Configurações de segurança global

Use esta página para configurar a administração e a política de segurança do aplicativo padrão. Esta configuração de segurança se aplica à política de segurança para todas as funções administrativas e é utilizada como uma política de segurança padrão para os aplicativos do usuário. Os domínios de segurança podem ser definidos para substituir e customizar as políticas de segurança para aplicativos de usuário.

Para visualizar esta página do console administrativo, clique em Segurança > Segurança Global.

[AIX Solaris HP-UX Linux Windows][IBM i]A segurança tem alguns impactos em seus aplicativos. Os impactos no desempenho podem variar dependendo das características da carga de trabalho do aplicativo. Você deve primeiro determinar que o nível necessário de segurança esteja ativado para seus aplicativos e, em seguida, medir o impacto de segurança no desempenho de seus aplicativos.

Quando a segurança estiver configurada, valide quaisquer mudanças nas páginas de registro do usuário ou mecanismo de autenticação. Clique em Aplicar para validar as definições do registro do usuário. É feita uma tentativa de autenticar o ID do servidor ou validar o ID admin (se internalServerID for utilizado) para o registro do usuário configurado. A validação das configurações do registro do usuário após a ativação da segurança administrativa pode evitar problemas ao reiniciar o servidor pela primeira vez.

Assistente de Configuração de Segurança

Ativa um assistente que permite configurar as configurações básicas administrativas e de segurança de aplicativos. Esse processo restringe tarefas administrativas e aplicativos a usuários autorizados.

Utilizando esse assistente, é possível configurar a segurança do aplicativo, a segurança do recurso ou J2C (Java™ 2 Connector) e um registro do usuário. Você pode configurar um registro existente e ativar a segurança administrativa, de aplicativos e de recursos.

Ao aplicar alterações feitas por meio da utilização do assistente de configuração da segurança, a segurança administrativa é ativada por padrão.

Relatório de Configuração de Segurança

Ativa um relatório que gera e exibe as atuais configurações de segurança do servidor de aplicativos. Informações são reunidas sobre configurações de segurança principais, grupos e usuários administrativos, funções de nomenclatura CORBA e proteção de cookies. Quando vários domínios de segurança são configurados, o relatório exibe a configuração de segurança associada a cada domínio.

Uma limitação atual do relatório é que não exibe as informações de segurança no nível do aplicativo. O relatório também não exibe informações sobre a segurança Java Message Service (JMS), segurança de barramento ou Web Services Security.

Ativar Segurança Administrativa

Especifica se a segurança administrativa deve ser ativada para esse domínio do servidor de aplicativos. A segurança administrativa requer que usuários sejam autenticados antes de obter controle administrativo do servidor de aplicativos.

Para obter informações adicionais, consulte os links relacionados para as funções administrativas e a autenticação administrativa.

Ao ativar a segurança, defina a configuração do mecanismo de autenticação e especifique um ID de usuário e uma senha válidos (ou um ID admin válido quando o recurso internalServerID for utilizado) na configuração do registro selecionado.

Nota: Há uma diferença entre o ID do usuário (que é normalmente chamado de ID admin), que identifica administradores que gerenciam o ambiente e um ID de servidor, que é utilizado para comunicação de servidor para servidor. Não é necessário digitar um ID de servidor e senha quando estiver utilizando o recurso de ID do servidor interno. No entanto, como opção, é possível especificar um ID de servidor e senha. Para especificar o ID do servidor e a senha, execute as seguintes etapas:
  1. Clique em Segurança > Segurança Global.
  2. No Repositório de Contas de Usuários, selecione o repositório e clique em Configurar.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Especifique o ID do servidor e a senha na seção Identidade do Usuário do Servidor.

[z/OS]É possível especificar apenas a opção Tarefa iniciada de z/OS quando o registro do usuário é S.O. Local.

Se você tiver problemas, como a não inicialização do servidor após a ativação da segurança no domínio de segurança, ressincronize todos os arquivos da célula para esse nó. Para ressincronizar arquivos, execute o seguinte comando a partir do nó: syncNode -username your_userid -password your_password. Este comando conecta ao gerenciador de implementação e ressincroniza todos os arquivos.

[IBM i][z/OS]Se o servidor não reiniciar depois da segurança administrativa ser ativada, será possível desativar a segurança. Vá para o diretório app_server_root/bin e execute o comando wsadmin -conntype NONE. No prompt wsadmin>, digite securityoff e, em seguida, digite exit para retornar a um prompt de comandos. Inicie novamente o servidor com a segurança desativada para verificar as definições incorretas por meio do console administrativo.

