Configurar Domínios de Segurança

Utilize essa página para configurar os atributos de segurança de um domínio e designar o domínio a recursos de célula. Para cada atributo de segurança, você pode utilizar as configurações de segurança global ou customizar as configurações para o domínio.

Para visualizar esta página do console administrativo, clique em Segurança > Domínios de Segurança. Na página Coleta de Domínios de Segurança, selecione um domínio existente para ser configurado, crie um novo ou copie um domínio existente.

Leia sobre Domínios de Segurança Múltiplos para entender melhor o que são os diversos domínios de segurança e como eles são suportados nessa versão do WebSphere Application Server.

Nome

Especifica um nome exclusivo para o domínio. Esse nome não pode ser editado após o envio inicial.

Um nome de domínio deve ser exclusivo em uma célula e não pode conter um caractere inválido.

Descrição

Especifica uma descrição para o domínio.

Escopos Designados

Selecione para exibir a topologia da célula. É possível designar o domínio de segurança à célula inteira ou selecionar os clusters, nós e barramentos de integração de serviços específicos para serem incluídos no domínio de segurança.

Se você selecionar Todos os Escopos, a topologia da célula inteira será exibida.

Se você selecionar Escopos Designados, a topologia da célula será exibida com os servidores e clusters designados ao domínio atual.

O nome de um domínio designado explicitamente aparece próximo a qualquer recurso. As caixas marcadas indicam recursos designados atualmente ao domínio. Também é possível selecionar outros recursos e clicar em Aplicar ou OK para designá-los ao domínio atual.

Um recurso não marcado (desativado) indica que ele não está designado ao domínio atual e deve ser removido de um outro domínio antes de ser ativado para o domínio atual.

Se um recurso não tiver um domínio designado explicitamente, ele utilizará o domínio designado à célula. Se nenhum domínio estiver designado à célula, o recurso utilizará configurações globais.

Os membros de cluster não podem ser designados individualmente a domínios; o cluster inteiro utiliza o mesmo domínio.

Segurança do Aplicativo:

Selecione Ativar Segurança do Aplicativo para ativar ou desativar a segurança para aplicativos de usuário. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Quando essa seleção for desativada, nenhum dos aplicativos EJB e da Web no domínio de segurança estará protegido. Access is granted to these resources without user authentication. Quando você ativa essa seleção, a segurança do Java™ EE é impingida para todos os aplicativos EJB e da Web no domínio de segurança. A segurança do Java EE é reforçada apenas quando a Segurança Global for ativada na configuração de segurança global, (ou seja, você não pode ativar a segurança do aplicativo sem primeiro ativar a Segurança Global no nível global).

Ativar a Segurança do Aplicativo

Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo

Nos releases anteriores do WebSphere Application Server, quando um usuário ativou a segurança global, as seguranças administrativa e de aplicativo foram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global era dividida em segurança administrativa e segurança do aplicativo, cada uma ativada separadamente.

Como resultado desta divisão, os clientes do WebSphere Application Server devem saber se a segurança de aplicativos está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, você deve ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.

Quando essa seleção for desativada, nenhum dos aplicativos EJB e da Web no domínio de segurança estará protegido. Access is granted to these resources without user authentication. Quando você ativa essa seleção, a segurança do Java EE é impingida para todos os aplicativos EJB e da Web no domínio de segurança. A segurança do Java EE é reforçada apenas quando a Segurança Global for ativada na configuração de segurança global, (ou seja, você não pode ativar a segurança do aplicativo sem primeiro ativar a Segurança Global no nível global).

Segurança Java 2:

Selecione Usar segurança Java 2 para ativar ou desativar a segurança Java 2 no nível de domínio ou para atribuir ou incluir propriedades relacionadas à segurança Java 2. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Essa opção permite ativar ou desativar a segurança do Java 2 no nível de processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar a segurança do Java 2.

Utilizar Configurações de Segurança Global

Selecione para especificar as configurações de segurança global que estão sendo utilizadas.

Customizar para este Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Utilizar a Segurança Java 2 para Restringir o Acesso do Aplicativo a Recursos Locais

Selecione para especificar se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. É possível optar por desativar a segurança Java 2, mesmo quando a segurança do aplicativo está ativada.

