Konfigurieren Sie in dieser Anzeige die Verwaltung und die Standardsicherheitsrichtlinie für Anwendungen. Diese Sicherheitskonfiguration gilt für die Sicherheitsrichtlinie aller
Verwaltungsfunktionen und wird als Standardsicherheitsrichtlinie für Benutzeranwendungen verwendet. Wenn Sie die Sicherheitsrichtlinien für Benutzeranwendungen überschreiben und anpassen möchten, können Sie
Sicherheitsdomänen definieren.
Informationen zu diesem Vorgang
Starten Sie die Administrationskonsole mit folgendem URL:
http://Hostname_des_Servers:Portnummer/ibm/console
Führen Sie zum Aktivieren der Verwaltungssicherheit die folgenden Schritte aus:
Die Optionen in der Anzeige "Globale Sicherheit" für die Implementierung der Sicherheit in Ihrer Umgebung sind flexibler als die Optionen in den früheren Releases
von WebSphere Application Server.
Vorgehensweise
- Klicken Sie auf Sicherheit > Globale Sicherheit.
- Wählen Sie die Option Verwaltungssicherheit aktivieren aus.
- Optional: Wählen Sie die Option Anwendungssicherheit aktivieren
ab, wenn WebSphere Application Server
keine Authentifizierung von Anwendungsbenutzern voraussetzen soll.
- Optional: Wählen Sie die Option Java-2-Sicherheit verwenden,
um den Anwendungszugriff auf lokale Ressourcen zu beschränken ab,
wenn Sie die Überprüfung der Java-2-Sicherheitsberechtigungen nicht aktivieren möchten.
Wenn die Java™-2-Sicherheit aktiviert ist und eine Anwendung mehr
Java-2-Sicherheitsberechtigungen benötigt,
als in der Standardrichtlinie angegeben sind, wird die Anwendung
möglicherweise erst richtig ausgeführt, wenn die erforderlichen Berechtigungen in der Datei
app.policy oder
was.policy der Anwendung erteilt werden. Anwendungen, die nicht alle erforderlichen
Berechtigungen besitzen, generieren AccessControl-Ausnahmen.
Lesen Sie die Dokumentation zur Java-2-Sicherheit
und zu dynamischen Richtlinien, falls Sie mit diesen Themen nicht vertraut sind.
Anmerkung: Aktualisierungen der Datei app.policy gelten nur für die Unternehmensanwendungen, die
auf dem Knoten ausgeführt werden, zu dem die Datei app.policy gehört.
- Optional: Wählen Sie die Option Warnen, wenn Anwendungen angepasste Berechtigungen erteilt werden aus. Die
Datei filter.policy enthält eine Liste der Berechtigungen, die Anwendungen gemäß der
J2EE 1.3-Spezifikation nicht haben dürfen. Wenn eine Anwendung mit einer in dieser Richtliniendatei
definierten Berechtigung installiert wird und diese Option ausgewählt ist, wird eine Warnung ausgegeben.
Diese Option ist standardmäßig ausgewählt.
- Optional: Wählen Sie die Option Zugriff auf Ressourcenauthentifizierungsdaten einschränken aus, wenn Sie
den Anwendungszugriff auf sensible Authentifizierungsdaten für die JCA-Zuordnung
(Java EE
Connector Architecture) beschränken müssen.
Nähere Informationen hierzu finden Sie im Artikel Einstellungen für globale Sicherheit.
- Wählen Sie im Menü Authentifizierungsverfahren und Verfallszeit das aktive Authentifizierungsverfahren aus, wenn
die Sicherheit aktiviert ist. In diesem Release von WebSphere Application Server
gehören LTPA und Kerberos zu den verfügbaren Authentifizierungsverfahren.
Anmerkung: SWAM
wurde in WebSphere Application Server
Version Version 9.0 als veraltet gekennzeichnet und wird in einem der künftigen Releases entfernt.
- Verwenden Sie das Menü Repository für Benutzeraccounts aus, um Repository anzugeben, das bei aktivierter Sicherheit
aktiv ist. Sie können für eine der folgenden Benutzerrepositorys Einstellungen konfigurieren:
- Eingebundene Repositorys
- Mit der Funktion "Eingebundene Repositorys" können Sie mehrere Registrys für
WebSphere Application Server verwenden. Diese
Registrys, z. B. dateibasierte oder LDAP-Registrys bzw. eine untergeordnete Baumstruktur einer LDAP-Registry,
werden in einem einzigen Repository definiert und theoretisch kombiniert.
- Lokales Betriebssystem
- Die Implementierung ist eine SAF-konforme Registry, wie z. B.
Resource Access Control Facility (RACF),
die in einem MVS-Sysplex gemeinsam genutzt wird.
- Eigenständige LDAP-Registry
- Die Einstellungen der eigenständigen LDAP-Registry werden verwendet, wenn Benutzer und
Gruppen sich in einem externen LDAP-Verzeichnis befinden. Wenn bei aktivierter Sicherheitseinrichtung eines dieser Eigenschaften geändert wird,
müssen Sie zur Anzeige Globale Sicherheit wechseln und auf OK
oder Anwenden klicken, um die Änderungen zu überprüfen.
- Eigenständige angepasste Registry
- Das Feature für die eigenständige angepasste Registrys unterstützt alle Benutzerregistrys, die
nicht von WebSphere Application Server implementiert werden. Durch die Implementierung der Schnitttstelle
UserRegistry haben Sie die Möglichkeit, jede beliebige Benutzerregistry in der Produktionsumgebung
zu nutzen.
- Optional: Wählen Sie in der Anzeige
Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln die Option FIPS-Algorithmen verwenden aus,
wenn Sie eine FIPS-zertifizierte JSSE verwenden. WebSphere Application Server unterstützt ein Channel-Framework,
das mit IBMJSSE2 arbeitet.
IBMJSSE2 verwendet IBMJCEFIPS für die Verschlüsselungsunterstützung, wenn Sie die Option
FIPS-Algorithmen (Federal Information Processing Standard) verwenden auswählen.
- Klicken Sie auf OK.
In dieser Anzeige wird die
Sicherheitskonfiguration abschließend auf ihre Gültigkeit überprüft. Wenn Sie in dieser Anzeige auf OK oder Anwenden klicken, wird
die Routine für die Gültigkeitsprüfung der Sicherheit ausgeführt und
alle gefundenen Probleme werden gemeldet.
Wenn Sie alle Felder ausgefüllt haben, klicken Sie auf OK oder Anwenden, um die ausgewählten Einstellungen
zu übernehmen. Klicken Sie auf Speichern, um die Einstellungen persistent in eine Datei
zu schreiben. Falls Sie Informationsnachrichten in roter Textfarbe sehen, gibt es Probleme mit der
Validierung der Sicherheit.
In der Regel ist der Fehler in der Nachricht angegeben.
Gehen Sie Ihre Konfiguration erneut durch, und stellen Sie sicher, dass die Einstellungen
für die Benutzerregistry stimmen und die richtige Registry ausgewählt wurde. Es kann vorkommen, dass die LTPA-Konfiguration nicht
vollständig angegeben ist.
Nähere Informationen hierzu finden Sie im Artikel Einstellungen für globale Sicherheit.
- Optional: Konfigurieren Sie die SAF-Berechtigung.
Weitere Informationen zu diesen Einstellungen finden Sie im Artikel
z/OS-SAF-Berechtigung.
Ergebnisse
Die Konfiguration ist erfolgreich, wenn keine Fehlernachrichten
angezeigt werden.