[z/OS]Usuários do Registro do Usuário do S.O. Local: Ao selecionar S.O. Local como o registro do usuário ativo, não é necessário fornecer uma senha na configuração do registro do usuário.

Informações Valor
Padrão: Enabled

Ativar a Segurança do Aplicativo

Permite a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativo

Em liberações anteriores do WebSphere Application Server, quando um usuário ativava a segurança global, tanto a segurança administrativa quanto a do aplicativo eram ativadas. No WebSphere Application Server Versão 6.1, a noção anterior de segurança global foi dividida em segurança administrativa e segurança do aplicativo, cada qual podendo ser ativada separadamente.

Como resultado dessa divisão, é necessário que os clientes do WebSphere Application Server saibam se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Para ativar a segurança do aplicativo, é necessário ativar a segurança administrativa. A segurança do aplicativo é efetivada apenas quando a segurança administrativa está ativada.

Informações Valor
Padrão: Desativada

Usar segurança Java 2 para restringir o acesso ao aplicativo aos recursos locais

Especifica se a verificação de permissão de segurança Java 2 dever ser ativada ou desativada. Por padrão, o acesso a recursos locais não é restringido. É possível escolher desativar a segurança Java 2, mesmo quando a segurança do aplicativo estiver ativada.

Quando a opção Usar segurança Java 2 para restringir o acesso ao aplicativo aos recursos locais for ativada, e se um aplicativo requerer mais permissões de segurança Java 2 do que as concedidas na política padrão, o aplicativo poderá falhar e não ser executado corretamente até que as permissões requeridas sejam concedidas no arquivo app.policy ou arquivo was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que não possuem todas as permissões requeridas. Consulte os links relacionados para obter mais informações sobre a segurança Java 2.

Informações Valor
Padrão: Desativada

Avisar se os Aplicativos Receberem Permissões Customizadas

Especifica que, durante a implementação e o início do aplicativo, o tempo de execução de segurança emitirá um aviso se os aplicativos receberem permissões customizadas. Permissões customizadas são permissões que são definidas pelos aplicativos do usuário, não permissões da API Java. As permissões da API Java são permissões nos pacotes java.* e javax.*.

O servidor de aplicativos fornece suporte ao gerenciamento de arquivo da política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um gabarito de permissões para um tipo específico de recurso. Nenhuma base de código está definida e nenhuma base de código relativa é utilizada no modelo de política dinâmica. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que você não deseja que um aplicativo tenha de acordo com a especificação J2EE 1.4. Para obter informações adicionais sobre permissões, consulte o link relacionado sobre os arquivos de política de segurança do Java 2.

Importante: Não é possível ativar essa opção sem ativar a opção Usar segurança Java 2 para restringir o acesso do aplicativo a recursos locais.
Informações Valor
Padrão: Desativada

Restringir Acesso a Dados de Autenticação do Recurso

Ative esta opção para restringir o acesso do aplicativo a dados sigilosos de autenticação de mapeamento do Java Connector Architecture (JCA).

É recomendável ativar esta opção quando as duas condições a seguir forem verdadeiras:
  • A segurança Java 2 é executada.
  • O código do aplicativo recebe a permissão accessRuntimeClasses WebSphereRuntimePermission no arquivo was.policy localizado no arquivo EAR (Enterprise Application Archive). Por exemplo, o código do aplicativo recebe a permissão quando a seguinte linha é encontrada no arquivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

A opção Restringir Acesso aos Dados de Autenticação dos Recursos inclui a verificação de permissão de segurança Java 2 refinada no mapeamento do proprietário padrão da implementação WSPrincipalMappingLoginModule. Você deve conceder permissão explícita aos aplicativos J2EE (Java 2 Platform, Enterprise Edition) que utilizam a implementação WSPrincipalMappingLoginModule diretamente no login JAAS (Java Authentication and Authorization Service) quando as opções Utilizar Segurança Java 2 para Restringir o Acesso do Aplicativo a Recursos Locais e Restringir Acesso a Dados de Autenticação de Recursos estão ativadas.

Informações Valor
Padrão: Desativada

Definição de Região Atual

Especifica a configuração atual para o repositório de usuários ativos.

Este campo é de leitura.

Definições de Regiões Disponíveis

Especifica os repositórios de contas de usuários disponíveis.

As seleções aparecem em uma lista drop-down que contém:
  • Sistema operacional local
  • Registro LDAP Independente
  • Registro customizado independente
[AIX Solaris HP-UX Linux Windows][z/OS]

Configurar como Atual

Ativa o repositório do usuário após sua configuração.

