Sicherheitsaspekte bei der Registrierung eines Basisanwendungsserverknotens beim Verwaltungsagenten

Möglicherweise empfiehlt es sich, die Steuerung Ihrer eigenständigen Basisanwendungsserver durch das Registrieren beim Verwaltungsagenten zu zentralisieren. Falls der Basisanwendungsserver derzeit für Sicherheit konfiguriert ist, muss einiges beachtet werden. Diese Sicherheitsaspekte gelten für die Verwendung des Befehls registerNode und des Befehls deregisterNode.

Der Befehl registerNode hat zum Ziel, einen eigenständigen Basisknoten in einen vom Verwaltungsagenten verwalteten Knoten umzuwandeln. Der wichtigste Parameter des Befehls registerNode ist profilePath. Dieser Parameter gibt an, wo der Verwaltungsagent den Knoten auf der lokalen Maschine finden kann. Der Parameter portsFile enthält Schlüssel, mit denen bestimmt wird, welche Ports der Verwaltungsagent für den Basisknoten überwacht. Das Format entspricht dem Format für die manageProfiles-Befehlszeile.

Der Befehl registerNode wird im Verwaltungsagenten selbst ausgeführt. Er wird verwendet, um einen Knoten bei einem Verwaltungsagenten zu registrieren. Der Verwaltungsagent muss sich in demselben System wie der zu registrierende Knoten befinden. Der Befehl registerNode gilt nur auf dem Basisknoten. Wenn ein Knoten in einen Deployment Manager eingebunden wurde, schlägt der Befehl registerNode mit einem Fehler fehl.

Zunächst verarbeitet der Austauschunterzeichnerprozess für die Dateiregistrierung die SSL-Standardkonfiguration (Secure Sockets Layer) und ruft dabei die Stammzertifikatunterzeichner aus dem NodeDefaultRootStore des Verwaltungsagenten ab und speichert sie im NodeDefaultTrustStore des Zielprofils. Danach ruft der Prozess die Stammzertifikatunterzeichner aus dem NodeDefaultRootStore des Zielprofils ab und speichert Sie im NodeDefaultTrustStore des Verwaltungsagenten. Die Unterzeichner werden im Truststore der Zielprofile unter Verwendung des Aliaspräfixes "agent_signer" gespeichert. Im Truststore des Verwaltungsagenten werden sie unter Verwendung des Aliaspräfixes <Profilname>_signer" gespeichert.

Anschließend verarbeitet der Austauschunterzeichnerprozess für die Dateiregistrierung die RSAToken-Authentifizierungskonfiguration und ruft dabei die Stammzertifikatunterzeichner aus dem NodeRSATokenRootStore des Verwaltungsagenten ab und speichert sie im NodeRSATokenTrustStore des Zielprofils. Danach ruft der Prozess die Stammzertifikatunterzeichner aus dem NodeRSATokenRootStore des Zielprofils ab und speichert Sie im NodeRSATokenTrustStore des Verwaltungsagenten. Die Unterzeichner werden im Truststore der Zielprofile unter Verwendung des Aliaspräfixes "agent_signer" gespeichert. Im Truststore des Verwaltungsagenten werden sie unter Verwendung des Aliaspräfixes <Profilname>_signer" gespeichert.

Außerdem speichert der Registrierungsprozess alle Stammzertifikatunterzeichner (SSL und RSAToken) des Verwaltungsagenten im Client-Truststore des Zielprofils (standardmäßig ClientDefaultTrustStore).

Der Befehl deregisterNode aktiviert den Prozess zum Aufheben der Registrierung, der alle während des Registrierungsprozesses ausgetauschten Unterzeichner des Verwaltungsagenten und des Basisprofils entfernt. Die Konfiguration des Basisknotens bleibt erhalten, wird aber als nicht bei einem Verwaltungsagenten registriert markiert. Dieser Befehl ist nur für bereits registrierte Basisknoten gültig.

Die folgenden Aspekte müssen bei der Ausführung des Befehls registerNode für die Sicherheit beachtet werden:
  • Wenn Sie versuchen, Systemverwaltungsbefehle wie registerNode auszuführen, müssen Sie explizit Ihre Administratorberechtigung nachweisen, um die Operation ausführen zu können. Der Befehl registerNode akzeptiert die Parameter -username und -password, mit denen die Benutzer-ID und das Kennwort angegeben werden können. Die angegebene Benutzer-ID/Kennwort-Kombination muss einem Benutzer mit Administratorberechtigung zugewiesen sein, z. B. einem Benutzer, der ein Mitglieder der Konsolbenutzergruppe mit Administratorberechtigung ist, oder die Verwaltungsbenutzer-ID, die in der Benutzerregistry definiert ist. Im Folgenden sehen Sie ein Beispiel für den Befehl registerNode:

    registerNode -profilePath /WebSphere/AppServer/profiles/default -host localhost -connType SOAP -port 8877 -username WSADMIN -password ADMINPWD

  • Vor der Registrierung bei einem Verwaltungsagenten muss die Verwaltungssicherheit eines Knoten aktiviert bzw. inaktiviert werden.
  • Nach der Registrierung eines Knotens können Sie die Verwaltungssicherheit für diesen Knoten (oder einen anderen registrierten Knoten) erst wieder aktivieren bzw. inaktivieren, wenn die Registrierung des Knotens aufgehoben wurde.
Wenn Sie sich gründlich mit den Abhängigkeiten verteilter Server in Fragen der Sicherheit beschäftigt haben, werden kaum Probleme bei der sicheren Kommunikation auftreten. Parallel zur Sicherheit steigt auch die Komplexität, da zusätzliche Funktionen verwaltet werden müssen. Mit dem Verwaltungsagenten können zusätzliche Funktionen unter Aufrechterhaltung der Sicherheit verwaltet werden.

