Sicherheit des Job-Managers
Bei Ausführung des Registrierungsprozesses für den Job-Manager sind eine Reihe von Auswirkungen auf die Sicherheit von WebSphere Application Server zu beachten.
Anmerkung: In WebSphere Application Server Version 7.0 wird eine neue Art der Systemverwaltung eingeführt, die
als flexible Verwaltung bezeichnet wird.
Sie unterscheidet sich von der vorhandenen Art synchroner Aufrufe und Antworten über
wsadmin oder Java™-APIs, da sie eine
asynchrone Jobwarteschlange für Verwaltungszwecke bereitstellt.
Im Zentrum der flexiblen Verwaltung steht ein neuer administrativer Prozess, der so genannte
Job-Manager. Über einen Registrierungsprozess können Sie sowohl die bei Verwaltungsagenten registrierten Anwendungsserver als auch
die Deployment-Manager-Server für den Job-Manager registrieren.
Nachdem Sie die Server registriert haben, können Sie Verwaltungsjobs für Anwendungsserver oder Deployment Manager
über den Job-Manager in eine Warteschlange stellen.
Sie können diese Jobs an eine große Menge von Servern übergeben, die sich an verschiedenen
geografischen Standorten befinden.
Während des Registrierungsprozesses für den Job-Manager und danach müssen eine Reihe von Sicherheitsaspekten beachtet werden.
Beachten Sie die folgenden Aspekte:
- Die Anforderungen für die Sicherheitskonfiguration sollte vor der Registrierung auf ein Minimum beschränkt bleiben.
- Einem Agent oder Deployment
Manager (dmgr) sollte die Möglichkeit gegeben werden, mit fast jeder Sicherheitskonfiguration
in den Job-Manager eingebunden zu werden.
Einige Ausnahmen sind nachfolgend aufgeführt:
- Der Verwaltungsagent oder Deployment Manager muss denselben Status der Verwaltungssicherheit haben (aktiviert oder inaktiviert).
- Damit die Sicherheit nach der Einbindung aktiviert wird, müssen alle Verwaltungsagenten und Deployment-Manager-Prozesse in derselben Verwaltungsdomäne aktiviert werden, und anschließend müssen alle Prozesse gleichzeitig neu gestartet werden.
- Verwenden Sie ein verkettetes Zertifikat, um nur die Stammzertifikate mit langer Laufzeit zwischen einem Verwaltungsagenten, Deployment Manager und Job-Manager auszutauschen. Wenn ein persönliches Zertifikat im Verwaltungsagenten, Deployment Manager oder Job-Manager abläuft, hat dies keine Auswirkung auf die während der Einbindung erfolgte Anerkennung (Trust).
- Verwenden Sie das verwaltungsspezifische Authentifizierungsverfahren des RSA-Zertifikats (Rivest Shamir Adleman), das nicht auf gemeinsam genutzten Schlüsseln basiert und das verwaltungsspezifische Standardauthentifizierungsverfahren für den Job-Manager ist. Das Authentifizierungsverfahren mit RSA-Token wird in diesem Release von WebSphere Application Server ebenfalls neu eingeführt. Weitere Informationen finden Sie im Artikel Authentifizierungsverfahren mit RSA-Token.
- Fügen Sie allen in WebSphere Application Server Version 8.0 generierten Zertifikaten eine Profil-UUID (Universal Unique Identifier) hinzu. Mit dieser Profil-UUID werden Anforderungen dazu berechtigt, Jobs aus der Warteschlange des Job-Managers zu extrahieren.
Den Jobs des Job-Managers können Berechtigungsnachweise des Callers (Aufrufenden) zugeordnet werden. Hierbei können LTPA (Lightweight Third-Party Authentication), Kerberos oder angegebene Berechtigungsnachweise (Benutzer-ID und Kennwort) verwendet werden. Beide Berechtigungsnachweise werden mit dem Job gespeichert. Das Kennwort wird mithilfe der Standarddienstprogramme unkenntlich gemacht und kann verschlüsselt werden, wenn der Plug-in-Punkt für Kennwortverschlüsselung aktiviert ist. LTPA und Kerberos werden aktualisiert, so lange das Authentifizierungsverfahren die Aktualisierung zulässt.
Den Jobs des Job-Managers können Berechtigungsnachweise des Callers (Aufrufenden) zugeordnet werden. Hierbei können LTPA (Lightweight Third-Party Authentication) oder angegebene Berechtigungsnachweise (Benutzer-ID und Kennwort) verwendet werden. Beide Berechtigungsnachweise werden mit dem Job gespeichert. Das Kennwort wird mithilfe der Standarddienstprogramme unkenntlich gemacht und kann verschlüsselt werden, wenn der Plug-in-Punkt für Kennwortverschlüsselung aktiviert ist. LTPA wird aktualisiert, so lange das Authentifizierungsverfahren die Aktualisierung zulässt.
Mit diesem Servicerelease können den Jobs des Job-Managers Berechtigungsnachweise des Callers (Aufrufenden) zugeordnet werden. Hierbei können LTPA (Lightweight Third-Party Authentication), Kerberos oder angegebene Berechtigungsnachweise (Benutzer-ID und Kennwort) verwendet werden. Beide Berechtigungsnachweise werden mit dem Job gespeichert. Das Kennwort wird mithilfe der Standarddienstprogramme unkenntlich gemacht und kann verschlüsselt werden, wenn der Plug-in-Punkt für Kennwortverschlüsselung aktiviert ist. LTPA und Kerberos werden aktualisiert, so lange das Authentifizierungsverfahren die Aktualisierung zulässt.
- Der Zugriff des Verwaltungsagenten oder Deployment Manager auf "FileTransferServlet" erfolgt durch Senden eines gültigen RSA-Zertifikats, das vom Job-Manager anerkannt und von CertPath validiert wird.
Die erforderlichen Verwaltungsrollen zur Ausführung flexibler Verwaltungsjobs werden durch die zu Grunde liegenden Verwaltungsbefehle definiert, die von diesen Jobs verwendet werden. Beispielsweise ist die erforderliche Rolle zum Starten und Stoppen des Servers die Rolle "Bedienung" (Operators). Die Rolle "Bedienung" ist auch zur Ausführung der flexiblen Verwaltungsjobs zum Starten und Stoppen der Server erforderlich. Folgende allgemeine Regeln gelten für die Zuordnung der Verwaltungsrollen:
- Zum Anzeigen der Daten ist die Rolle "Überwachung" erforderlich.
- Zum Aktualisieren der Daten ist die Rolle "Konfiguration" erforderlich.
- Zum Verwalten der Jobs ist die Rolle "Bedienung" erforderlich.
- Zum Registrieren oder Zurücknehmen der Registrierung verwalteter Knoten ist die Rolle "Verwaltung" erforderlich.