Configurações de segurança global
Use esta página para configurar a administração e a política de segurança do aplicativo padrão. Esta configuração de segurança se aplica à política de segurança para todas as funções administrativas e é utilizada como uma política de segurança padrão para os aplicativos do usuário. Os domínios de segurança podem ser definidos para substituir e customizar as políticas de segurança para aplicativos de usuário.
Para visualizar esta página do console administrativo, clique em
.A segurança tem alguns impactos em seus aplicativos. Os impactos no desempenho podem variar dependendo das características da carga de trabalho do aplicativo. Você deve primeiro determinar que o nível necessário de segurança esteja ativado para seus aplicativos e, em seguida, medir o impacto de segurança no desempenho de seus aplicativos.
Quando a segurança estiver configurada, valide quaisquer mudanças nas páginas de registro do usuário ou mecanismo de autenticação. Clique em Aplicar para validar as definições do registro do usuário. É feita uma tentativa de autenticar o ID do servidor ou validar o ID admin (se internalServerID for utilizado) para o registro do usuário configurado. A validação das configurações do registro do usuário após a ativação da segurança administrativa pode evitar problemas ao reiniciar o servidor pela primeira vez.
Assistente de Configuração de Segurança
Ativa um assistente que permite configurar as configurações básicas administrativas e de segurança de aplicativos. Esse processo restringe tarefas administrativas e aplicativos a usuários autorizados.
Utilizando esse assistente, é possível configurar a segurança do aplicativo, a segurança do recurso ou J2C (Java™ 2 Connector) e um registro do usuário. Você pode configurar um registro existente e ativar a segurança administrativa, de aplicativos e de recursos.
Ao aplicar alterações feitas por meio da utilização do assistente de configuração da segurança, a segurança administrativa é ativada por padrão.
Relatório de Configuração de Segurança
Ativa um relatório que gera e exibe as atuais configurações de segurança do servidor de aplicativos. Informações são reunidas sobre configurações de segurança principais, grupos e usuários administrativos, funções de nomenclatura CORBA e proteção de cookies. Quando vários domínios de segurança são configurados, o relatório exibe a configuração de segurança associada a cada domínio.
Uma limitação atual do relatório é que não exibe as informações de segurança no nível do aplicativo. O relatório também não exibe informações sobre a segurança Java Message Service (JMS), segurança de barramento ou Web Services Security.
Ativar Segurança Administrativa
Especifica se a segurança administrativa deve ser ativada para esse domínio do servidor de aplicativos. A segurança administrativa requer que usuários sejam autenticados antes de obter controle administrativo do servidor de aplicativos.
Para obter informações adicionais, consulte os links relacionados para as funções administrativas e a autenticação administrativa.
Ao ativar a segurança, defina a configuração do mecanismo de autenticação e especifique um ID de usuário e uma senha válidos (ou um ID admin válido quando o recurso internalServerID for utilizado) na configuração do registro selecionado.
- Clique em .
- No Repositório de Contas de Usuários, selecione o repositório e clique em Configurar.
Especifique o ID do servidor e a senha na seção Identidade do Usuário do Servidor.
É possível especificar apenas a opção Tarefa iniciada de z/OS quando o registro do usuário é S.O. Local.
Se você tiver problemas, como a não inicialização do servidor após a ativação da segurança no domínio de segurança, ressincronize todos os arquivos da célula para esse nó. Para ressincronizar arquivos, execute o seguinte comando a partir do nó: syncNode -username your_userid -password your_password. Este comando conecta ao gerenciador de implementação e ressincroniza todos os arquivos.
Se o servidor não reiniciar depois da segurança administrativa ser ativada, será possível desativar a segurança. Vá para o diretório app_server_root/bin
e execute o comando wsadmin -conntype NONE. No prompt wsadmin>,
digite securityoff e, em seguida, digite exit para retornar a um prompt de
comandos. Inicie novamente o servidor com a segurança desativada para verificar as definições incorretas por meio do console administrativo.
Usuários do Registro do Usuário do S.O. Local: Ao
selecionar S.O. Local como o registro do usuário ativo, não é necessário
fornecer uma senha na configuração do registro do usuário.
Informações | Valor |
---|---|
Padrão: | Enabled |
Ativar a Segurança do Aplicativo
Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo
Em liberações anteriores do WebSphere Application Server, quando um usuário ativava a segurança global, tanto a segurança administrativa quanto a do aplicativo eram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global foi dividida em segurança administrativa e segurança do aplicativo, cada qual podendo ser ativada separadamente.
Como resultado dessa divisão, é necessário que os clientes do WebSphere Application Server saibam se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, é necessário ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.
Informações | Valor |
---|---|
Padrão: | Desativada |
Usar segurança Java 2 para restringir o acesso ao aplicativo aos recursos locais
Especifica se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. É possível escolher desativar a segurança Java 2, mesmo quando a segurança do aplicativo estiver ativada.
