![[IBM i]](../images/iseries.gif)
Objekt- und Dateisicherheit
Dieser Abschnitt beschäftigt sich mit verschiedenen Objekten und Dateien, die sensible Informationen enthalten und geschützt werden müssen.
Geschützte Dateien des IFS (Integrated File System)
WebSphere Application Server greift neben Enterprise-Beans und Servlets auch auf Datenstromdateien des IFS zu. Die folgenden Dateien können sensible Informationen enthalten. Sie sollten sehr sorgfältig mit diesen Dateien umgehen und sicherstellen, dass kein Unbefugter auf sie zugreifen kann.
- Im Unterverzeichnis /properties Ihres Profils können die folgenden Dateien Benutzer-IDs und Kennwörter enthalten:
- sas.client.props
- soap.client.props
- sas.stdclient.properties
- sas.tools.properties
- wsserver.key
Das Unterverzeichnis /properties ist standardmäßig im Profilstammverzeichnis enthalten. Bei allen oben genannten Dateien ist bei Lieferung die Berechtigung *PUBLIC auf *EXCLUDE gesetzt. Das Benutzerprofil QEJBSVR hat für diese Dateien die Berechtigung *RW. Zusätzlicher Schutz durch Kennwortcodierung ist möglich. Weitere Informationen hierzu finden Sie im Artikel Kennwortcodierung und -verschlüsselung.
- Schützen Sie im Unterverzeichnis /etc Ihres Profils alle Schlüsseldateien
(KDB) und Trustdateien (JKS), die Sie für das Profil von WebSphere Application
Server erstellen.
Die QEJBSVR-Benutzerprofile sollten für die JKS-Dateien die Berechtigung *R haben. Die Berechtigung *PUBLIC sollte auf *EXCLUDE gesetzt sein.
Für die KDB-Dateien sollte das Benutzerprofil, unter dem der Web-Server ausgeführt wird, die Berechtigung *RX haben. Die Berechtigung *PUBLIC sollte auf *EXCLUDE gesetzt sein.
Geschützte Datenbankressourcen für WebSphere Application Server
WebSphere Application Server speichert Daten für Benutzeranwendungen, z. B. für Enterprise-Beans und Servletsitzungen, persistent in Tabellen. Welche Benutzerprofile berechtigt sind, auf diese Benutzerdaten zuzugreifen, kann mit verschiedenen Optionen gesteuert werden. Weitere Informationen hierzu finden Sie im Abschnitt Sicherheit beim Datenbankzugriff.
Geschützte Dateien von WebSphere Application Server
Wenn Sie die Sicherheit von WebSphere Application Server aktivieren, werden das Serverbenutzerprofil und das Kennwort in Serverkonfigurationsdateien gestellt, die mit der Sicherheitsfunktion des Betriebssystems verwaltet werden sollten. Einige WebSphere Application Server-Ressourcen können Sie zusätzlich mit einem Kennwort schützen. Diese Kennwörter werden auch in Serverkonfigurationsdateien gestellt. Der Server codiert Kennwörter automatisch, um ein beiläufiges Ausspähen derselben zu verhindern. Die Kennwortcodierung allein ist jedoch kein ausreichender Schutz.
- cells/Zellenname/security.xml
- cells/Zellenname/nodes/Knotenname/resources.xml
- cells/Zellenname/nodes/Knotenname/servers/Servername/server.xml
- Die Benutzer-ID und das Kennwort werden als Systemidentität für den Server verwendet, wenn die EJB-Sicherheit so implementiert wird, dass die Methodendelegierung mit SYSTEM_IDENTITY erfolgt. In diesem Fall werden die Benutzer-ID und das Kennwort verwendet, wenn zwischen zwei Enterprise-Beans Methodenaufrufe abgesetzt werden.
- Die Benutzer-ID und das Kennwort werden für die Authentifizierung von Servern bei der Kommunikation zwischen Servern verwendet. Da der Schutz für diese Dateien beeinträchtigt werden kann, sollten Sie für die Serveridentität und das zugehörige Kennwort ein anderes Profil als das Standardprofil verwenden. Das Standardbenutzerprofil ist QEJBSVR. Falls Sie die Benutzerregistry des lokalen Betriebssystems verwenden, könnten Sie ein Benutzerprofil ohne Sonderberechtigungen erstellen und nutzen. Weitere Informationen hierzu finden Sie im Artikel Anwendungsserver unter bestimmten Benutzerprofilen ausführen.
Geschützte Benutzerprofile für WebSphere Application Server
- QEJB
- Dieses Profil hat Zugriff auf einige Verwaltungsdaten, wozu auch Kennwörter gehören.
- QEJBSVR
- Dieses Profil liefert den Kontext, in dem WebSphere Application Server ausgeführt wird. Aus Sicherheits- oder Verwaltungsgründen können andere Benutzerprofile erstellt werden, unter denen verschiedene Komponenten von WebSphere Application Server ausgeführt werden. Weitere Informationen hierzu finden Sie im Artikel Anwendungsserver unter bestimmten Benutzerprofilen ausführen.