Sicherheitsattribute an Anwendungsserver weitergeben

Mit dem WebSphere Application Server-Feature für die Weitergabe von Sicherheitsattributen können Sie Sicherheitsattributdaten der ursprünglichen Anmeldung unter Verwendung eines Tokens an andere Server senden. Dieser Artikel unterstützt Sie bei der Konfiguration von WebSphere Application Server für die Weitergabe von Sicherheitsattributen an andere Server.

Informationen zu diesem Vorgang

Zur vollständigen Aktivierung der Weitergabe von Sicherheitsattributen müssen Sie in der Administrationskonsole von WebSphere Application Server die Einstellungen in den Anzeigen für SSO, eingehende Authentifizierung gemäß CSIV2 (Common Secure Interoperability Version 2) und abgehende Authentifizierung gemäß CSIV2 konfigurieren. Sie müssen nur die Bereiche der Weitergabe von Sicherheitsattributen aktivieren, die für Ihre Konfiguration relevant sind. Sie können beispielsweise die Webweitergabe aktivieren. Dies ist eine Weitergabe zwischen Front-End-Anwendungsservern mittels Push-Technik (DynaCache) oder Pull-Technik (Remote Method an den Ursprungsserver).

Außerdem können Sie auswählen, ob die Weitergabe abgehender und eingehender Daten per RMI aktiviert werden soll. Diese Weitergabe wird allgemein als untergeordnete Weitergabe bezeichnet. Normalerweise sind für eine Zelle beide Arten der Weitergabe aktiviert. In einigen Fällen kann es sinnvoll sein, für einen bestimmten Anwendungsserver eine andere Option auszuwählen. Rufen Sie dazu die Anzeige mit den Sicherheitseinstellungen für diesen Anwendungsserver auf.

Einschränkung: Um zu verhindern, dass dieselben Sicherheitsattribute mehrfach an die Anwendungsserver weitergegeben werden, stellt WebSphere Application Server sicher, dass kein LTPA-Token (Lightweight Third Party Authentication) vorhanden ist. Es können zwei Fälle eintreten. Das Fehlen des LTPA-Tokens teilt Application Server mit, dass die Weitergabe fortgesetzt werden kann. Das Vorhandensein des LTPA-Tokens zeigt an, dass die Weitergabe stattgefunden hat, falls das LTPA-Token im Cluster generiert wurde. Wenn das LTPA-Token zwar vorhanden ist, aber von einem Server außerhalb des Clusters generiert wurde, z. B. von Tivoli Access Manager, Lotus Domino oder einem anderen Anwendungs-Server-Cluster, werden die Sicherheitsattribute nicht weitergegeben.

Klicken Sie zum Aufrufen dieser Anzeige in der Administrationskonsole auf Server > Anwendungsserver > Servername. Klicken Sie unter "Sicherheit" auf Serversicherheit.

Führen Sie die folgenden Schritte aus, um WebSphere Application Server für die Weitergabe von Sicherheitsattributen zu konfigurieren:

Vorgehensweise

  1. Rufen Sie die Administrationskonsole von WebSphere Application Server auf. Geben Sie dazu http://Servername:Portnummer/ibm/console ein. Falls Sie die Portnummer geändert haben, weicht die tatsächliche Adresse der Konsole von der hier angegebenen ab.
  2. Klicken Sie auf Sicherheit > Globale Sicherheit.
  3. Klicken Sie unter "Websicherheit" auf Single Sign-On (SSO).
  4. Optional: Wählen Sie die Option für den Interoperabilitätsmodus aus, falls Sie mit Servern, die keine Weitergabe von Sicherheitsattributen unterstützen, interagieren möchten. Server ohne Unterstützung der Weitergabe von Sicherheitsattributen empfangen das LTPA-Token und das Weitergabetoken, ignorieren jedoch die Sicherheitsattributdaten, da sie diese nicht verstehen.
  5. Wählen Sie die Option Weitergabe von Sicherheitsattributen für eingehende Webanforderungen aus. Bei Auswahl der Option Weitergabe von Sicherheitsattributen für eingehende Webanforderungen ist eine horizontale Weitergabe möglich, sodass das empfangende SSO-Token die Anmeldeinformationen vom ursprünglichen Anmeldeserver abrufen kann. Wenn Sie diese Option nicht aktivieren, ist eine vertikale Weitergabe an nachgeschaltete Server möglich, wenn Sie in den Anzeigen "Eingehende Authentifizierung gemäß CSIV2" und "Abgehende Authentifizierung gemäß CSIV2" die Option Weitergabe von Sicherheitsattributen ausgewählt haben.

