Permisos del archivo filter.policy
La seguridad de Java™ 2 utiliza varios archivos de políticas para determinar qué permisos se han concedido a cada programa Java. El filtro de la política de seguridad de Java 2 sólo se aplica cuando está habilitada la seguridad de Java 2.
Consulte el apartado Protección de los recursos y las API del sistema (seguridad de Java 2) para el desarrollo de aplicaciones. La política de filtrado definida en el archivo filter.policy es para toda la célula. El archivo filter.policy es el único archivo de política que se utiliza para restringir el permiso en lugar de otorgarlo. Los permisos listados en el archivo de política de filtro se filtrarán a partir de los archivos app.policy y was.policy. Los permisos definidos en los demás archivos de política no se verán afectados por el archivo filter.policy.
Cuando un permiso se filtra, se registrará un mensaje de auditoría. Sin embargo, si los permisos definidos en los archivos app.policy y was.policy son permisos compuestos como, por ejemplo, el permiso java.security.AllPermission, el permiso no se suprime. Se anota cronológicamente un mensaje de aviso. Si el distintivo Emitir aviso de permiso está habilitado (valor predeterminado) y los archivos app.policy y was.policy contienen permisos personalizados (permiso de la API no Java, el nombre del paquete del permiso empieza por caracteres distintos de java o javax), se registrará un mensaje de aviso y el permiso no se eliminará. Puede cambiar el valor de la opción Avisar si se otorgan permisos personalizados a las aplicaciones en el panel de Seguridad global. No se recomienda utilizar el permisoAllPermission para la aplicación empresarial.
En el archivo filter.policy hay definidos algunos permisos predeterminados. Estos son los permisos mínimos recomendados por el producto. Si se añaden más permisos al archivo filter.policy, algunas de las operaciones de las aplicaciones empresariales pueden fallar. Preste atención cuando añada permisos al archivo filter.policy.
No puede utilizar la herramienta Policy Tool para editar el archivo filter.policy. La edición debe llevarse a cabo en un editor de texto. Preste atención y asegúrese de que el archivo filter.policy no contenga errores de sintaxis. Si hay errores de sintaxis en el archivo filter.policy, la ejecución de la seguridad del producto no lo cargará, lo que significa que el filtro está inhabilitado.
Para extraer el archivo filter.policy, escriba el mandato siguiente utilizando la información del entorno:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
set obj [$AdminConfig extract cells/nombre_célula/filter.policy c:/temp/test/filter.policy]
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
set obj [$AdminConfig extract cells/nombre_célula/filter.policy /temp/test/filter.policy]
Para comprobar el archivo de políticas, escriba el mandato siguiente utilizando la información de su entorno:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
$AdminConfig checkin cells/nombre_célula/filter.policy c:/temp/test/filter.policy $obj
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
$AdminConfig checkin cells/nombre_célula/filter.policy /temp/test/filter.policy $obj
El archivo filter.policy actualizado se aplicará a todas las aplicaciones empresariales de WebSphere Application Server después de reiniciar los servidores. El archivo filter.policy lo gestiona la configuración y los servicios de duplicación de archivos.
Los cambios realizados en este archivo se duplican en otros nodos de la célula.
El archivo filter.policy que se proporciona
con WebSphere Application Server
se encuentra en: raíz_servidor_aplicaciones/profiles/profile_name/config/cells/nombre_célula/filter.policy.
El archivo filter.policy que se proporciona
con WebSphere Application Server se encuentra en: raíz_perfil/config/cells/nombre_célula/filter.policy.
filterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
runtimeFilterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
Los permisos definidos en el filtro filterMask son para el filtro de política estática. La ejecución de seguridad intenta eliminar los permisos de las aplicaciones durante el inicio de la aplicación. Los permisos compuestos no se suprimen sino que se emiten con un aviso y se detendrá el despliegue de aplicaciones si las aplicaciones contienen los permisos definidos en el filtro filterMask y se utilizan scripts. El filtro runtimeFilterMask define permisos utilizados por la ejecución de la seguridad para denegar el acceso a dichos permisos a la hebra de la aplicación. No añada más permisos al filtro runtimeFilterMask. Puede producirse un error de arranque de la aplicación o un funcionamiento incorrecto. Preste atención cuando añada más permisos al filtro runtimeFilterMask. Por lo general, sólo es necesario añadir permisos a la stanza filterMask.
- exitVM
- Un servlet, un archivo JSP (JavaServer Pages), un enterprise bean u otra biblioteca utilizada por una aplicación podría llamar a la API System.exit() y terminar todo el proceso de WebSphere Application Server.
- setSecurityManager
- Una aplicación puede instalar su propio gestor de seguridad y otorgar más permisos o ignorar la política por omisión que implementa el gestor de seguridad de WebSphere Application Server.
Para que el archivo filter.policy actualizado entre en vigor, reinicie los procesos Java relacionados.