Sie können ein Profil eines sicheren Proxy-Servers erstellen, das
als Eingangspunkt in Ihre Umgebung dienen soll.
Normalerweise ist ein sicherer Proxy-Server in der
DMZ vorhanden, akzeptiert Anforderungen von Clients über das Internet und leitet die Anforderungen an die Server in Ihrer Unternehmensumgebung weiter.
Vorbereitende Schritte
Installieren
Sie die Basisproduktdateien, bevor Sie Profile Management Tool verwenden. Sie können
zwei verschiedene sichere Proxy-Profile erstellen, je nachdem, welche Basisproduktdateien Sie installieren.
Die Basisproduktdateien können für eine WebSphere Application Server Network Deployment-Installation oder eine Installation von DMZ Secure
Proxy Server bestimmt sein. Informationen zu den Profilen, die für die verschiedenen Installationen erstellt werden, finden Sie im Abschnitt "Informationen zu dieser Task".
Unterstützte Konfigurationen: Profile Management Tool ist
eine grafische Benutzerschnittstelle für den Befehl
manageprofiles und wird nur unter AIX, Linux und Windows unterstützt.
Verwenden Sie unter HP-UX, IBM® i und Solaris stattdessen den Befehl
manageprofiles.
sptcfg
Sie müssen genügend temporären Speicher zum
Erstellen eines Profils bereitstellen.
Informationen hierzu finden Sie Artikel "Profile: Voraussetzungen für das Dateisystem".
Achtung: Wenn Sie Profile Management Tool
starten, kann das Tool in der folgenden Situation für einen Benutzer ohne Rootberechtigung blockieren: Sie melden sich als Root
an der Maschine an, verwenden das Dienstprogramm "SetPermissions", um den Benutzer von
x in y zu ändern (Sie sind Benutzer x), und melden sich dann wieder an der Maschine an.
Sie starten Profile Management Tool, klicken auf
Profile Management Tool und anschließend auf Erstellen.
Beim nächsten Klick nach dem Klicken auf Erstellen könnte das Tool blockieren.
Informationen zu diesem Vorgang
Nachdem Sie die Basisproduktdateien für das Produkt installiert haben, müssen Sie ein Profil erstellen.
Diese Prozedur
beschreibt, wie Sie ein Profil eines sicheren Proxy-Servers mit der von Profile Management Tool bereitgestellten grafischen
Benutzerschnittstelle erstellen.
Zum Erstellen eines sicheren Proxy-Profils können Sie auch den Befehl manageprofiles verwenden.
Weitere Informationen finden Sie in der Beschreibung des Befehls "manageprofiles".
Sie können Profile mit
Profile Management Tool erstellen,
indem Sie den typischen Profilerstellungsprozess oder den erweiterten Profilerstellungsprozess verwenden.
Der typische Profilerstellungsprozess verwendet Standardeinstellungen und ordnet eindeutige Portwerte zu.
Optional können Sie zulässige Werte festlegen. Beim erweiterten Profilerstellungsprozess können Sie die Standardwerte akzeptieren oder eigene Werte angeben.
Sie können mit dieser Task zwei verschiedene Profile für DMZ Secure Proxy Server erstellen.
Sie können ein sicheres Proxy-Serverprofil in einer WebSphere Application Server Network Deployment-Installation erstellen.
Dieses Profil kann jedoch nur in einer Network-Deployment-Installation konfiguriert werden.
Wenn Sie den sicheren Proxy-Server des Profils verwenden möchten, müssen Sie das Profil
aus der Network-Deployment-Umgebung exportieren und anschließend in die Installation von
DMZ Secure Proxy Server importieren. Informationen zum Exportieren und Importieren des sicheren Proxy-Profils finden Sie im Artikel
zur Befehlsgruppe "ConfigArchiveOperations" für das Objekt "AdminTask".
Alternativ können Sie ein sicheres Proxy-Serverprofil in einer Installation von
DMZ Secure Proxy Server erstellen. In diesem Fall hat der sichere Proxy-Server keinen Web-Container und deshalb keine Administrationskonsole.