Quando a opção Usar segurança Java 2 para restringir o acesso ao aplicativo aos recursos locais for ativada, e se um aplicativo requerer mais permissões de segurança Java 2 do que as concedidas na política padrão, o aplicativo poderá falhar e não ser executado corretamente até que as permissões requeridas sejam concedidas no arquivo app.policy ou arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas. Consulte os links relacionados para obter mais informações sobre a segurança Java 2.
Informações | Valor |
---|---|
Padrão: | Desativada |
Avisar se os Aplicativos Receberem Permissões Customizadas
Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões que são definidas pelos aplicativos do usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.
O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um gabarito de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação J2EE 1.4. Para obter informações adicionais sobre permissões, consulte o link relacionado sobre os arquivos de política de segurança do Java 2.
Informações | Valor |
---|---|
Padrão: | Desativada |
Restringir Acesso a Dados de Autenticação do Recurso
Ative esta opção para restringir o acesso do aplicativo a dados sigilosos de autenticação de mapeamento do Java Connector Architecture (JCA).
- A segurança Java 2 é executada.
- O código do aplicativo recebe a permissão accessRuntimeClasses WebSphereRuntimePermission no arquivo
was.policy localizado no arquivo EAR (Enterprise Application Archive). Por exemplo, o código do aplicativo recebe a permissão quando a seguinte
linha é encontrada no arquivo was.policy:
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
A opção Restringir Acesso aos Dados de Autenticação dos Recursos inclui a verificação de permissão de segurança Java 2 refinada no mapeamento do proprietário padrão da implementação WSPrincipalMappingLoginModule. Você deve conceder permissão explícita aos aplicativos J2EE (Java 2 Platform, Enterprise Edition) que utilizam a implementação WSPrincipalMappingLoginModule diretamente no login JAAS (Java Authentication and Authorization Service) quando as opções Utilizar Segurança Java 2 para Restringir o Acesso do Aplicativo a Recursos Locais e Restringir Acesso a Dados de Autenticação de Recursos estão ativadas.
Informações | Valor |
---|---|
Padrão: | Desativada |
Definição de Região Atual
Especifica a configuração atual para o repositório de usuários ativos.
Este campo é de leitura.
Definições de Regiões Disponíveis
Especifica os repositórios de contas de usuários disponíveis.
- Sistema operacional local
- Registro LDAP Independente
- Registro customizado independente
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Configurar como Atual
Ativa o repositório do usuário após sua configuração.
- Repositórios Federados
- Especifique essa configuração para gerenciar perfis em vários repositórios sob uma única região. A região pode consistir em identidades em:
- O repositório baseado em arquivos que é interno do sistema
- Um ou mais repositórios externos
- O repositório interno baseado em arquivo e em um ou mais repositórios externos
Nota: Somente um usuário com privilégios de administrador pode visualizar a configuração dos repositórios federados. - Sistema operacional local
Especifique essa configuração se quiser que o servidor de segurança compatível com Resource Access Control Facility (RACF) ou System Authorization Facility (SAF) configurado seja utilizado como o registro do usuário do servidor de aplicativos.
Não é possível usar localOS em nós múltiplos ou ao executar um não raiz em uma plataforma UNIX.
O registro do sistema operacional local apenas é válido quando é usado um controlador de domínio ou quando a célula do WebSphere Application Server, Network Deployment reside em uma única máquina. No último caso, não é possível espalhar vários nós em uma célula por várias máquinas, pois esta configuração, utilizando o registro do usuário do S.O. local, não é válida.
- Registro LDAP Independente
Especifique essa configuração para utilizar as configurações do registro LDAP independente quando usuários e grupos residem em um diretório LDAP externo. Quando a segurança estiver ativada e houver mudanças das propriedades, vá para a página Aplicar ou OK para validar as mudanças.
e clique emNota: Como vários servidores LDAP são suportados, essa configuração não sugere um registro LDAP.- Registro customizado independente
- Especifique essa configuração para implementar o seu próprio registro customizado independente que implementa a interface com.ibm.websphere.security.UserRegistry. Quando a segurança estiver ativada e houver mudanças de propriedades, vá para a página Segurança Global e clique em Aplicar ou OK para validar as mudanças.
Informações | Valor |
---|---|
Padrão: | Desativada |
Configurar...
Selecione para configurar as configurações de segurança locais.
Segurança da Web e SIP
Em Autenticação, expanda segurança da Web e SIP para visualizar links para:
- Configurações Gerais
- SSO (Conexão Única)
- Autenticação da Web de SPNEGO
- Associação Confiável
Configurações Gerais
Selecione para especificar as configurações para autenticação da Web.
