Ativando a Segurança para a Região

Utilize este tópico para ativar a segurança do IBM® WebSphere Application Server. Você deve ativar a segurança administrativa para que todas as outras configurações de segurança funcionem.

Sobre Esta Tarefa

O WebSphere Application Server utiliza a criptografia para proteger dados sensíveis e assegurar confidencialidade e integridade entre o WebSphere Application Server e outros componentes na rede. A criptografia também é usada pela Segurança de serviços da Web quando certas restrições de segurança são configuradas para o aplicativo de serviço da Web.

[AIX Solaris HP-UX Linux Windows][z/OS]As bibliotecas WebSphere Application Server uses Java™ Secure Sockets Extension (JSSE) e Java Cryptography Extension (JCE) no Software Development Kit (SDK) executam essa criptografia. O SDK fornece arquivos de políticas de jurisdição sólidas mas limitadas. Os arquivos de políticas irrestritas permitem desempenhar criptografia de força total e aprimorar o desempenho.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server fornece um SDK 6 que contém arquivos de políticas de jurisdição fortes, porém limitados. Você pode fazer download de arquivos de políticas irrestritos a partir do Web site a seguir: Developer Kit IBM : Informações de Segurança.

Evitar Problemas Evitar Problemas: Fix packs que incluem atualizações para o Software Development Kit (SDK) podem sobrescrever arquivos de políticas irrestritas e o arquivo cacerts. Faça backup dos arquivos de políticas irrestritos e do arquivo cacerts antes de aplicar um fix pack e reaplique esses arquivos após o fix pack ser aplicado. Esses arquivos estão localizados no diretório {was_install_directory}\java\jre\lib\security.gotcha
Importante: O país de origem pode restringir a importação, posse, uso ou a reexportação para outro país de software de criptografia. Antes de fazer o download ou de usar os arquivos de políticas não-restritas, você deverá consultar as leis do seu país, as regulamentações e as políticas referentes à importação, posse, uso e reexportação do software criptografado para determinar se ele é permitido.
Conclua as seguintes etapas para fazer download e instalar os novos arquivos de políticas:
  1. Clique em Java SE 6
  2. Role a página para baixo e clique em Arquivos de Políticas do IBM SDK.

    Os arquivos de Políticas JCE irrestritos para Web site SDK 6 aparecem.

  3. Clique em Registrar e forneça seu ID e senha da IBM.com.
  4. Selecione Arquivos de Políticas JCE Irrestritas para SDK 6 e clique em Continuar.
  5. Visualize a licença e clique em Concordo para continuar.
  6. Clique em Fazer Download Agora.
  7. Extraia os arquivos de políticas de jurisdição ilimitada que estão empacotados no arquivo compactado. O arquivo compactado contém um arquivo US_export_policy.jar e um arquivo local_policy.jar.
  8. [AIX Solaris HP-UX Linux Windows][IBM i]Em sua instalação do WebSphere Application Server, vá para o diretório $JAVA_HOME/jre/lib/security faça backup de seus arquivos US_export_policy.jar e local_policy.jar.
  9. [z/OS]Na sua instalação do WebSphere Application Server, monte a leitura/gravação HFS do seu produto. Acesse o diretório $JAVA_HOME/jre/lib/security e faça backup dos seus arquivos US_export_policy.jar e local_policy.jar.
  10. Substitua seus arquivos US_export_policy.jar e local_policy.jar por dois arquivos que você transferiu por download do Web site IBM.com.
  11. [z/OS]Remonte seu produto HFS como somente leitura.
[z/OS]O Software Development Kit (SDK) integrado é fornecido com arquivos Java archive (JAR) da política de jurisdição irrestritos. Portanto, em vez de fazer download desses arquivos do Web site, é possível simbolicamente indicar link para os arquivos conforme permitido pelos regulamentos locais de seu país. Estes arquivos de políticas sem restrições estão no diretório install_root/java/demo/jce/policy-files/unrestricted/. Os comandos baseados em UNIX a seguir permitem que você vincule simbolicamente a esses arquivos:
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the original policy .jar files. Because a backup is
# automatically present in the smpe.home HFS, an explicit
# backup is not needed:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create
# the symbolic links to the unrestricted policy files:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
Para remover os links simbólicos para os arquivos de políticas sem restrições no diretório demo e vincular aos arquivos originais, use os comandos baseados em UNIX a seguir:
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the current policy .jar files. You might want
# to back up the following files:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create 
# symbolic links to the smpe HFS where the original files 
# are kept: 
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

Conclua as seguintes etapas para ativar a segurança para o domínio:

Procedimento

  1. Ativar segurança administrativa no WebSphere Application Server.

    Para obter informações adicionais, consulte Ativando a Segurança. É importante clicar em Segurança > Segurança Global. Selecione uma definição de região disponível na lista e, em seguida, clique em Configurar como Atual. Salve a configuração no repositório. Verifique se a validação que ocorre após você clicar em OK no painel Segurança > Segurança Global é bem-sucedida antes de continuar. Se a validação não for bem-sucedida e você continuar com essas etapas, pode ser que o servidor não inicie. Reconfigure as configurações de segurança até que a validação seja bem-sucedida.