Zur Verwaltung dieses sicheren Proxy-Servers müssen Sie die
wsadmin-Scripting-Befehle verwenden.
- Starten Sie Profile Management Tool, um eine neue Laufzeitumgebung zu erstellen.
Sie können zum Starten des Tools zwischen
den folgenden Methoden wählen.
- Wählen Sie bei Installationsende das Kontrollkästchen für Profile Management Tool aus.
- Setzen Sie den Befehl zum Öffnen von WebSphere Customization Toolbox
direkt in einer Befehlszeile ab, und öffnen Sie anschließend Profile Management Tool.
- Wählen Sie die Option WebSphere Customization Toolbox
in der Konsole "Erste Schritte" aus, und öffnen Sie anschließend Profile Management Tool.
Verwenden Sie das Menü Start, um auf WebSphere
Customization Toolbox zuzugreifen, und öffnen Sie anschließend
Profile Management Tool.
Verwenden Sie die
Linux-Betriebssystemmenüs, die zum
Starten von Programmen verwendet werden, um WebSphere
Customization Toolbox zu starten, und öffnen Sie anschließend Profile Management Tool.
- Klicken Sie auf der Registerkarte "Profile" auf Erstellen, um ein neues Profil zu erstellen.
Die Registerkarte "Profile" enthält eine Liste der Profile, die auf Ihrer Maschine erstellt wurden.
Es können keine Aktionen für ein ausgewähltes Profil ausgeführt werden, wenn das Profil nicht erweitert werden kann.
Die Schaltfläche "Erweitern" ist abgeblendet, wenn das ausgewählte Profil nicht erweitert werden kann.
Das Tool zeigt die Anzeige "Umgebungsauswahl" an.
- Wählen Sie Sicherer Proxy (nur Konfiguration) für das WebSphere Application Server Network Deployment-Image
oder Sicherer Proxy für das DMZ-Image aus, und klicken Sie auf Weiter.
Die Anzeige "Optionen für Profilerstellung" erscheint.
- Wählen Sie entweder Typische Profilerstellung oder Erweiterte Profilerstellung aus, und klicken Sie dann auf Weiter.
Mit der Option
Typische Profilerstellung wird ein Profil erstellt, das Standardkonfigurationseinstellungen verwendet. Wenn Sie die Option Erweiterte Profilerstellung auswählen, können Sie Ihre eigenen Konfigurationswerte für ein Profil angeben.
- Wenn Sie zu Beginn dieser Schritte Typische Profilerstellung ausgewählt haben, fahren Sie mit dem Schritt fort,
in dem die Anzeige Verwaltungssicherheit aufgerufen wird.
- Geben Sie einen Namen für das Profil und einen Verzeichnispfad für das Profilverzeichnis
an, oder übernehmen Sie die Standardwerte.
Klicken Sie anschließend auf Weiter.
Richtlinien zur Benennung von Profilen:
Doppelbytezeichen werden unterstützt. Als Profilname
kann mit folgenden Einschränkungen
ein beliebiger eindeutiger Name verwendet werden.
Verwenden Sie für Profilnamen keines der folgenden Zeichen:
- Leerzeichen
- Unzulässige Sonderzeichen sind im Namen eines Verzeichnisses in Ihrem Betriebssystem
nicht erlaubt, beispielsweise *&?
- Schrägstriche (/) oder (\)
Das Standardprofil
Das erste Profil,
das Sie auf einer Maschine erstellen, ist das Standardprofil. Das Standardprofil ist
das Standardziel für Befehle, die im Verzeichnis bin im Installationsstammverzeichnis des Produkts abgesetzt werden.
Ist auf einer Maschine nur ein Profil vorhanden, wird jeder Befehl für
den einzigen Serverprozess in der Konfiguration ausgeführt.
Wenn Sie während der folgenden Profilerstellung ein anderes Profil als Standardprofil verwenden möchten,
müssen Sie in der Anzeige "Profilname und -position" unter Erweiterte Profilerstellung das Kontrollkästchen Dieses Profil als Standard festlegen auswählen. Mit dem Befehl "manageprofiles"
können Sie nach der Erstellung des Profils auch ein anderes Profil als Standardprofil festlegen.
