenschaften auf Domänenebene gibt. Werden keine solchen gefunden, versucht die Laufzeit, die Eigenschaften aus der globalen Sicherheitskonfiguration abzurufen.
- Klicken Sie auf Anwenden oder OK, wenn Sie die Sicherheitsattribute konfiguriert und die Domäne Geltungsbereichen zugeordnet haben.
- Starten Sie alle Server und Cluster erneut, damit die Änderungen wirksam werden.
Unterartikel
Mehrere Sicherheitsdomänen
WebSphere Security Domains (WSD) bietet die Flexibilität, mehrere Sicherheitskonfigurationen in WebSphere Application Server zu verwenden. WSD wird auch unter den Bezeichnungen "mehrere Sicherheitsdomänen" oder einfach "Sicherheitsdomänen" verwendet. Sie können für unterschiedliche Anwendungen unterschiedliche Sicherheitsattribute, z. B. "UserRegistry" konfigurieren.Neue Sicherheitsdomänen erstellen
Sie können in Ihrer Konfiguration mehrere Sicherheitsdomänen erstellen. Auf diese Weise können unterschiedliche Sicherheitsattribute für Verwaltungsanwendungen und Benutzeranwendungen innerhalb einer Zellenumgebung konfiguriert werden.Mehrere Sicherheitsdomänen löschen
Sie können mehrere Sicherheitsdomänen aus Ihrer Konfiguration löschen. Zuvor müssen Sie die Ressourcen entfernen, die den Sicherheitsdomänen zugeordnet sind. Entfernen Sie nur Sicherheitsdomänen, die in Ihrer Sicherheitskonfiguration nicht benötigt werden.Mehrere Sicherheitsdomänen kopieren
Sie können ausgewählte Sicherheitsdomänen aus der Domänensammlung kopieren, um eine neue Domäne zu erstellen. Dieses Vorgehen ist hilfreich, wenn Sie eine Domäne erstellen möchten, die einer bereits vorhandenen Domäne ähnelt und für die Sie nur einige wenige Anpassungen vornehmen müssen. Wenn Sie eine vorhandene Domäne kopieren, müssen Sie für die neue Domäne einen eindeutigen Domänennamen angeben.Eingehende anerkannte Realms für mehrere Sicherheitsdomänen konfigurieren
Sie können konfigurieren, welche eingehenden Realms von mehreren Sicherheitsdomänen anerkannt werden sollen. Die Vertrauensbeziehung zwischen Realms ist für die Kommunikation mit LTPA-Token (Lightweight Third-Party Authentication) von Bedeutung. Sobald der empfangende Server ein LTPA-Token entschlüsselt hat, wird überprüft, ob der Realm im Token vertrauenswürdig ist. Ist dies nicht der Fall, schlägt die Validierung des Tokens fehl. Ein Realm repräsentiert eine Benutzerregistry in WebSphere Application Server.Sicherheitsdomänen konfigurieren
Verwenden Sie diese Seite, um die Sicherheitsattribute einer Domäne zu konfigurieren und die Domäne Zellenressourcen zuzuordnen. Für jedes Sicherheitsattribut können Sie die globalen Sicherheitseinstellungen verwenden oder Einstellungen für diese Domäne anpassen.Name des externen Realms
Verwenden Sie diese Seite, um einen für diese Zelle externen Realm von WebSphere Application Server hinzuzufügen. Der Realm wird zunächst nicht anerkannt. Verwenden Sie die Seite "Anerkannte Authentifizierungsrealms - Eingehend", um das Vertrauen zu diesem Realm herzustellen.Alle Realms anerkennen
Verwenden Sie diese Seite, um die Realms zu konfigurieren, von denen eingehende bzw. abgehende Anforderungen anerkannt werden sollen.Sicherheitsdomänen
Sicherheitsdomänen sind ein Mechanismus für die Verwendung verschiedener Sicherheitseinstellungen für Verwaltungsanwendungen und Benutzeranwendungen. Außerdem unterstützten sie die Verwendung mehrerer Sicherheitseinstellungen, sodass verschiedene Anwendungsserver verschiedene Sicherheitsattribute wie Benutzerregistry oder Anmeldekonfigurationen verwenden können.Einstellungen des Authentifizierungscaches
Verwenden Sie diese Seite, um die Einstellungen für Ihren Authentifizierungscache festzulegen.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
Dateiname:tsec_sec_domains_config.html