Configurando Registros do Sistema Operacional Local

Utilize estas etapas para configurar registros do sistema operacional local.

Antes de Iniciar

Para obter informações detalhadas sobre como utilizar o registro do usuário do sistema operacional local, consulte Registros do Sistema Operacional Local. Essas etapas definem a segurança com base no registro do usuário do sistema operacional local no qual o WebSphere Application Server está instalado.

[AIX Solaris HP-UX Linux Windows]Para fins de segurança, o WebSphere Application Server fornece e suporta a implementação dos registros de sistema operacional Windows, AIX, Solaris e várias versões dos sistemas operacionais Linux. A API (Application Programming Interface) do sistema operacional respectivo é chamada por processos do produto (servidores) para autenticação de um usuário e de outras tarefas relacionadas à segurança (por exemplo, obtenção de informações do usuário ou do grupo). O acesso à essas APIs está restrito a usuários que têm privilégios especiais. Esses privilégios dependem do sistema operacional e são descritos posteriormente neste tópico.

[z/OS]Quando um registro do sistema operacional local é escolhido, a identidade da tarefa iniciada é escolhida como a identidade do servidor. Um ID do usuário e senha não são requeridos para configurar o servidor.

[z/OS]Importante: Cada tarefa iniciada, por exemplo, um controlador, servant ou daemon pode ter uma identidade diferente. Como você deve dar autorizações de recursos diferentes a cada um deles, deve dar IDs de usuários diferentes a controladores e serventes. A Ferramenta de Gerenciamento de Perfil do z/OS configura essas identidades.
[Windows][AIX Solaris HP-UX Linux Windows]Considere as seguintes questões:
  • O ID do servidor deve ser diferente do nome da máquina do Windows onde o produto está instalado. Por exemplo, se o nome da máquina do Windows for vicky e o ID do servidor de segurança for vicky, o sistema do Windows falhará ao obter as informações (informações do grupo, por exemplo) para o usuário vicky.
  • O WebSphere Application Server determina dinamicamente se a máquina é um membro de um domínio do sistema do Windows.
  • O WebSphere Application Server não suporta os domínios confiáveis do Windows.
  • Se uma máquina for um membro de um domínio do Windows, tanto o registro do usuário do domínio quanto o registro do usuário local da máquina participarão de um mapeamento da função de autenticação e segurança.
  • Se for usado um ID de usuário do domínio do Windows para instalar e executar o WebSphere Application Server, é necessário que o ID tenha os seguintes privilégios:
    • Ser um membro dos grupos administrativos do domínio no controlador de domínio
    • Possuir Agir como parte do privilégio no sistema operacional na política de segurança do domínio no controlador de domínio.
    • Possuir Agir como parte do privilégio no sistema operacional na política de segurança local na máquina local.
    • Possuir Logon como um privilégio de serviço na máquina local, se o servidor for executado como um serviço.
  • O registro de usuário do domínio tem precedência sobre o registro de usuário local da máquina e pode ter implicações indesejáveis se os usuários com a mesma senha existirem nos dois registros de usuários.
  • O usuário em que os processos do produto são executados requer os privilégios Administrativo e Fazer parte do sistema operacional para chamar as APIs do sistema operacional Windows que autenticam ou coletam informações do usuário e do grupo. O processo precisa de autoridade especial, que é fornecida por esses privilégios. O usuário neste exemplo não pode ser o igual ao ID do servidor de segurança (o requisito para o qual é um usuário válido no registro). Esse usuário efetua login na máquina (se a linha de comandos for utilizada para iniciar o processo do produto) ou a definição Usuário de Logon no painel de serviços, se os processo do produto tiverem sido iniciados utilizados os serviços.
[AIX Solaris HP-UX Linux Windows]Considere os seguintes pontos:
  • [AIX HP-UX Solaris][Linux]O usuário sob o qual os processos do produto são executados precisam do privilégio root. Esse privilégio é necessário para chamar as APIs do sistema operacional para autenticar ou coleçãor informações sobre o usuário e o grupo. O processo precisa de autoridade especial, que é fornecida pelo privilégio root. Esse usuário não pode ser o mesmo que o ID do servidor de segurança (o requisito é que deveria ser um usuário válido no registro). Esse usuário efetua login na máquina e executa os processos do produto.
  • [AIX HP-UX Solaris]O usuário que ativa a segurança administrativa deve ter o privilégio root se utilizar o registro do sistema operacional local. Caso contrário, um erro de validação com falha será exibido.
  • [Linux]É possível precisar ter o arquivo shadow de senha em seu sistema.

Sobre Esta Tarefa

[z/OS]Ao configurar um registro do usuário para o WebSphere Application Server, o SAF (System Authorization Facility) trabalha em conjunto com o registro do usuário para autorizar os aplicativos a serem executados no servidor. Para obter mais informações sobre as capacidades de SAF, consulte Registros de Usuários do System Authorization Facility. Conclua as seguintes etapas para configurar propriedades adicionais que estão associadas com o registro do usuário do S.O. local e a configuração SAF.

[z/OS]Importante: O sistema operacional local não é um repositório de conta de usuário válido quando se tem um ambiente de células mistas que inclui nós da plataforma z/OS e não z/OS.