Profil in einer Umgebung mit mehreren Profilen adressieren
Sind auf einer Maschine
zwei oder mehr Profile vorhanden, müssen Sie für bestimmte Befehle das Profil angeben, für das sie ausgeführt werden sollen, falls das Profil nicht das Standardprofil ist.
Diese Befehle geben mit dem Parameter
"-profileName" das Profil an, an das sie gerichtet sind.
Es ist einfacher, wenn Sie die Befehle verwenden, die im Verzeichnis
bin jedes Profils enthalten sind.
Verwenden Sie diese Befehle, um die Befehls-Shell abzufragen und das aufrufende Profil zu bestimmen und diese Befehle an das
aufrufende Profil abzusetzen.
Informationen zum Standardprofil
Der Standardprofilname ist
<Profiltyp><Profilnummer>:
- Gültige Werte für <Profiltyp> sind
AppSrv, Dmgr, Custom, AdminAgent,
JobMgr und SecureProxySrv.
- <Profilnummer> ist eine Folgenummer, die verwendet wird, um einen eindeutigen
Profilnamen zu erstellen.
![[AIX]](../images/aixlogo.gif)
Das Standardprofilverzeichnis ist
Stammverzeichnis_des_Anwendungsservers/profiles, wobei Stammverzeichnis_des_Anwendungsservers für das Stammverzeichnis der Installation steht.
Das Standardprofilverzeichnis ist
Stammverzeichnis_des_Anwendungsservers\profiles, wobei Stammverzeichnis_des_Anwendungsservers für das Stammverzeichnis der Installation steht.
- Geben Sie in der Anzeige für Knoten- und Hostnamen einen eindeutigen Knotennamen,
einen Servernamen und den tatsächlichen Hostnamen der Maschine an. Klicken Sie auf Weiter.
Tabelle 1. Merkmale des sicheren Proxy-Server-Knotens. Die folgende Tabelle enthält die Merkmale des sicheren Proxy-Serverknotens.
Feldname |
Standardwert |
Vorgaben |
Beschreibung |
Knotenname |
Kurzname_des_Hosts
Node
Für diese Angaben gilt Folgendes:
- Kurzname_des_Hosts steht für den Kurznamen des Hosts.
- Knotennummer ist eine fortlaufende Nummer, die mit 01 beginnt.
|
Verwenden Sie einen eindeutigen Namen für den sicheren Proxy-Server. |
Der Name wird für die Verwaltung in der Deployment-Manager-Zelle verwendet. |
Servername |
proxy1
|
Gibt einen logischen Namen für den Server an. Servernamen müssen auf einem Knoten eindeutig
sein. Wenn Sie jedoch mehrere Knoten in einem Cluster haben, können Sie unterschiedliche Server mit demselben Servernamen
verwenden, solange das Server/Knoten-Paar eindeutig ist. |
Der Servername wird für die Verwaltung in der Deployment-Manager-Zelle verwendet. |
Hostname |
Die Langform des DNS-Namens (Domänennamensserver).
|
Der Hostname muss im Netz adressierbar sein. |
Verwenden Sie den tatsächlichen DNS-Namen oder die IP-Adresse Ihrer Maschine, um die Kommunikation
mit der Maschine zu ermöglichen.
Nähere Informationen zum Hostnamen finden Sie im Anschluss an diese Tabelle. |
Reservierte Namen: Verwenden Sie keine reservierten Ordnernamen als Feldwerte. Die Verwendung reservierter Ordnernamen
kann unvorhersehbare Ergebnisse zur Folge haben. Folgende Wörter sind reservierte Ordnernamen:
- cells
- nodes
- servers
- clusters
- applications
- deployments
- Länge des Verzeichnispfads:
Die Anzahl der Zeichen im Verzeichnis Pfad_des_Profilverzeichnisses\Profilname muss kleiner-gleich 80 Zeichen sein.
- Hinweise zum Hostnamen:
Der Hostname ist der Netzname für die physische Maschine,
auf der der Knoten installiert ist. Der Hostname muss auf dem Server in einen physischen Netzknoten aufgelöst werden.