    Normalerweise wird die Option "Weitergabe von Sicherheitsattributen für eingehende Webanforderungen" ausgewählt, wenn auf dem ursprünglichen Anmeldeserver dynamisch Sicherheitsattribute zusammengestellt werden müssen, die auf dem neuen Front-End-Server nicht neu generiert werden können. Zu diesen Attributen gehören alle angepassten Attribute, die mit den com.ibm.websphere.security.WSSecurityHelper-APIs im Weitergabetoken (PropagationToken) gesetzt wurden. Sie müssen überprüfen, ob das Aktivieren dieser Option den Durchsatz Ihres Systems erhöht oder herabsetzt. Die Option verhindert zwar einige ferne Benutzerregistry-Aufrufe, die Entserialisierung und Verschlüsselung einiger Token kann sich jedoch negativ auf den Durchsatz auswirken. In einigen Fällen kann die Weitergabe beschleunigt werden, insbesondere, wenn Ihre Benutzerregistry die Engstelle Ihrer Topologie ist. Sie sollten den Durchsatz in Ihrer Umgebung mit und ohne diese Option messen. Führen Sie diese Durchsatztests nach Möglichkeit in einer typischen Produktionsumgebung mit der normalen Anzahl paralleler Benutzerzugriffe auf das System aus.

    Wenn die Weitergabe von Sicherheitsattributen für eingehende Webanforderungen aktiviert ist, werden Sicherheitsattribute an die Front-End-Anwendungsserver weitergegeben. Ist diese Option inaktiviert, wird das SSO-Token (Single Sign-On) für die Anmeldung und das erneute Erstellen des Subjekts aus der Benutzerregistry verwendet.

  6. Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Eingehende Authentifizierung gemäß CSIv2. Im Feld Anmeldekonfiguration ist RMI_INBOUND als Systemanmeldekonfiguration für eingehende Anforderungen angegeben. Führen Sie die folgenden Schritte aus, um angepasste JAAS-Anmeldemodule hinzuzufügen:
    1. Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "Java™ Authentication and Authorization Service" auf Systemanmeldungen. Daraufhin wird eine Liste der Konfigurationen für Systemanmeldung angezeigt. WebSphere Application Server stellt die folgenden vordefinierten Konfigurationen für Systemanmeldung bereit: DEFAULT, LTPA, LTPA_WEB, RMI_INBOUND, RMI_OUTBOUND, SWAM, WEB_INBOUND, wssecurity.IDAssertion, and wssecurity.Signature. Löschen Sie diese vordefinierten Konfigurationen nicht.
      Anmerkung: SWAM ist in WebSphere Application Server Version 9.0 veraltet und wird in einem der künftigen Releases nicht mehr enthalten sein.
    2. Klicken Sie auf den Namen der Anmeldekonfiguration, die Sie ändern möchten.
    3. Klicken Sie unter "Weitere Eigenschaften" auf JAAS-Anmeldemodule. Daraufhin erscheint die Anzeige "JAAS-Anmeldemodule" mit einer Liste aller in der Anmeldekonfiguration verarbeiteten Anmeldemodule. Löschen Sie nicht die erforderlichen JAAS-Anmeldemodule. Fügen Sie stattdessen vor oder nach den erforderlichen Anmeldemodulen angepasste Anmeldemodule hinzu. Wenn Sie angepasste Anmeldemodule hinzufügen, dürfen die Namen dieser Module nicht mit com.ibm.ws.security.server beginnen.

      Sie können die Reihenfolge angeben, in der die Anmeldemodule verarbeitet werden sollen, indem Sie auf Reihenfolge festlegen klicken.