  2. Envie uma cópia da nova configuração para todos os agentes do nó em execução usando o console administrativo. Se um agente do nó falhar em obter a configuração ativada para segurança, a comunicação com o gerenciador de implementação falhará, devido a uma falta de acesso. O agente do nó não é ativado para segurança. Para forçar a sincronização de um nó específico, execute as etapas a seguir a partir do Administrative Console:
    1. Clique em Administração do sistema > Nós e selecione a opção próxima a todos os nós. Você não precisa selecionar o nó do gerenciador de implementação.
    2. Clique em Ressincronização Completa para verificar se a sincronização do arquivo ocorreu. A mensagem pode indicar que os nós já estão sincronizados. Essa mensagem é OK. Quando a sincronização for iniciada, verifique se o status Sincronizado está sendo exibido para todos os nós.
  3. Pare o gerenciador de implementação. Reinicie manualmente o gerenciador de implementação a partir da linha de comandos ou do serviço. Para parar o gerenciador de implementação, clique em Administração dos sistema > Gerenciador de implementação e clique em Parar. Essa ação efetua logout do console administrativo e pára o processo do gerenciador de implementação.
  4. Reinicie o processo do gerenciador de implantação.

    [AIX Solaris HP-UX Linux Windows]Para reiniciar o processo do gerenciador de implementação, localize o diretório app_server_root/bin e digite startManager.bat ou startManager.sh Após a inicialização do gerenciador de implementação ser concluída, volte no console administrativo para concluir essa tarefa. Lembre-se de que a segurança agora está ativada somente no gerenciador de implantação. Se você tiver ativado SSO (Conexão Única), especifique o nome do domínio completo de seu endereço da Web, por exemplo: http://myhost.domain:port_number/ibm/console. Quando forem solicitados um ID do usuário e senha, digite o que você definiu como ID do administrador no registro do usuário configurado.

    [z/OS]Para reiniciar o processo do gerenciador de implementação, digite o seguinte comando:
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=cell_short_name.node_short_name.server_short_name
    Você deve inserir o comando em uma única linha. Está dividido aqui para o propósito ilustrativo (consulte os links relacionados a seguir para obter informações adicionais sobre o uso dos comandos de sistema z/OS MVS). Após a conclusão da inicialização do gerenciador de implantação, volte ao Administrative Console para concluir essa tarefa. A segurança é ativada apenas no gerenciador de implementação. Se você ativou conexão única (SSO), especifique o nome completo do domínio de seu endereço da Web, por exemplo, http://myhost.domain:port_number/ibm/console. Quando for solicitado um ID do usuário e senha, digite o que você inseriu como ID do administrador no registro de usuário configurado.
  5. [IBM i]Reinicie o processo do gerenciador de implantação. Para reiniciar o processo do gerenciador de implementação, abra o ambiente Qshell e localize o diretório app_server_root/bin. A variável app_server_root se refere ao diretório padrão app_server_root/bin/. Na linha de comandos do Qshell, digite startManager.

    Após a conclusão da inicialização do gerenciador de implantação, volte ao Administrative Console para concluir essa tarefa. Lembre-se de que a segurança agora está ativada somente no gerenciador de implantação. Se você tiver ativado SSO (Conexão Única), especifique o nome do domínio completo de seu endereço da Web, por exemplo: http://myhost.domain:port_number/ibm/console. Quando forem solicitados um ID do usuário e senha, digite o que você definiu como ID do administrador no registro do usuário configurado.

  6. Se o gerenciador de implementação não iniciar após a ativação de segurança, desative a segurança usando um script e reinicie. Desative a segurança emitindo o seguinte comando a partir do diretório DeploymentManager/bin:
    ./wsadmin.sh -conntype NONE
    No prompt, digite securityoff.
  7. Inicie todos os agentes de nó novamente para que tenham a segurança ativada. Você deve ter reiniciado o gerenciador de implementação em uma etapa anterior antes de concluir esta etapa. Se o agente de nó tiver a segurança ativada antes do gerenciador de implementação ter a segurança ativada, o gerenciador de implantação não poderá consultar o agente de nó em relação ao status e nem fornecer comandos ao agente do nó. Para parar todos os agentes de nó, conclua as seguintes etapas:
    1. Acesse Administração do sistema > Agentes do nó e selecione a opção para todos os agentes do nó. Clique em Reiniciar. Uma mensagem semelhante ao seguinte exemplo é exibida na parte superior do painel: O agente de nós do nó NOME do NÓ foi reiniciado com êxito.
    2. Como alternativa, se anteriormente você não tiver parado os servidores de aplicativos, reinicie todos os servidores de um determinado nó, clicando em Administração do sistema > Agentes do nó e clicando nos agentes do nó nos quais deseja reiniciar todos os servidores. Clique em Reiniciar Todos os Servidores no Nó. Essa ação inicia o agente de nó novamente e todos os servidores de aplicativos iniciados.
  8. Se algum agente de nó falhar ao reiniciar, execute uma ressincronização manual na configuração. Essa etapa consiste em ir para o nó físico e executar o comando syncNode do cliente. Este cliente efetua login no gerenciador de implementação e copia todos os arquivos de configuração no agente do nó. Essa ação assegura que a configuração está com a segurança ativada. Se o agente do nó estiver iniciado, mas não estiver se comunicando com o gerenciador de implementação, pare o agente do nó emitindo o comando stopServer.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
Nome do arquivo: tsec_egs.html