Bei einem Server mit mehreren Netzkarten muss der Hostname oder die
IP-Adresse in eine der Netzkarten aufgelöst werden. Ferne Knoten verwenden den Hostnamen, um eine Verbindung
mit diesem Knoten herzustellen und mit ihm zu kommunizieren. Es ist äußerst wichtig, dass Sie einen Hostnamen auswählen,
den andere Maschinen in Ihrem Netz erreichen können. Verwenden Sie hier nicht die generische ID localhost
für diesen Wert. Versuchen Sie außerdem nicht, Produkte von
WebSphere Application Server
auf einer Maschine zu installieren, deren Hostname Zeichen aus einem Doppelbytezeichensatz enthält.
Zeichen aus dem Doppelbytezeichensatz werden in Hostnamen nicht unterstützt.
Falls Sie Knoten, die auf demselben Computer koexistieren, mit eindeutigen IP-Adressen definieren,
definieren Sie jede IP-Adresse in einer Referenztabelle für Domänennamensserver (DNS).
Die Konfigurationsdateien für eigenständige Anwendungsserver
können Domänennamen für mehrere IP-Adressen auf einer Maschine mit nur einer Netzadresse nicht auflösen.
Der für den Hostnamen angegebene Wert wird in Konfigurationsdokumenten für den
eigenständigen Anwendungsserver als Wert für die Eigenschaft "hostName" verwendet.
Geben Sie den Wert für den Hostnamen in einem der folgenden Formate an:
- als vollständig qualifizierte DNS-Hostnamenszeichenfolge, z. B. xmachine.manhattan.ibm.com
- als Standardkurzname der DNS-Hostnamenszeichenfolge, z. B. xmachine
- Numerische IP-Adresse, z. B. 127.1.255.3
Der vollständig qualifizierte DNS-Hostname
hat den Vorteil, dass er gleichzeitig eindeutig und flexibel ist.
Sie können die tatsächliche IP-Adresse für das Hostsystem flexibel ändern,
ohne dass Sie dazu die Konfiguration des Anwendungsservers ändern müssen.
Dieser Wert für den Hostnamen ist besonders nützlich, wenn Sie
planen, die IP-Adresse häufig zu ändern,
weil Sie DHCP
(Dynamic Host Configuration Protocol) für die Zuordnung von IP-Adressen verwenden.
Ein Nachteil dieses Format ist seine Abhängigkeit vom DNS.
Ist ein DNS nicht verfügbar, ist die Konnektivität gefährdet.
Der kurze Hostname ist ebenfalls dynamisch auflösbar. Ein Kurznamensformat
hat den zusätzlichen Vorteil, dass es in der lokalen Hostdatei
definiert ist, so dass das System den Anwendungsserver auch dann ausführen kann, wenn es
nicht mit dem Netz verbunden ist.
Für die Ausführung im Offlinemodus definieren Sie den Kurznamen in der Hostdatei für die Loopback-Adresse, 127.0.0.1,
damit der Anwendungsserver ohne Verbindung zum Netz ausgeführt werden kann.
Ein Nachteil dieses Format ist seine Abhängigkeit vom DNS bei Fernzugriffen.
Ist ein DNS nicht verfügbar, ist die Konnektivität gefährdet.
Eine numerische IP-Adresse hat den Vorteil,
dass keine Namensauflösung über das DNS erforderlich ist. Ein ferner Knoten kann auch ohne verfügbares DNS eine Verbindung zu dem Knoten herstellen, den Sie mit einer numerischen IP-Adresse
benannt haben. Ein Nachteil dieses Formats ist allerdings, dass die numerische IP-Adresse festgelegt ist.
Nach der Anzeige des Knotennamens, Servernamens und Hostnamens für das sichere
Proxy-Profil ruft das System die Anzeige "Auswahl der Sicherheitsstufe" auf.
- Akzeptieren Sie die Standardwerte, oder ändern Sie die Sicherheitsstufe des Proxys und die Protokolle. Klicken Sie anschließend auf
Weiter.