Allgemeine Fragen und Antworten, die bei der Verwendung von registerNode für die Sicherheit hilfreich sind

Kann die Sicherheitseinstellung eines Knotens geändert werden, nachdem er bei einem Verwaltungsagenten registriert wurde?
Die Verwaltungssicherheit muss im Verwaltungsagenten und auf allen registrieren Knoten aktiviert oder inaktiviert werden. Davon abgesehen können registrierte Knoten und der Verwaltungsagent vor und nach der Registrierung des Knotens unterschiedliche Sicherheitskonfigurationen haben. Die Konfiguration der Verwaltungssicherheit muss aber für den Verwaltungsagenten und die registrierten Knoten konsistent sein.
Kann die Sicherheitseinstellung des Verwaltungsagenten nach der Registrierung eines Knotens geändert werden?
Nein. Lesen Sie hierzu die vorherige Frage und Antwort. Die Konfiguration der Verwaltungssicherheit wäre in diesem Fall für die Verwaltungsagenten und die registrierten Knoten nicht konsistent.
Muss für einen Knoten die Sicherheit aktiviert sein, wenn die Sicherheit für den Verwaltungsagenten aktiviert ist?
Ja. Für einen Knoten muss die Verwaltungssicherheit aktiviert sein, wenn die Verwaltungssicherheit für einen Verwaltungsagenten aktiviert ist.
Können für den Verwaltungsagenten und den Knoten vor der Registrierung des Knotens unterschiedliche Sicherheitseinstellungen und -werte festgelegt sein?
Ja. Eine Ausnahme ist aber der Wert der Verwaltungssicherheit.
Wie werden die Parameter -username Benutzername / -password Kennwort und -nodeusername Knotenbenutzername / -nodepassword Knotenkennwort im Befehl "registerNode" richtig verwendet?
username / password beziehen sich auf einen Benutzer mit Verwaltungsaufgaben und das zugehörige Kennwort, der bzw. das im Verwaltungsagenten definiert ist. nodeusername / nodepassword beziehen sich auf den Benutzer mit Verwaltungsaufgaben und das zugehörige Kennwort, der bzw. das im zu registrierenden Knoten definiert ist.
Anmerkung: nodeusername / nodepassword sind nur erforderlich, wenn die Verwaltungssicherheit für den Verwaltungsagenten und den zu registrierenden Knoten aktiviert ist.
Verwendungsbeispiel für RegisterNode:
${WAS_ROOT}/profiles/AA_1/bin/registerNode.sh
-connType SOAP
-port ${soap}
-username $SUSER
-password $SPASS
-profilePath ${WAS_ROOT}/profiles/AS_1_1
-nodeusername $SUSER2
-nodepassword $SPASS2 
[z/OS]
Besondere Hinweise für z/OS: Unter z/OS muss die Unix System Services-Standardkonfigurationsgruppe der Controllerbenutzer-ID eines Verwaltungsagenten die Konfigurationsgruppe für die Anwendungsserver sein, die er verwaltet. Die Servantbenutzer-ID des Verwaltungsagenten muss mit derselben Gruppe verbunden sein. Dies können Sie am einfachsten sicherstellen, indem Sie einen einzelne Konfigurationsgruppen-ID bei der Konfiguration des Verwaltungsagenten und seiner Anwendungsserver angeben.

Wenn eine lokale SAF-Registry (System Authorization Facility) für die Verwaltungssicherheit verwendet wird, muss die für den Aufruf der Befehle registerNode.sh und deregisterNode.sh verwendete Benutzer-ID Administratorberechtigung für den Verwaltungsagenten haben und ebenfalls mit der Unix System Services-Konfigurationsgruppe für den Verwaltungsagenten und seine Anwendungsserver verbunden sein.

Wenn für den Zertifikatsspeicher SAF-Schlüsselringe verwendet werden, werden während der Registrierung keine Unterzeichner ausgetauscht. Sie müssen sicherstellen, dass die Serverzertifikate für den Verwaltungsagenten und die Anwendungsserver, die er verwaltet, einen gemeinsamen Unterzeichner nutzen und dass dieser gemeinsame Unterzeichner im Schlüsselring der Administrator-ID enthalten ist, die für den Aufruf von registerNode.sh oder deregisterNode.sh verwendet wird.
Anmerkung: Der bei der Registrierung bzw. Aufhebung der Registrierung verwendete Schlüsselring, ist der dem Verwaltungsagenten zugeordnete Schlüsselring.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7register_admin_agent
Dateiname:rsec_7register_admin_agent.html