Quando a opção Usar segurança Java 2 para restringir o acesso do aplicativo aos recursos locais for ativada, e se um aplicativo requerer mais permissões de segurança Java 2 do que as concedidas na política padrão, o aplicativo poderá falhar e não ser executado corretamente até que as permissões requeridas sejam concedidas no arquivo app.policy ou no arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas.

Avisar se Permissões Customizadas São Concedidas aos Aplicativos

Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões definidas pelos aplicativos de usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.

O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um gabarito de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação Java EE 1.4.

Importante: Não é possível ativar essa opção sem ativar a opção Segurança Java 2 para restringir acesso do aplicativo aos recursos locais.

Restringir o Acesso a Dados de Autenticação de Recursos

Essa opção estará desativada se a segurança Java 2 não foi ativada.

É recomendável ativar esta opção quando as duas condições a seguir forem verdadeiras:
  • A segurança Java 2 é aplicada.
  • O código do aplicativo recebe a permissão accessRuntimeClasses WebSphereRuntimePermission no arquivo was.policy localizado no arquivo EAR (Enterprise Archive) do aplicativo. Por exemplo, o código do aplicativo recebe a permissão quando a seguinte linha é encontrada no arquivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

A opção Restringir o acesso a dados de autenticação de recursos inclui a verificação de permissão de segurança Java 2 de baixa granularidade para o mapeamento de proprietários padrão da implementação WSPrincipalMappingLoginModule. Deve-se conceder permissão explícita aos aplicativos Java 2 Platform, Enterprise Edition (Java EE), que usam a implementação WSPrincipalMappingLoginModule diretamente no login do Java Authentication and Authorization Service (JAAS), quando as opções Usar a segurança Java 2 para restringir o acesso do aplicativo aos recursos locais e Restringir o acesso aos dados de autenticação do recurso estiverem ativadas.

Informações Valor
Padrão: Desativada

Região do Usuário:

This section enables you to configure the user registry for the security domain. É possível configurar separadamente qualquer registro que é utilizado no nível de domínio.

Ao configurar um registro no nível do domínio, você pode optar por definir o nome de sua própria região para o registro. O nome de região distingue um registro do usuário de outro. O nome da região é utilizado em vários lugares – no painel de login do cliente Java para avisar o usuário, no cache de autenticação e durante o uso de autorização nativa.

No nível de configuração global, o sistema cria a região para o registro do usuário. Em releases anteriores do WebSphere Application Server, somente um registro do usuário é configurado no sistema. Quando você tem domínios de segurança múltiplos, é possível configurar registros múltiplos no sistema. Para que as regiões sejam exclusivas nesses domínios, configure o nome de sua própria região para um domínio de segurança. Também é possível escolher o sistema para criar um nome de região exclusivo se ele tiver certeza de que é exclusivo. Nesse caso, o nome da região será baseado no registro que está sendo utilizado.

Associação de Confiança:

Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos para servidores de aplicativos.

A associação de confiança possibilita a integração de servidores de segurança do IBM® WebSphere Application Server e de terceiros. Mais especificamente, um servidor proxy reverso pode atuar como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.

Os Trust Association Interceptors do Tivoli Access Manager só podem ser configurados no nível global. A configuração de domínio também pode utilizá-los, mas não pode ter uma versão diferente do trust association interceptor. Apenas uma instância do Trust Association Interceptor do Tivoli Access Manager pode existir no sistema.

Nota: O uso de TAIs (Trust Association Interceptors) para autenticação SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) é reprovado. Os painéis de autenticação da Web de SPNEGO fornecem uma maneira muito mais fácil de configurar o SPNEGO.

Interceptores

Selecione para acessar ou especificar as informações de confiança para servidores proxy reversos.

Ativar Associação Confiável

Selecione para ativar a integração de servidores de segurança do IBM WebSphere Application Server e de terceiros. Mais especificamente, um servidor proxy reverso pode atuar como um servidor de autenticação de front-end enquanto o produto aplica sua própria política de autorização nas credenciais resultantes transmitidas pelo servidor proxy.