Sie können Ihre Sicherheitseinstellungen ändern, nachdem Sie das Profil für den sicheren Proxy-Server erstellt haben.
Lesen Sie die Informationen zum Optimieren der Sicherheitseigenschaften für den sicheren Proxy-Server.
Nach der Anzeige der Optionen für die Sicherheitsstufe erscheint im Tool
die Anzeige "Verwaltungssicherheit".
- Sie können die Verwaltungssicherheit aktivieren und auf Weiter klicken.
Sie können die Verwaltungssicherheit jetzt während der Profilerstellung oder später über die Konsole aktivieren. Wenn Sie die Verwaltungssicherheit jetzt aktivieren, müssen Sie einen Benutzernamen und ein Kennwort angeben,
um sich an der Administrationskonsole anzumelden.
Nachdem Sie Sicherheitsmerkmale definiert
haben, zeigt das Tool das Fenster "Sicherheitszertifikat" an, wenn
Sie vorher Erweiterte Profilerstellung ausgewählt haben.
- Wenn Sie zu Beginn dieser Schritte Typische Profilerstellung ausgewählt haben,
fahren Sie mit dem Schritt fort, in dem die Anzeige Profilzusammenfassung angezeigt wird.
- Erstellen Sie ein persönliches Standardzertifikat und ein Signaturstammzertifikat,
oder importieren Sie ein persönliches Zertifikat und ein
Signaturstammzertifikat aus den Keystore-Dateien, und klicken Sie auf
Weiter.
Sie können beide Zertifikate erstellen, beide Zertifikate importieren oder ein Zertifikat erstellen und das andere importieren.
Bewährtes Verfahren: Wenn Sie ein persönliches Zertifikat als persönliches Standardzertifikat importieren,
importieren Sie das Stammzertifikat, das zum Signieren des persönlichen Zertifikats verwendet wurde.
Andernfalls fügt
Profile Management Tool
den Unterzeichner des persönlichen Zertifikats zur Datei
trust.p12 hinzu.
bprac
Wenn Sie das persönliche Standardzertifikat oder das Signaturstammzertifikat importieren,
geben Sie den Pfad und das Kennwort an, und wählen Sie für jedes Zertifikat, das Sie importieren,
den Typ und Aliasnamen des Keystore aus.
- Vergewissern Sie sich, dass die Zertifikatsinformationen richtig sind, und klicken Sie anschließend auf Weiter.
Wenn Sie die Zertifikate erstellen, können Sie die Standardwerte verwenden oder diese ändern, um neue Zertifikate zu erstellen.
Das persönliche Standardzertifikat ist standardmäßig ein Jahr lang gültig und wird von dem Signaturstammzertifikat
signiert.
Das Signaturstammzertifikat ist ein selbst signiertes Zertifikat, das standardmäßig eine Gültigkeitsdauer von 15 Jahren hat.
Das Standardkennwort für den Keystore lautet für das Signaturstammzertifikat
WebAS. Sie sollten das Kennwort ändern. Das Kennwort darf keine DBCS-Zeichen (Zeichen aus dem Doppelbytezeichensatz) enthalten,
weil bestimmte Keystores, zu denen auch PKCS12 gehört, diese Zeichen nicht unterstützen.
Die unterstützten Keystore-Typen sind abhängig von den Providern in der Datei
"java.security".
Wenn Sie eines der Zertifikate oder beide Zertifikate erstellen oder importieren,
werden folgende Keystore-Dateien erstellt:
key.p12, trust.p12, root-key.p12,
default-signers.p12, deleted.p12 und ltpa.jceks. Diese Dateien verwenden alle dasselbe Kennwort, wenn Sie die Zertifikate erstellen oder importieren.
Dies ist entweder das Standardkennwort oder das Kennwort, das Sie festlegen.
Die Datei "key.p12" enthält das persönliche Standardzertifikat.
Die Datei "trust.p12" enthält das Unterzeichnerzertifikat aus dem Standardstammzertifikat.
Die Datei
"root-key.p12" enthält das für die Signatur verwendete Stammzertifikat.
