[IBM i]

Objekt- und Dateisicherheit

Dieser Abschnitt beschäftigt sich mit verschiedenen Objekten und Dateien, die sensible Informationen enthalten und geschützt werden müssen.

Geschützte Dateien des IFS (Integrated File System)

WebSphere Application Server greift neben Enterprise-Beans und Servlets auch auf Datenstromdateien des IFS zu. Die folgenden Dateien können sensible Informationen enthalten. Sie sollten sehr sorgfältig mit diesen Dateien umgehen und sicherstellen, dass kein Unbefugter auf sie zugreifen kann.

  • Im Unterverzeichnis /properties Ihres Profils können die folgenden Dateien Benutzer-IDs und Kennwörter enthalten:
    • sas.client.props
    • soap.client.props
    • sas.stdclient.properties
    • sas.tools.properties
    • wsserver.key

    Das Unterverzeichnis /properties ist standardmäßig im Profilstammverzeichnis enthalten. Bei allen oben genannten Dateien ist bei Lieferung die Berechtigung *PUBLIC auf *EXCLUDE gesetzt. Das Benutzerprofil QEJBSVR hat für diese Dateien die Berechtigung *RW. Zusätzlicher Schutz durch Kennwortcodierung ist möglich. Weitere Informationen hierzu finden Sie im Artikel Kennwortcodierung und -verschlüsselung.

  • Schützen Sie im Unterverzeichnis /etc Ihres Profils alle Schlüsseldateien (KDB) und Trustdateien (JKS), die Sie für das Profil von WebSphere Application Server erstellen.

    Die QEJBSVR-Benutzerprofile sollten für die JKS-Dateien die Berechtigung *R haben. Die Berechtigung *PUBLIC sollte auf *EXCLUDE gesetzt sein.

    Für die KDB-Dateien sollte das Benutzerprofil, unter dem der Web-Server ausgeführt wird, die Berechtigung *RX haben. Die Berechtigung *PUBLIC sollte auf *EXCLUDE gesetzt sein.

Geschützte Datenbankressourcen für WebSphere Application Server

WebSphere Application Server speichert Daten für Benutzeranwendungen, z. B. für Enterprise-Beans und Servletsitzungen, persistent in Tabellen. Welche Benutzerprofile berechtigt sind, auf diese Benutzerdaten zuzugreifen, kann mit verschiedenen Optionen gesteuert werden. Weitere Informationen hierzu finden Sie im Abschnitt Sicherheit beim Datenbankzugriff.

Geschützte Dateien von WebSphere Application Server

Wenn Sie die Sicherheit von WebSphere Application Server aktivieren, werden das Serverbenutzerprofil und das Kennwort in Serverkonfigurationsdateien gestellt, die mit der Sicherheitsfunktion des Betriebssystems verwaltet werden sollten. Einige WebSphere Application Server-Ressourcen können Sie zusätzlich mit einem Kennwort schützen. Diese Kennwörter werden auch in Serverkonfigurationsdateien gestellt. Der Server codiert Kennwörter automatisch, um ein beiläufiges Ausspähen derselben zu verhindern. Die Kennwortcodierung allein ist jedoch kein ausreichender Schutz.

Im Unterverzeichnis /config Ihres Profils befinden sich die folgenden Dateien, die Benutzer-IDs und Kennwörter enthalten können:
  • cells/Zellenname/security.xml
  • cells/Zellenname/nodes/Knotenname/resources.xml
  • cells/Zellenname/nodes/Knotenname/servers/Servername/server.xml
Der Servername für das Standardprofil lautet beispielsweise server1.
Das Serverbenutzerprofil und das zugehörige Kennwort werden bei der Initialisierung des Servers für dessen Authentifizierung verwendet. Diese Authentifizierung ist aus folgenden Gründen erforderlich:
  • Die Benutzer-ID und das Kennwort werden als Systemidentität für den Server verwendet, wenn die EJB-Sicherheit so implementiert wird, dass die Methodendelegierung mit SYSTEM_IDENTITY erfolgt. In diesem Fall werden die Benutzer-ID und das Kennwort verwendet, wenn zwischen zwei Enterprise-Beans Methodenaufrufe abgesetzt werden.
  • Die Benutzer-ID und das Kennwort werden für die Authentifizierung von Servern bei der Kommunikation zwischen Servern verwendet. Da der Schutz für diese Dateien beeinträchtigt werden kann, sollten Sie für die Serveridentität und das zugehörige Kennwort ein anderes Profil als das Standardprofil verwenden. Das Standardbenutzerprofil ist QEJBSVR. Falls Sie die Benutzerregistry des lokalen Betriebssystems verwenden, könnten Sie ein Benutzerprofil ohne Sonderberechtigungen erstellen und nutzen. Weitere Informationen hierzu finden Sie im Artikel Anwendungsserver unter bestimmten Benutzerprofilen ausführen.

Geschützte Benutzerprofile für WebSphere Application Server

Nach der Erstinstallation von WebSphere Application Server werden standardmäßig die folgenden Benutzerprofile verwendet:
QEJB
Dieses Profil hat Zugriff auf einige Verwaltungsdaten, wozu auch Kennwörter gehören.
QEJBSVR
Dieses Profil liefert den Kontext, in dem WebSphere Application Server ausgeführt wird. Aus Sicherheits- oder Verwaltungsgründen können andere Benutzerprofile erstellt werden, unter denen verschiedene Komponenten von WebSphere Application Server ausgeführt werden. Weitere Informationen hierzu finden Sie im Artikel Anwendungsserver unter bestimmten Benutzerprofilen ausführen.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_secisobj
Dateiname:rsec_secisobj.html