Autenticação da Web de SPNEGO:

Especifica as configurações para Simple and Protected GSS-API Negotiation (SPNEGO) como o mecanismo de autenticação da Web.

A autenticação da Web SPNEGO, que permite a você configurar SPNEGO para autenticação de recurso da Web, pode ser configurada no nível de domínio.

Nota: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos de HTTP para recursos protegidos. No WebSphere Application Server 7.0, essa função foi descontinuada. A autenticação da Web SPNEGO tomou esse lugar para fornecer recarregamento dinâmico dos filtros SPNEGO e para ativar fallback para o método de login do aplicativo.

Segurança RMI/IIOP:

Especifica as configurações para o RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Um ORB (Object Request Broker) gerencia a interação entre clientes e servidores, utilizando o IIOP (Internet InterORB Protocol). Ele permite que clientes façam pedidos e recebam respostas de servidores em um ambiente distribuído em rede.

Ao configurar esses atributos no nível de domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência. You can change the attributes that need to be different at the domain level. The Transport layer settings for CSIv2 inbound communications should be the same for both the global and the domain levels. Se forem diferentes, os atributos de nível do domínio serão aplicados a todos os aplicativos no processo.

Quando um processo se comunica com um outro processo em uma região diferente, a autenticação LTPA e os tokens de propagação são propagados para o servidor de recebimento de dados, a menos que o servidor esteja na lista de regiões confiáveis de saída. Isso pode ser feito utilizando o link Regiões de Autenticação Confiáveis – Saída no painel Comunicação de Saída CSIv2.

Comunicações de Entrada CSIv2

Selecione para especificar as configurações de autenticação para os pedidos que são recebidos e configurações de transporte para conexões que são aceitas por este servidor utilizando o protocolo de autenticação CSI (Common Secure Interoperability) do OMG (Object Management Group).

O WebSphere Application Server possibilita especificar a autenticação IIOP (Internet Inter-ORB Protocol) para pedidos de autenticação de entrada e de saída. Para os pedidos de entrada, é possível especificar o tipo de autenticação aceita, como a autenticação básica.

Comunicações de Saída CSIv2

Selecione para especificar configurações de autenticação para pedidos que são enviados e configurações de transporte para conexões que são iniciadas pelo servidor utilizando o protocolo de autenticação CSI (Common Secure Interoperability) do OMG (Object Management Group).

O WebSphere Application Server possibilita especificar a autenticação IIOP (Internet Inter-ORB Protocol) para pedidos de autenticação de entrada e de saída. Para os pedidos de saída, é possível especificar propriedades como tipo de autenticação, asserção de identidade ou configurações de login que são utilizadas para pedidos para os servidores de recebimento de dados.

Logins do Aplicativo JAAS

Selecione para definir as configurações de login que são utilizadas pelo JAAS.

The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema tem acesso aos logins do JAAS configurados no nível global. The security runtime first checks for the JAAS logins at the domain level. If it does not find them, it then checks for them in the global security configuration. Configure any of these JAAS logins at a domain only when you need to specify a login that is used exclusively by the applications in the security domain.

Apenas para propriedades customizadas e JAAS, após atributos globais serem customizados para um domínio, eles ainda podem ser utilizados pelos aplicativos de usuário.

Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos poderão falhar.

Utilizar Logins Globais e Específicos do Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Logins de Sistema JAAS:

Especifica as definições de configuração para os logins de sistema JAAS. É possível utilizar as configurações de segurança global ou customizar as definições de configuração para um domínio.

Logins de Sistema

Selecione para definir as configurações de login JAAS que são utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, o mapeamento de proprietários e o mapeamento de credenciais

Dados de Autenticação JAAS J2C:

Especifica as configurações para os dados de autenticação JAAS J2C. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

As entradas de dados de autenticação do Java EE (Java 2 Platform, Enterprise Edition) Connector são utilizadas pelos adaptadores de recursos e pelas origens de dados do JDBC (Java DataBase Connectivity).

Utilizar Entradas Globais e Específicas do Domínio

Selecione para especificar as configurações definidas no domínio, como opções para ativar o aplicativo e a segurança Java 2 e para utilizar dados de autenticação qualificados por região.

