Berechtigungen in der Datei filter.policy
Die Java™-2-Sicherheit bestimmt anhand mehrerer Richtliniendateien die Berechtigung für jedes Java-Programm. Der Richtlinienfilter der Java-2-Sicherheit wird nur angewendet, wenn die Java-2-Sicherheit aktiviert ist.
Weitere Informationen hierzu finden Sie im Artikel Systemressourcen und APIs (Java-2-Sicherheit) für die Entwicklung von Anwendungen schützen.Die in der Datei filter.policy definierten Filterrichtlinien gelten für die gesamte Zelle. Die Datei filter.policy ist die einzige Richtliniendatei, die zum Einschränken statt Erteilen von Berechtigungen verwendet wird. Die in der Datei filter.policy genannten Berechtigungen werden aus der Datei app.policy und der Datei was.policy gefiltert. Berechtigungen, die in anderen Richtliniendateien definiert sind, sind nicht von der Datei filter.policy betroffen.
Wenn eine Berechtigung herausgefiltert wird, wird eine Prüfnachricht protokolliert. Sollte es sich bei den in den Dateien app.policy und was.policy definierten Berechtigungen um zusammengesetzte Berechtigungen handeln, wie beispielsweise die Berechtigung java.security.AllPermission, wird die Berechtigung nicht entfernt. Stattdessen wird eine Warnung in die Protokolldatei geschrieben. Wenn die Option "Berechtigungswarnung ausgeben" aktiviert ist (Standardeinstellung), und die Dateien app.policy und was.policy angepasste Berechtigungen (keine Java-API-Berechtigungen, der Name des Berechtigungspakets darf nicht mit java oder javax beginnen) enthält, wird eine Warnung aufgezeichnet, und die Berechtigung wird nicht entfernt. Sie können den Wert der Option Warnen, wenn Anwendungen angepasste Berechtigungen erteilt werden in der Anzeige "Globale Sicherheit" ändern. Von der Verwendung der Berechtigung AllPermission für die Unternehmensanwendung wird abgeraten.
In der Datei filter.policy sind einige Standardberechtigungen definiert. Diese Berechtigungen sind Mindestberechtigungen, deren Verwendung für das Produkt empfohlen wird. Werden weitere Berechtigungen zur Datei filter.policy hinzugefügt, können bestimmte Operationen von Unternehmensanwendungen unter Umständen nicht ausgeführt werden. Gehen Sie bei Hinzufügen von Berechtigungen zur Datei filter.policy deshalb mit Bedacht vor.
Sie können die Datei filter.policy nicht mit dem Richtlinientool editieren. Zum Editieren müssen Sie einen Texteditor verwenden. Gehen Sie sorgfältig vor, und überprüfen Sie, dass in der Datei filter.policy keine Syntaxfehler vorhanden sind. Wenn die Datei filter.policy Syntaxfehler enthält, wird die Datei in der Sicherheitslaufzeit nicht vom Produkt geladen. Die Filterfunktion ist dann entsprechend inaktiviert.
Wenn Sie die Datei filter.policy extrahieren möchten, setzen Sie den folgenden Befehl ab, und verwenden Sie die entsprechenden Informationen aus Ihrer Umgebung:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
set obj [$AdminConfig extract cells/cell_name/filter.policy c:/temp/test/filter.policy]
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
set obj [$AdminConfig extract cells/cell_name/filter.policy /temp/test/filter.policy]
Wenn Sie die Richtliniendatei prüfen möchten, setzen Sie den folgenden Befehl ab, und verwenden Sie die entsprechenden Informationen aus Ihrer Umgebung:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
$AdminConfig checkin cells/cell_name/filter.policy c:/temp/test/filter.policy $obj
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
$AdminConfig checkin cells/cell_name/filter.policy /temp/test/filter.policy $obj
Eine aktualisierte Datei filter.policy wird auf alle Unternehmensanwendungen von WebSphere Application Server angewendet, nachdem die Server erneut gestartet wurden. Die Datei filter.policy wird von den Konfigurations- und Dateireplikationsservices verwaltet.
Änderungen, die in dieser Datei vorgenommen wurden, werden auf anderen Knoten in der Zelle repliziert.
Die von
WebSphere Application Server
bereitgestellte Datei filter.policy befindet sich unter Stammverzeichnis_des_Anwendungsservers/profiles/Profilename/config/cells/Zellennamee/filter.policy.
Die
von WebSphere Application Server bereitgestellte Datei filter.policy
befindet sich unter Profilstammverzeichnis/config/cells/Zellenname/filter.policy.
filterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
runtimeFilterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
Die im Filter filterMask definierten Berechtigungen werden für das Filtern statischer Richtlinien verwendet. Die Sicherheitslaufzeit versucht, die Berechtigungen aus den Anwendungen beim Anwendungsstart zu entfernen. Zusammengesetzte Berechtigungen werden nicht entfernt, jedoch mit einer Warnung ausgegeben, und die Anwendungsimplementierung wird gestoppt, wenn Anwendungen Berechtigungen enthalten, die im Filter filterMask definiert sind, und wenn das Erstellen von Scripts verwendet wird. Der Filter runtimeFilterMask definiert Berechtigungen, die von der Sicherheitslaufzeit verwendet werden, um Zugriffe auf Berechtigungen für Anwendungs-Threads zu verweigern. Fügen Sie dem Filter runtimeFilterMask keine weiteren Berechtigungen hinzu. Dies kann zur Folge haben, dass Anwendungen nicht gestartet werden oder nicht fehlerfrei funktionieren. Gehen Sie sorgfältig vor, wenn Sie dem Filter runtimeFilterMask weitere Berechtigungen hinzufügen möchten. Normalerweise müssen Sie nur zur Zeilengruppe filterMask Berechtigungen hinzufügen.
- exitVM
- Ein Servlet, eine JSP-Datei (JavaServer Pages), eine Enterprise-Bean oder eine andere Bibliothek, die von den zuvor Genannten verwendet wird, könnte die API System.exit aufrufen und dazu führen, dass der gesamte WebSphere Application Server-Prozess beendet wird.
- setSecurityManager
- Eine Anwendung könnte ihren eigenen Sicherheitsmanager installieren, der dann zusätzliche Berechtigungen gewähren oder die vom Sicherheitsmanager von WebSphere Application Server normalerweise durchgesetzten Standardrichtlinien umgehen könnte.
Die aktualisierte Datei filter.policy wird erst wirksam, nachdem Sie die betreffenden Java-Prozesse neu gestartet haben.