[AIX Solaris HP-UX Linux Windows][IBM i]As etapas a seguir são necessárias para executar essa tarefa inicialmente ao configurar a segurança pela primeira vez.

Procedimento

  1. Clique em Segurança > Segurança Global.
  2. No repositório Conta do Usuário, selecione Sistema Operacional Local e clique em Configurar.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Digite um nome do usuário válido no campo Nome do Usuário Administrativo Primário. Esse valor é o nome de um usuário com privilégios administrativos que é definido no registro. Esse nome do usuário é utilizado para acessar o console administrativo ou utilizado pelo wsadmin.
  4. [z/OS]Se a autorização de SAF não estiver ativada, digite um nome de usuário válido no campo Nome de usuário administrativo primário. Esse valor é o nome de um usuário com privilégios administrativos que é definido no registro. Esse nome do usuário é utilizado para acessar o console administrativo ou utilizado pelo wsadmin.
  5. Opcional: [z/OS]Selecione a opção Ignorar distinção entre maiúsculas e minúsculas para autorização para que o WebSphere Application Server realize uma verificação de autorização sem diferenciar maiúsculas de minúsculas ao utilizar a autorização padrão.
  6. Clique em Aplicar.
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Selecione a opção Identidade do Servidor Gerada Automaticamente ou Identidade do Servidor Armazenada no Repositório. Se você selecionar a opção Identidade de Servidor que É Armazenada no Repositório, digite as seguintes informações:
    ID do usuário do servidor ou usuário administrativo
    Especifique o nome abreviado da conta escolhida na segunda etapa.
    Senha do usuário do servidor
    Especifique a senha da conta escolhida na segunda etapa.
  8. [z/OS]Selecione Identidade do servidor criada automaticamente ou Identidade do usuário para a tarefa iniciada do z/OS.
  9. [IBM i]Digite um nome de perfil de usuário válido no campo Nome do usuário administrativo primário.

    O Nome do Usuário Administrativo Primário especifica o perfil do usuário a ser utilizado quando o servidor realiza a autenticação no sistema operacional subjacente. Essa identidade é também o usuário que tem autoridade inicial para acessar o aplicativo administrativo através do console administrativo. O ID do usuário administrativo é comum a todos os registros de usuários. O ID administrativo é um membro do registro escolhido e possui privilégios especiais no WebSphere Application Server. No entanto, ele não tem privilégios especiais no registro que ele representa. Ou seja, é possível selecionar qualquer ID de usuário válido no registro para utilizar como o ID do usuário administrativo ou o ID do usuário do servidor.

    Para o campo Nome do usuário administrativo primário, é possível especificar qualquer perfil que atenda a estes critérios:
    • O perfil do usuário tem um status igual a *ENABLED.
    • O perfil do usuário tem uma senha válida.
    • O perfil do usuário não é utilizado como um perfil de grupo.
      Importante: Um perfil de grupo tem um número de ID de grupo exclusivo designado, que não é designado para um perfil de usuário regular. Execute o comando DSPUSRPRF (Display User Profile) para determinar se o perfil do usuário que você deseja utilizar como o Nome do Usuário Administrativo Primário tem um número de ID de grupo definido. Se o campo ID do Grupo estiver configurado como *NONE, será possível usar o perfil do usuário como o Nome do usuário administrativo primário.
  10. Opcional: [z/OS]Ative e configure a autorização SAF.
    1. Clique em Segurança > Segurança Global > Provedor de Autorização Externa.
    2. Selecione a opção Autorização SAF (System Authorization Facility) para ativar SAF como o provedor de autorização.
    3. Em Itens Relacionados, clique em Autorização SAF do z/OS para configurar a autorização SAF. Para ver uma explicação das opções de autorização SAF, consulte Autorização do z/OS System Authorization Facility.
  11. Clicar em OK.

    O console administrativo não valida o ID do usuário nem a senha quando você clica em OK. A validação só é concluída quando você clica em OK ou Aplicar no painel Segurança Global. Primeiro, certifique-se de selecionar Sistema Operacional Local como a definição de região disponível na seção Repositório de Conta de Usuário e clique em Configurar como Atual. Se a segurança já estiver ativada e você tiver alterado as informações do usuário ou da senha nesse painel, certifique-se de ir para o painel Segurança Global e clique em OK ou Aplicar para validar suas alterações. Se suas alterações não forem validadas, o servidor pode não ser iniciado.

    Importante: Até você autorizar outros usuários para executar as funções administrativas, é possível acessar somente o console administrativo com o ID do usuário e a senha do servidor especificados. Para obter informações adicionais, consulte Autorizando Acesso a Funções Administrativas.

Resultados

Para que as alterações neste painel sejam efetivadas, é necessário salvar, parar e iniciar todos os servidores do produto, incluindo gerenciadores de implementação, nós e servidores de aplicativos. Se o servidor for ativado sem nenhum problema, a configuração estará correta.

Após concluir essas etapas, você terá configurado o WebSphere Application Server para utilizar o registro do sistema operacional local para identificar os usuários autorizados.

O que Fazer Depois

Execute as demais etapas para ativar a segurança. Para obter informações adicionais, consulte Ativando a Segurança.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
Nome do arquivo: tsec_localos.html