Server und Verwaltungssicherheit

Der Begriff Verwaltungssicherheit bezieht sich auf die Authentifizierung der Benutzer unter Verwendung der WebSphere-Verwaltungsfunktionen, die Verwendung von SSL (Secure Sockets Layer) und die Auswahl des Benutzeraccount-Repositorys.

[z/OS]Wenn Sie eine Benutzerregistry des lokalen Betriebssystems konfigurieren, verwendet diese die RACF- (Resource Access Control Facility) oder SAF-kompatible (System Authorization Facility) Benutzerdatenbankk. Wenn Sie die Benutzerregistry des lokalen Betriebssystems als aktive Registry auswählen, können Sie durch die Verwendung der Principals von WebSphere Application Server verschiedene z/OS-SAF-Funktionen direkt nutzen:
  • Gemeinsame Benutzung von IDs durch mehrere z/OS-Connector-Services
  • Verwendung der SAF-Delegierung, bei der Benutzer-IDs und Kennwörter nicht mehr an so vielen Stellen in der Konfiguration gespeichert werden müssen.
  • Verwendung zusätzlicher Prüffunktionen
Diese Funktionen sind auch für andere Registrys verfügbar, erfordern jedoch eine Identitätszuordnung durch Änderung der Systemanmeldekonfiguration von WebSphere Application Server und der JAAS-Anmeldemodule (Java™ Authentication and Authorization Service). Weitere Informationen finden Sie unter Systemanmeldekonfigurationen für eine SAF-ID-Benutzer-Zuordnung aktualisieren.

[AIX Solaris HP-UX Linux Windows][IBM i]In einigen Fällen kann der Realm der Maschinenname einer LocalOS-Benutzerregistry sein. Dann müssen alle Anwendungsserver sich auf derselben physischen Maschine befinden. In anderen Fällen kann der Bereich der Maschinenname einer LDAP-Benutzerregistry sein. Da LDAP eine verteilte Benutzerregistry ist, wird eine Konfiguration mit mehreren Knoten in einer Umgebung mit WebSphere Application Server Network Deployment unterstützt. Die Grundbedingung für eine Sicherheitsdomäne ist folgende: Die Zugriffs-ID, die von der Registrierungsdatenbank eines Servers innerhalb der Sicherheitsdomäne zurückgegeben wird, ist dieselbe Zugriffs-ID wie diejenige, die von der Registrierungsdatenbank eines beliebigen anderen Servers innerhalb derselben Sicherheitsdomäne zurückgegeben wird. Die Zugriffs-ID ist die eindeutige Kennzeichnung eines Benutzers und wird bei der Berechtigung verwendet, um festzustellen, ob der Zugriff auf die Ressource erlaubt ist.

Die Konfiguration der Verwaltungssicherheit einer Sicherheitsdomäne besteht aus dem Konfigurieren der allgemeinen Benutzerregistry, des Authentifizierungsverfahrens und anderer Sicherheitsinformationen, die das Verhalten einer Sicherheitsdomäne bestimmen. Die weiteren konfigurierten Sicherheitsinformationen beziehen sich auf die folgenden Komponenten:
  • Java 2 Security Manager
  • Java Authentication and Authorization Service (JAAS)
  • J2C-Authentifizierungsdateneinträge (Java 2 Connector)
  • [AIX Solaris HP-UX Linux Windows][IBM i]Authentifizierungsprotokoll Common Secure Interoperability Version 2 (CSIv2) und Secure Authentication Service (SAS) (Sicherheit durch Remote Method Invocation over the Internet Inter-ORB Protocol (RMI/IIOP))
  • [z/OS]Common Secure Interoperability Version 2 (CSIv2) und z/OS Secure Authentication Service-Authentifizierungsprotokoll (z/SAS) (RMI/IIOP-Sicherheit (Remote Method Invocation over the Internet Inter-ORB Protocol))
  • Verschiedene andere Attribute

[AIX Solaris HP-UX Linux Windows][IBM i]Einige Teile der Konfiguration können auf Serverebene überschrieben werden.

[AIX Solaris HP-UX Linux Windows][IBM i]Wenn mehrere Knoten und mehrere Server auf einem Knoten verwendet werden können, haben Sie die Möglichkeit, bestimmte Attribute auf Serverebene zu konfigurieren. Die Attribute, die auf Serverebene konfiguriert werden können, sind die Sicherheit für den Server, der Java 2 Security Manager und das Authentifizierungsprotokoll CSIv2/SAS (RMI/IIOP-Sicherheit). Sie können die Sicherheit in einzelnen Anwendungsservern inaktivieren, während die Verwaltungssicherheit aktiviert ist, aber es ist nicht möglich, die Sicherheit in einzelnen Anwendungsservern zu aktivieren, wenn die Verwaltungssicherheit inaktiviert ist.

[z/OS]Wenn mehrere Knoten und mehrere Server auf einem Knoten verwendet werden können, haben Sie die Möglichkeit, bestimmte Attribute auf Serverebene zu konfigurieren. Die Attribute, die auf Serverebene konfiguriert werden können, sind die Sicherheit für den Server, der Java 2 Security Manager und das Authentifizierungsprotokoll CSIv2 und z/SAS (RMI/IIOP-Sicherheit). Sie können die Sicherheit in einzelnen Anwendungsservern inaktivieren, während die Verwaltungssicherheit aktiviert ist, aber es ist nicht möglich, die Sicherheit in einzelnen Anwendungsservern zu aktivieren, wenn die Verwaltungssicherheit inaktiviert ist.

Wenn die Sicherheit des Anwendungsservers für Benutzeranforderungen inaktiviert ist, bleibt die Sicherheit für Administrations- und Namensservices für diesen Anwendungsserver weiterhin aktiviert, damit die Administrations- und Namensinfrastruktur geschützt ist. Falls die Sicherheit auf Zellenebene aktiviert, aber die Sicherheit für einzelne Server inaktiviert ist, werden Java Platform, Enterprise Edition-Anwendungen weder authentifiziert noch berechtigt. Die Naming- und Administrationssicherheit bleibt jedoch aktiv. Weil Naming-Services von Benutzeranwendungen aufgerufen werden können, müssen Sie deshalb jedem Zugriff auf die erforderlichen Naming-Funktionen erteilen, damit diese Funktionen auch nicht authentifizierte Anforderungen akzeptieren. Benutzercode greift nicht direkt, sondern nur über die unterstützten Scriping-Tools auf die Administrationssicherheit zu.

[z/OS]Bei Verwendung der SAF-Berechtigung (System Authorization Facility) sollten Sie sicherstelle, dass das Feld UACC für das EJBROLE-Profil von CosNamingRead auf READ gesetzt ist, und dass die nicht authentifizierte ID Lesezugriff (READ) für dieses Profil besitzt.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_globalserver
Dateiname:csec_globalserver.html