Java Authentication SPI (JASPI)

Especifica as definições de configuração para um provedor de autenticação Java Authentication SPI (JASPI) e módulos de autenticação associados. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio. Para configurar provedores de autenticação JASPI para um domínio, selecione Customizar para este Domínio e depois é possível ativar JASPI. Selecione Provedores para criar ou editar um provedor de autenticação JASPI.

Nota: O provedor de autenticação JASPI pode ser ativado com provedores configurados no nível de domínio. Por padrão, todos os aplicativos no sistema têm acesso aos provedores de autenticação JASPI configurados no nível global. O tempo de execução de segurança verifica primeiro os provedores de autenticação JASPI no nível de domínio. If it does not find them, it then checks for them in the global security configuration. Configure os provedores de autenticação JASPI em um domínio apenas quando o provedor tiver que ser usado exclusivamente pelos aplicativos nesse domínio de segurança.

Atributos do Mecanismo de Autenticação:

Especifica as várias configurações de cache que devem ser aplicadas ao nível de domínio.

  • Configurações do Cache de Autenticação - Utilize para especificar suas configurações do cache de autenticação. A configuração especificada neste painel é aplicada apenas a este domínio.
  • Tempo Limite de LTPA - É possível configurar um valor de tempo limite de LTPA diferente no nível de domínio. O valor de tempo limite padrão é de 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for definido no nível de domínio, todos os tokens criados no domínio de segurança ao acessar os aplicativos de usuário serão criados com esse tempo de vencimento.
  • Utilize nomes de usuário qualificados por região - Quando essa seleção estiver ativada, os nomes de usuário retornados por métodos, como getUserPrincipal( ) são qualificados com a região de segurança (registro do usuário) utilizada por aplicativos do domínio de segurança.

Provedor de Autorização:

Especifica as configurações para o provedor de autorização. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

É possível configurar um provedor JACC (Java Authorization Contract for Containers) de terceiros externo no nível de domínio. O provedor JACC do Tivoli Access Manager só pode ser configurado no nível global. Os domínios de segurança poderão continuar a utilizá-lo se não substituírem o provedor de autorização por outro provedor JACC ou pela autorização nativa incorporada.

Selecione Autorização Padrão ou Autorização externa utilizando um provedor JAAC. O botão Configurar será ativado apenas quando Autorização externa utilizando um provedor JAAC for selecionado.

[z/OS]Para autorização do SAF (System Authorization Facility), se você configurar o prefixo do perfil do SAF no nível do domínio, ele será aplicado no nível do servidor para que todos os aplicativos (administrativo e usuário) o ativem ou o desativem nesse servidor

[z/OS]

Ativar a Sincronização de Identidades do Encadeamento do Servidor de Aplicativos e do z/OS

Selecione para indicar se uma identidade do encadeamento do sistema operacional deve ser ativada para sincronização com a identidade do Java EE (Java 2 Platform, Enterprise Edition) que será utilizada no tempo de execução do servidor de aplicativos quando um aplicativo for codificado para solicitar essa função.

A sincronização da identidade do sistema operacional com a identidade do Java EE faz com que a identidade do sistema operacional seja sincronizada com o responsável pela chamada autenticado ou com a identidade RunAs delegada em um arquivo de servlet ou de EJB (Enterprise JavaBeans). Essa sincronização ou associação significa que a identidade do responsável pela chamada ou da função de segurança, em vez da identidade da região de servidor, é utilizada para pedidos de serviço do sistema z/OS, como acesso a arquivos.

Se esse valor for configurado no nível do domínio, ele será aplicado no nível do servidor para que todos os aplicativos (administrativo e usuário) o ativem ou o desativem nesse servidor.

Propriedades Personalizadas

Selecione para especificar pares nome-valor, em que o nome é uma chave da propriedade e o valor é uma cadeia.

Set custom properties at the domain level that are either new or different from those at the global level. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos no sistema. The security runtime code first checks for the custom property at the domain level. If it does not find it, it then attempts to obtain the custom property from the global security configuration.

Ligações de Serviços da Web

Clique em Ligações do Conjunto de Políticas Padrão para configurar as ligações de provedor e de cliente padrão do domínio.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sec_domains_edit
Nome do arquivo: usec_sec_domains_edit.html