Die Datei "default-signer.p12" enthält die Signaturzertifikate, die
allen neuen Keystore-Dateien hinzugefügt werden, die Sie nach der Installation und Aktivierung des Servers erstellen.
Standardmäßig sind der Standardstammzertifikatsunterzeichner und ein
DataPower-Unterzeichnerzertifikat
in der Keystore-Datei "default-signer.p12" enthalten. In der Datei "deleted.p12"
werden Zertifikate abgelegt, die mit der Task "deleteKeyStore" gelöscht werden, so dass sie bei Bedarf wiederhergestellt werden können.
Die Datei
"ltpa.jceks" enthält Standard-LTPA-Schlüssen für Server (Lightweight
Third-Party Authentication), die die Server in Ihrer Umgebung für die Kommunikation untereinander verwenden.
Ein importiertes Zertifikat wird der Datei "key.p12" oder "root-key.p12" hinzugefügt.
Wenn Sie Zertifikate importieren und diese nicht die gewünschten Informationen enthalten, klicken Sie auf
Zurück, um ein anderes Zertifikat zu importieren.
Nach den Anzeigen "Sicherheitszertifikat" ruft das Tool die Anzeige "Ports" auf, wenn Sie zuvor die Option
Erweiterte Profilerstellung ausgewählt haben.
- Stellen Sie sicher, dass die Ports im sicheren Proxy-Profil
eindeutig oder absichtlich widersprüchlich sind, und klicken Sie anschließend auf
Weiter.
Behebung von Portkonflikten
Ports gelten als belegt, wenn folgende Bedingungen erfüllt sind:
- Sie sind einem Profil zugeordnet, das unter einer vom aktuellen Benutzer durchgeführten Installation erstellt wurde.
- Der Port ist gegenwärtig im Gebrauch.
Die Ports werden validiert, wenn Sie die Anzeige "Zuordnung von Portwerten" aufrufen. Zwischen den Anzeigen "Zuordnung von Portwerten" und
"Profilerstellung abgeschlossen" können immer noch Konflikte auftreten, da Ports erst zugeordnet werden, wenn die Profilerstellung abgeschlossen ist.
Wenn
Sie vermuten, dass ein Portkonflikt vorliegt, können Sie den Portkonflikt nach dem Erstellen des Profils untersuchen.
Bestimmen Sie die während der Profilerstellung verwendeten Ports, indem Sie die folgenden Dateien untersuchen.
![[AIX]](../images/aixlogo.gif)
Datei Profilstammverzeichnis/properties/portdef.props
Profilstammverzeichnis\properties\portdef.props
file
In dieser Datei sind die Schlüssel und Werte, die für die Einstellungen der Ports verwendet wurden, enthalten. Wenn
Sie Portkonflikte ermitteln, können Sie die Ports manuell erneut zuordnen. Führen Sie die Datei
updatePorts.ant mit dem Script ws_ant aus, um Ports erneut zuzuordnen.
![[Windows]](../images/windows.gif)
Das Tool ruft die Anzeige zur Definition von
Windows-Diensten auf,
wenn Sie eine Installation unter einem
Windows-Betriebssystem
durchführen und die Installations-ID Administratorberechtigung hat. Das Tool zeigt die Ansicht mit der
Linux-Servicedefinition
an, wenn Sie die Installation unter einem unterstützten
Linux-Betriebssystem
durchführen und die ID, unter der
Profile Management Tool ausgeführt wird,
der Benutzer "root" ist.
![[Windows]](../images/windows.gif)
Wählen Sie aus, ob der sichere Proxy-Server als
Windows-Dienst unter einem Windows-Betriebssystem oder als
Linux-Dienst und einem Linux-Betriebssystem ausgeführt werden soll, und klicken Sie anschließend auf Weiter. Die Anzeige für die Definition eines
Windows-Dienstes wird für das
Windows-Betriebssystem nur angezeigt,
wenn die ID, unter der der Windows-Dienst
installiert wird, Administratorberechtigung hat. Sie können den
Windows-Dienst
jedoch mit dem Befehl "WASService.exe" erstellen, wenn die ID des Installationsverantwortlichen Administratorberechtigung hat. Nähere Informationen finden
Sie im Artikel zum automatischen Neustart von Serverprozessen.