Você pode definir configurações para um dos seguintes repositórios de usuários:
Repositórios Federados
Especifique essa configuração para gerenciar perfis em vários repositórios sob uma única região. A região pode consistir em identidades em:
  • O repositório baseado em arquivos que é interno do sistema
  • Um ou mais repositórios externos
  • O repositório interno baseado em arquivo e em um ou mais repositórios externos
Nota: Somente um usuário com privilégios de administrador pode visualizar a configuração dos repositórios federados.
Sistema operacional local

[z/OS]Especifique essa configuração se quiser que o servidor de segurança compatível com Resource Access Control Facility (RACF) ou System Authorization Facility (SAF) configurado seja utilizado como o registro do usuário do servidor de aplicativos.

[AIX Solaris HP-UX Linux Windows][IBM i]Não é possível usar localOS em nós múltiplos ou ao executar um não raiz em uma plataforma UNIX.

[AIX Solaris HP-UX Linux Windows]O registro do sistema operacional local apenas é válido quando é usado um controlador de domínio ou quando a célula do WebSphere Application Server, Network Deployment reside em uma única máquina. No último caso, não é possível espalhar vários nós em uma célula por várias máquinas, pois esta configuração, utilizando o registro do usuário do S.O. local, não é válida.

Registro LDAP Independente

Especifique essa configuração para utilizar as configurações do registro LDAP independente quando usuários e grupos residem em um diretório LDAP externo. Quando a segurança estiver ativada e houver mudanças das propriedades, vá para a página Segurança > Segurança Global e clique em Aplicar ou OK para validar as mudanças.

Nota: Como vários servidores LDAP são suportados, essa configuração não sugere um registro LDAP.
Registro customizado independente
Especifique essa configuração para implementar o seu próprio registro customizado independente que implementa a interface com.ibm.websphere.security.UserRegistry. Quando a segurança estiver ativada e houver mudanças de propriedades, vá para a página Segurança Global e clique em Aplicar ou OK para validar as mudanças.
Informações Valor
Padrão: Desativada

Configurar...

Selecione para configurar as configurações de segurança locais.

Segurança da Web e SIP

Em Autenticação, expanda segurança da Web e SIP para visualizar links para:

  • Configurações Gerais
  • SSO (Conexão Única)
  • Autenticação da Web de SPNEGO
  • Associação Confiável

Configurações Gerais

Selecione para especificar as configurações para autenticação da Web.

SSO (Conexão Única)

Selecione para especificar os valores de configuração para conexão única (SSO).

Com o suporte de SSO, os usuários da web podem autenticar apenas uma vez ao acessar os recursos do WebSphere Application Server, como HTML, arquivos JavaServer Pages (JSP), servlets, enterprise beans e os recursos do Lotus Domino.

Autenticação da Web de SPNEGO

O Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) oferece uma maneira para que os Web clients e o servidor negociem o protocolo de autenticação da Web que é usado para permitir comunicações.

Associação Confiável

Selecione para especificar as configurações para a associação de confiança. A associação de confiança é utilizada para conectar servidores proxy reversos para servidores de aplicativos.

É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

Nota: O uso dos TAIs (Trust Association Interceptors) para autenticação SPNEGO agora está reprovado. As páginas de autenticação da web SPNEGO agora fornecem uma forma mais fácil de configurar SPNEGO.

Segurança RMI/IIOP

Em Autenticação, expanda segurança RMI/IIOP para visualizar links para:

  • Comunicações de Entrada CSIv2
  • Comunicações de Saída CSIv2

Comunicações de Entrada CSIv2

Selecione para especificar as configurações de autenticação para os pedidos que são recebidos e configurações de transporte para conexões que são aceitas por este servidor utilizando o protocolo de autenticação CSI (Common Secure Interoperability) do OMG (Object Management Group).

Os recursos de autenticação incluem três camadas de autenticação que podem ser utilizadas simultaneamente:
  • Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
  • Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
  • [IBM i][AIX Solaris HP-UX Linux Windows]Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.

Comunicações de Saída CSIv2

Selecione para especificar configurações de autenticação para pedidos que são enviados e configurações de transporte para conexões que são iniciadas pelo servidor utilizando o protocolo de autenticação CSI (Common Secure Interoperability) do OMG (Object Management Group).