SSO (Conexão Única)
Selecione para especificar os valores de configuração para conexão única (SSO).
Com o suporte de SSO, os usuários da web podem autenticar apenas uma vez ao acessar os recursos do WebSphere Application Server, como HTML, arquivos JavaServer Pages (JSP), servlets, enterprise beans e os recursos do Lotus Domino.
Autenticação da Web de SPNEGO
O Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) oferece uma maneira para que os Web clients e o servidor negociem o protocolo de autenticação da Web que é usado para permitir comunicações.
Associação Confiável
Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos para servidores de aplicativos.
É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.
Segurança RMI/IIOP
Em Autenticação, expanda segurança RMI/IIOP para visualizar links para:
- Comunicações de Entrada CSIv2
- Comunicações de Saída CSIv2
Comunicações de Entrada CSIv2
Selecione para especificar as configurações de autenticação para os pedidos que são recebidos e configurações de transporte para conexões que são aceitas por este servidor utilizando o protocolo de autenticação CSI (Common Secure Interoperability) do OMG (Object Management Group).
- Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
- Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.
Comunicações de Saída CSIv2
Selecione para especificar configurações de autenticação para pedidos que são enviados e configurações de transporte para conexões que são iniciadas pelo servidor utilizando o protocolo de autenticação CSI (Common Secure Interoperability) do OMG (Object Management Group).
- Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
- Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.
Serviço de Autenticação e Autorização Java
Em Autenticação, expanda autenticação Java e serviço de autorização para visualizar links para:
- Logins do Aplicativo
- Logins do Sistema
- Dados de Autenticação de J2C
Logins do Aplicativo
Selecione para definir as configurações de login que são utilizadas pelo JAAS.
Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos podem falhar.
Logins do Sistema
Selecione para definir as configurações de login JAAS utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, mapeamento principal e mapeamento credencial.
Dados de Autenticação de J2C
Selecione para especificar as configurações para os dados de autenticação Java Authentication and Authorization Service (JAAS) do Java 2 Connector (J2C).
É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.
LTPA
Selecione para criptografar as informações sobre autenticação de modo que o servidor de aplicativos possa enviar o dados de um servidor a outro de uma maneira segura.
A criptografia das informações sobre autenticação que são trocadas entre os servidores envolve o mecanismo LTPA (Lightweight Third-Party Authentication).
Kerberos e LTPA
Selecione para criptografar as informações sobre autenticação de modo que o servidor de aplicativos possa enviar o dados de um servidor a outro de uma maneira segura.
Configuração do Kerberos
Selecione para criptografar informações sobre autenticação para que o servidor de aplicativos possa enviar os dados de um servidor para outro de maneira segura.
A criptografia de informações sobre autenticação trocada entre os servidores envolve o mecanismo KRB5 ou LTPA.
Configurações do Cache de Autenticação
Selecione para definir suas configurações do cache de autenticação.
Ativar Java Authentication SPI (JASPI)
Selecione para ativar o uso da autenticação Java Authentication SPI (JASPI).
Em seguida, é possível clicar em Provedores para criar ou editar um provedor de autenticação JASPI e módulos de autenticação associados na configuração de segurança global.
Utilizar Nomes de Usuário Qualificados por Região
Especifica que os nomes de usuário retornados por métodos, como o método getUserPrincipal(), são qualificados com a região de segurança na qual residem.
Domínios de Segurança
Utilize o link Domínio de Segurança para configurar as configurações adicionais de segurança para aplicativos do usuário.
Por exemplo, se você deseja utilizar um registro de usuário diferente para um conjunto de aplicativos do usuário que não seja o utilizado no nível global, é possível criar uma configuração de segurança com esse registro de usuário e associá-lo a esse conjunto de aplicativos. Essas configurações adicionais de segurança podem ser associadas a diversos escopos (célula, clusters/servidores, SIBuses). Depois que as configurações de segurança tiverem sido associadas a um escopo, todos os aplicativos do usuário nesse escopo utilizam essa configuração de segurança. Consulte Domínios de Segurança Múltiplos para obter informações mais detalhadas.
Para cada atributo de segurança, é possível utilizar as configurações de segurança globais ou customizar as configurações para o domínio.
Provedores de Autorização Externa
Selecione especificar se deve utilizar a configuração de autorização padrão ou um provedor de autorização externo.
Os fornecedores externos devem ser baseados na especificação de Java Authorization Contract for Containers (JACC) para manipular a autorização Java Platform, Enterprise Edition (Java EE). Não modifique nenhuma configuração nas páginas do provedor de autorização, a não ser que você tenha configurado um provedor de segurança externo como um provedor de autorização JACC.
Propriedades Personalizadas
Selecione especificar pares de nome-valor de dados, em que o nome é uma chave da propriedade e o valor é uma cadeia.