Das Produkt versucht, Windows-Dienste für sichere Proxy-Prozesse zu starten,
die mit dem Befehl "startServer" gestartet wurden. Wenn Sie beispielsweise einen sicheren Proxy-Server
als Windows-Dienst konfigurieren und den Befehl "startServer" ausführen, versucht der Befehl
wasservice, den definierten Dienst zu starten.
Wenn Sie sich für die Installation
eines lokalen Systemdienstes entscheiden, müssen Sie Ihre Benutzer-ID und Ihr Kennwort nicht angeben.
Wenn Sie einen Dienst für einen bestimmten Benutzer erstellen möchten, müssen Sie die Benutzer-ID und das Kennwort dieses
Benutzers angeben.
Der Benutzer muss die Berechtigung Als Dienst anmelden haben, um den Service ordnungsgemäß ausführen zu können. Hat der Benutzer die Berechtigung Als Dienst anmelden nicht, fügt Profile Management Tool die Berechtigung automatisch hinzu.
Zum Ausführen dieser Profilerstellungstask darf die Benutzer-ID keine Leerzeichen enthalten.
Außerdem muss die ID zur Administratorgruppe gehören und die erweiterte
Benutzerberechtigung Als Dienst anmelden haben.
Das Installationsprogramm erteilt der Benutzer-ID den erweiterten Benutzerzugriff, falls die Benutzer-ID noch keine erweiterten Benutzerberechtigungen hat,
vorausgesetzt, die ID gehört zur Administratorgruppe.
Nach Abschluss der Installation können Sie weitere
Windows-Dienste zum Starten
anderer Serverprozesse erstellen. Nähere Informationen finden
Sie im Artikel zum automatischen Neustart von Serverprozessen.
Sie können den
Windows-Dienst,
der während der Erstellung des Profils hinzugefügt wird, löschen. Sie
können den Windows-Dienst mit dem Befehl "wasservice" auch entfernen.
Hinweise zu IPv6
Erstellte Profile, die als
Windows-Dienst ausgeführt werden sollen,
können bei Verwendung von IPv6 (Internet Protocol Version 6.0) nicht gestartet werden, wenn der Dienst unter einem
lokalen Systemkonto ausgeführt werden soll. Erstellen Sie eine benutzerspezifische Umgebungsvariable, um IPv6 zu aktivieren. Da
diese Umgebungsvariable eine Benutzervariable und keine Variable des lokalen Systems ist, kann nur ein
Windows-Dienst,
der unter diesem spezifischen Benutzer ausgeführt wird, auf die Umgebungsvariable zugreifen. Wenn ein neues Profil
erstellt und so konfiguriert wird, dass es als
Windows-Dienst,
wird der Dienst standardmäßig unter einem lokalen Systemkonto ausgeführt. Wenn der Windows-Dienst für
den Prozess des sicheren Proxy-Servers ausgeführt wird, kann er nicht auf die Benutzerumgebungsvariable, die IPv6 angibt, zugreifen.
Stattdessen versucht der Dienst, mit IPv4 zu starten. In diesem Fall wird der Server nicht ordnungsgemäß gestartet. Zur Lösung des Problems müssen Sie bei der
Erstellung des Profils angeben, dass der Windows-Dienst für den Prozess des sicheren Proxy-Servers unter
derselben Benutzer-ID ausgeführt werden soll, unter der die Umgebungsvariable, die IPv6 angibt, definiert ist.
Sie dürfen nicht angeben, dass der Windows-Dienst unter einem lokalen Systemkonto ausgeführt werden soll.
![[Windows]](../images/windows.gif)
Die Standardwerte
für die Anzeige für die Definition von Windows-Diensten sind folgende:
- Standardmäßig ist die Ausführung als Windows-Dienst vorgesehen.
- Der Dienstprozess wird unter einem Systemkonto ausgeführt.