  7. Wählen Sie in der Anzeige "Eingehende Authentifizierung gemäß CSIV2" die Option Weitergabe von Sicherheitsattributen aus. Bei Auswahl der Option Weitergabe von Sicherheitsattributen teilt der Server den anderen Anwendungsservern mit, dass er weitergeleitete Sicherheitsattribute von anderen Server in demselben Realm über das Protokoll CSIV2 empfangen kann.
  8. Klicken Sie auf Sicherheit > Globale Sicherheit. Klicken Sie unter "RMI/IIOP-Sicherheit" auf Abgehende Authentifizierung gemäß CSIv2. Daraufhin erscheint die Anzeige "Abgehende Authentifizierung gemäß CSIV2". Im Feld Anmeldekonfiguration ist RMI_OUTBOUND als die für abgehende Authentifizierung verwendete JAAS-Anmeldekonfiguration angegeben. Diese Anmeldekonfiguration können Sie nicht ändern. Sie können sie jedoch anpassen, indem Sie die oben für die eingehende Authentifizierung gemäß CSIV2 aufgelisteten Teilschritte ausführen.
  9. Optional: Vergewissern Sie sich, dass die Option Weitergabe von Sicherheitsattributen ausgewählt ist, wenn Sie für das Protokoll RMI die Weitergabe des Subjects und des Sicherheitskontexttokens in abgehenden Anforderungen aktivieren möchten. Wenn Sie diese Option auswählen, serialisiert WebSphere Application Server den Inhalt des Subject und des PropagationToken. Anschließend sendet der Server das Subject und das PropagationToken mit dem Protokoll CSIV2 an die Zielserver, die die Weitergabe von Sicherheitsattributen unterstützen. Falls der empfangende Server keine Sicherheitsattributtoken unterstützt, sendet WebSphere Application Server nur das LTPA-Token.
    Wichtig: WebSphere Application Server gibt nur die Objekte innerhalb des Subject weiter, die er serialisieren kann. Angepasste Objekte gibt der Server entsprechend seinen Möglichkeiten weiter.
    Wenn die Weitergabe von Sicherheitsattributen aktiviert ist, fügt WebSphere Application Server Markierungstoken zum Subject hinzu, damit der Zielserver während der Anmeldung für eingehende Anforderungen zusätzliche Attribute hinzufügen kann. Während der Festschreibungsphase der Anmeldung werden die Markierungstoken und das Subject als schreibgeschützt markiert und können danach nicht mehr geändert werden.
    [z/OS]Wichtig: Wenn Sie die Weitergabe von Sicherheitsattributen verwenden, müssen Sie in allen Zellenkonfigurationen dieselben LTPA-Schlüssel verwenden.
  10. Optional: Falls Sie die Option Weitergabe von Sicherheitsattributen abgewählt haben und die Anmeldekonfiguration RMI_OUTBOUND verwenden möchten, wählen Sie die Option Angepasste Zuordnung abgehender Anforderungen aus. Wenn weder die Option Angepasste Zuordnung abgehender Anforderungen noch die Option Weitergabe von Sicherheitsattributen ausgewählt ist, ruft WebSphere Application Server die Anmeldekonfiguration RMI_OUTBOUND nicht auf. Falls Sie ein Anmeldemodul für die Zuordnung von Berechtigungsnachweisen integrieren müssen, müssen Sie die Option Angepasste Zuordnung für abgehende Anforderungen auswählen.
  11. Optional: Geben Sie im Feld Vertrauenswürdige Zielrealms die Namen von vertrauenswürdigen Zielrealms an. Wenn diese Realmnamen angegeben sind, können Informationen an Server gesendet werden, die sich außerhalb des Realms des sendenden Servers befinden, wodurch eine Zuordnung der Berechtigungsnachweise auf diesen untergeordneten Servern ermöglicht wird. Wenn Anforderungen in einen anderen Realm gesendet werden soll und die Berechtigungsnachweise auf dem sendenden System abgeglichen werden sollen, müssen Sie den Realm in diesem Feld angeben, damit die Anforderung nicht aufgrund einer Nichtübereinstimmung der Realms zurückgewiesen wird. Soll WebSphere Application Server beim Senden einer Anforderung an einen anderen Realm Sicherheitsattribute weitergeben, müssen Sie im Feld Vertrauenswürdige Zielrealms den Namen des Realms angeben. Andernfalls werden die Sicherheitsattribute nicht weitergegeben. Falls Sie mehrere Zielrealms angeben möchten, trennen Sie die Einträge durch ein Pipe-Zeichen (|) voneinander.
  12. Optional: Aktivieren Sie die Weitergabe für einen reinen Client. Wenn ein reiner Client zum Aufruf-Subject hinzugefügte Attribute weitergeben soll, müssen Sie die folgende Eigenschaft der Datei sas.client.props hinzufügen: com.ibm.CSI.rmiOutboundPropagationEnabled=true
    Anmerkung: Die Datei sas.client.props befindet sich unter <WAS-HOME>/profiles/<Profilname>/properties>.

Ergebnisse

Sie haben WebSphere Application Server für die Weitergabe von Sicherheitsattributen an andere Server konfiguriert.

Nächste Schritte

Wenn Sie die Weitergabe von Sicherheitsattributen inaktivieren müssen, stellen Sie fest, ob dies für die Server- oder die Zellenebene gilt.
Achtung: Änderungen an den Einstellungen auf Serverebene überschreiben die Einstellungen auf Zellenebene.
Achtung: Beachten Sie, dass die Einstellungen in einer Sicherheitsdomäne möglicherweise überschrieben werden.
Führen Sie die folgenden Schritte aus, um die Weitergabe von Sicherheitsattributen auf Serverebene zu inaktivieren:
  1. Klicken Sie auf Server > Anwendungsserver > Servername.
  2. Klicken Sie dann unter "Sicherheit" auf Serversicherheit.
  3. Wählen Sie die Option RMI/IIOP-Sicherheit für diesen Server überschreibt Zelleneinstellungen aus.
  4. Klicken Sie zum Inaktivieren der Weitergabe von Sicherheitsattribute für eingehende Anforderungen unter "Weitere Eigenschaften" auf Eingehende Authentifizierung gemäß CSI und wählen Sie die Option Weitergabe von Sicherheitsattributen ab.
  5. Klicken Sie zum Inaktivieren der Weitergabe von Sicherheitsattribute für abgehende Anforderungen unter "Weitere Eigenschaften "auf Abgehende Authentifizierung gemäß CSI und wählen Sie die Option Weitergabe von Sicherheitsattributen ab.

Wenn Sie die Weitergabe von Sicherheitsattributen auf Zellenebene inaktivieren möchten, müssen Sie alle Schritte rückgängig machen, die Sie hier für die Aktivierung der Weitergabe ausgeführt haben.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablesecattprop
Dateiname:tsec_enablesecattprop.html