Os recursos de autenticação incluem três camadas de autenticação que podem ser utilizadas simultaneamente:
  • Camada de Atributo CSIv2. A camada de atributo pode conter um token de identidade que é uma identidade de um servidor de envio de dados que já foi autenticado. A camada de identidade possui a prioridade mais alta, seguida pela camada de mensagem e, em seguida, pela camada de transporte. Se um cliente enviar todas as três, apenas a camada de identidade será utilizada. A única forma de utilizar o certificado cliente SSL como a identidade é se ele for a única informação apresentada durante o pedido. O cliente coleta o IOR (Interoperable Object Reference) do espaço de nomes e lê os valores do componente marcado para determinar o que o servidor precisa para segurança.
  • Camada de Transporte CSIv2. A camada de transporte, que é a camada inferior, pode conter um certificado de cliente SSL (Secure Sockets Layer) como a identidade.
  • [IBM i][AIX Solaris HP-UX Linux Windows]Camada de Mensagem CSIv2. A camada de mensagem pode conter um ID do usuário e senha ou um token autenticado com uma expiração.

Serviço de Autenticação e Autorização Java

Em Autenticação, expanda autenticação Java e serviço de autorização para visualizar links para:

  • Logins do Aplicativo
  • Logins do Sistema
  • Dados de Autenticação de J2C

Logins do Aplicativo

Selecione para definir as configurações de login que são utilizadas pelo JAAS.

Não remova as configurações de login ClientContainer, DefaultPrincipalMapping e WSLogin porque outros aplicativos podem utilizá-los. Se essas configurações forem removidas, outros aplicativos podem falhar.

Logins do Sistema

Selecione para definir as configurações de login JAAS utilizadas pelos recursos do sistema, incluindo o mecanismo de autenticação, mapeamento principal e mapeamento credencial.

Dados de Autenticação de J2C

Selecione para especificar as configurações para os dados de autenticação Java Authentication and Authorization Service (JAAS) do Java 2 Connector (J2C).

É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

LTPA

Selecione para criptografar as informações sobre autenticação de modo que o servidor de aplicativos possa enviar o dados de um servidor a outro de uma maneira segura.

A criptografia das informações sobre autenticação que são trocadas entre os servidores envolve o mecanismo LTPA (Lightweight Third-Party Authentication).

Kerberos e LTPA

Selecione para criptografar as informações sobre autenticação de modo que o servidor de aplicativos possa enviar o dados de um servidor a outro de uma maneira segura.

A criptografia das informações sobre autenticação que são trocadas entre os servidores envolve o mecanismo Kerberos.
Nota: O Kerberos deve ser configurado antes que essa opção possa ser selecionada.

Configuração do Kerberos

Selecione para criptografar informações sobre autenticação para que o servidor de aplicativos possa enviar os dados de um servidor para outro de maneira segura.

A criptografia de informações sobre autenticação trocada entre os servidores envolve o mecanismo KRB5 ou LTPA.

Configurações do Cache de Autenticação

Selecione para definir suas configurações do cache de autenticação.

Ativar Java Authentication SPI (JASPI)

Selecione para ativar o uso da autenticação Java Authentication SPI (JASPI).

Em seguida, é possível clicar em Provedores para criar ou editar um provedor de autenticação JASPI e módulos de autenticação associados na configuração de segurança global.

Utilizar Nomes de Usuário Qualificados por Região

Especifica que os nomes de usuário retornados por métodos, como o método getUserPrincipal(), são qualificados com a região de segurança na qual residem.

Domínios de Segurança

Utilize o link Domínio de Segurança para configurar as configurações adicionais de segurança para aplicativos do usuário.

Por exemplo, se você deseja utilizar um registro de usuário diferente para um conjunto de aplicativos do usuário que não seja o utilizado no nível global, é possível criar uma configuração de segurança com esse registro de usuário e associá-lo a esse conjunto de aplicativos. Essas configurações adicionais de segurança podem ser associadas a diversos escopos (célula, clusters/servidores, SIBuses). Depois que as configurações de segurança tiverem sido associadas a um escopo, todos os aplicativos do usuário nesse escopo utilizam essa configuração de segurança. Consulte Domínios de Segurança Múltiplos para obter informações mais detalhadas.

Para cada atributo de segurança, é possível utilizar as configurações de segurança globais ou customizar as configurações para o domínio.

Provedores de Autorização Externa

Selecione especificar se deve utilizar a configuração de autorização padrão ou um provedor de autorização externo.

Os fornecedores externos devem ser baseados na especificação de Java Authorization Contract for Containers (JACC) para manipular a autorização Java Platform, Enterprise Edition (Java EE). Não modifique nenhuma configuração nas páginas do provedor de autorização, a não ser que você tenha configurado um provedor de segurança externo como um provedor de autorização JACC.

Propriedades Personalizadas

Selecione especificar pares de nome-valor de dados, em que o nome é uma chave da propriedade e o valor é uma cadeia.


Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_secureadminappinfra
Nome do arquivo: usec_secureadminappinfra.html