- Das Benutzerkonto ist der aktuelle Benutzername. Bei der Wahl des Benutzernamens sind die Voraussetzungen des Betriebssystems
Windows für Benutzer-IDs zu berücksichtigen.
- Die Startart ist Automatisch. Die Werte für den Starttyp werden vom Betriebssystem
Windows vorgegeben. Wenn Sie einen
anderen Starttyp als Automatisch verwenden möchten, können Sie im Menü eine andere verfügbare Option auswählen oder
den Starttyp nach der Erstellung des Profils ändern.
Sie können den erstellten Dienst nach der Profilerstellung auch löschen und später mit dem gewünschten Starttyp hinzufügen.
Sie können sich während der Profilerstellung gegen die Erstellung eines Dienstes entscheiden und den
Dienst später optional mit dem gewünschten Starttyp erstellen.
Die Anzeige für die Definition des Linux-Service
erscheint, wenn das aktuelle Betriebssystem eine unterstützte Linux-Version ist und der aktuelle Benutzer die
entsprechenden Berechtigungen hat.
Das Produkt versucht,
Linux-Services
für Anwendungsserverprozesse zu starten, die mit dem Befehl "startServer" gestartet wurden. Wenn Sie beispielsweise
einen Anwendungsserver als Linux-Service
konfigurieren und den Befehl "startServer" ausführen, versucht der Befehl
wasservice, den definierten Dienst zu starten.
Standardmäßig wird
das Produkt nicht als Linux-Service ausgeführt.
Der Benutzer, der Profile Management Tool ausführt, muss Root sein, um den Dienst erstellen zu können.
Wenn Sie Profile Management Tool mit einer Benutzer-ID ohne Rootberechtigung ausführen,
erscheint die Anzeige für die Definition des Linux-Service nicht, und es wird kein Dienst erstellt.
Wenn Sie einen Linux-Service erstellen,
müssen Sie einen Benutzernamen angeben, unter dem der Service ausgeführt wird.
Nur Root oder ein Benutzer mit entsprechenden Berechtigungen kann
einen Linux-Service löschen. Andernfalls wird ein Script für Entfernen erstellt, mit dem Root den Dienst für den Benutzer
löschen kann.
Im Tool
erscheint die Anzeige "Zusammenfassung der Profilerstellung".
- Klicken Sie auf Erstellen, um das Profil eines sicheren Proxy-Servers zu
erstellen, oder klicken Sie auf Zurück, um die Eigenschaften des Profils zu ändern.
Die Anzeige "Fortschritt der Profilerstellung", in der die aktiven Konfigurationsbefehle aufgeführt sind, erscheint.
Nach Abschluss der Profilerstellung zeigt der Assistent das Fenster "Profilerstellung abgeschlossen" an.
- Wenn das sichere Proxy-Profil, das Sie erstellen, Teil der Installation von DMZ Secure Proxy Server for IBM WebSphere Application Server ist,
wählen Sie optional den Eintrag Konsole 'Erste Schritte' starten aus. Klicken Sie anschließend auf Fertig stellen, um den Vorgang zu beenden.
Mit der Konsole "Erste Schritte" können Sie zusätzliche Profile erstellen und den Anwendungsserver starten.
Wenn das sichere Proxy-Profil, das Sie erstellen, Teil der Installation von
WebSphere Application Server Network Deployment ist, wählen Sie
optional den Eintrag "Konsole 'Erste Schritte' starten" aus.
Nächste Schritte
Ein sicherer Proxy-Server kann Anforderungen von Clients
über das Internet akzeptieren und die Anforderungen an die Server in Ihrer Unternehmensumgebung weiterleiten.
Das sichere Proxy-Profil ist in WebSphere Application Server Network Deployment- und DMZ-Images verfügbar. Das Profil kann im WebSphere Application Server Network Deployment-Image nicht gestartet werden.
Das Profil wird nur für die Konfiguration über eine Administrationskonsole verwendet.
Nach der Konfiguration des Profils können Sie es exportieren und anschließend
in das sichere Proxy-Profil des DMZ-Image importieren. Das sichere Proxy-Profil
ist im DMZ-Image vollständig betriebsbereit.