Selecionando um Registro ou Repositório

As informações sobre usuários e grupos residem em um registro de usuários. Em WebSphere Application Server, um registro do usuário autentica um usuário e recupera as informações sobre usuário e grupos para executar funções relacionadas à segurança, inclusive autenticação e autorização.

Antes de Iniciar

Nota: Durante a criação de perfil, seja durante a instalação ou pós-instalação, a segurança administrativa é ativada por padrão. O repositório do usuário federado baseado em arquivo é configurado como o registro do usuário ativo. Decida se você deseja um registro de usuário diferente.

Antes de configurar o registro do usuário ou o repositório, decida qual registro do usuário ou repositório utilizar. É possível configurar um registro padrão ativo para a célula.

Sobre Esta Tarefa

O WebSphere Application Server fornece implementações que suportam diversos tipos de registros e repositórios, incluindo o registro do sistema operacional local, um registro de Lightweight Directory Access Protocol (LDAP) independente, um registro customizado independente, e repositórios federados.

Com oWebSphere Application Server, um registro de usuário ou um repositório, como um repositório federado, autentica um usuário e recupera informações sobre usuários e grupos para executar funções relativas à segurança, incluindo autenticação e autorização.

Com o WebSphere Application Server, um registro de usuário ou repositório é usado para:
  • Autenticar um usuário utilizando a autenticação básica, asserção de identidade ou certificados clientes
  • Recuperar informações sobre usuários e grupos para execução das funções administrativas relacionadas à segurança, como mapeamento de usuários e grupos para as funções de segurança

[z/OS]O WebSphere Application Server é projetado com o recurso para suportar diversos sistemas operacionais ou registros de usuário baseados em ambiente operacional, como o registro SAF doz/OS, e a maioria dos principais registros baseados em Lightweight Directory Access Protocol (LDAP). É possível utilizar o recurso de LDAP customizado para suportar qualquer servidor LDAP definindo as informações de configuração corretas, como filtros de usuário e grupo. Entretanto, o suporte não é estendido a esses servidores LDAP personalizados porque existem muitas possibilidades que não podem ser testadas.

[z/OS]Configurar o registro ou repositório correto é um pré-requisito para atribuir usuários e grupos a funções para aplicativos. Por padrão, quando um registro do usuário ou repositório não estiver configurado, o registro do usuário baseado em SAF do sistema operacional local será utilizado. Se sua opção do registro do usuário ou repositório não for o sistema operacional local, você deve primeiro configurar o registro do usuário ou repositório. A configuração do registro do usuário ou repositório é normalmente realizada como parte da ativação da segurança administrativa, reiniciando os servidores e, em seguida, designando usuários e grupos para funções para todos seus aplicativos.

Além do sistema operacional local, o LDAP, e os registros Repositório federado, o WebSphere Application Server também fornece um plug-in para suportar qualquer registro usando o recurso de registro customizado. O recurso de registro customizado possibilita configurar qualquer registro de usuário que não esteja disponível por meio dos painéis de configuração de segurança do WebSphere Application Server.

Configurar o registro ou repositório correto é um pré-requisito para atribuir usuários e grupos a funções para aplicativos. Quando um registro do usuário ou repositório não estiver configurado, por padrão, será utilizado o registro do sistema operacional local. Se sua opção de registro do usuário não for o registro do sistema operacional local, primeiro, será necessário configurar o registro ou repositório que, normalmente, é feito como parte da ativação da segurança, reiniciar os servidores e, em seguida, designar usuários e grupos a funções para todos os seus aplicativos.

O WebSphere Application Server suporta os seguintes tipos de registros do usuário:
  • Repositório federado
  • Sistema operacional local [z/OS]como o baseado em SAF
    Restrição: Configurar um servidor LDAP transparente sob o registro do sistema operacional local e fazer com que a autenticação de usuários ocorra por meio do sistema operacional local usando LDAP não é suportado.
  • Registro LDAP (Lightweight Directory Access Protocol) independente
  • Registro customizado independente
A interface UserRegistry é utilizada para implementar o registro customizado e as opções do repositório federado para o repositório da conta de usuário. A interface é muito útil em situações em que as informações de usuário e grupo atuais existem em alguns outros formatos, por exemplo, um banco de dados, e não podem ser movidas para o sistema operacional local nem para os registros LDAP. Em tal caso, é possível implementar a interface UserRegistry de modo que o WebSphere Application Server possa usar o registro existente para todas as operações relacionadas à segurança. O processo de implementação de um registro customizado é um esforço de implementação de software, e espera-se que a implementação não dependa do gerenciamento de recurso do WebSphere Application Server para sua operação. Por exemplo, você não pode utilizar uma configuração de origem de dados do Application Server; geralmente, você deve chamar as conexões de banco de dados e ditar seu comportamento diretamente no código.
Nota: O WebSphere Application Server implementou um proxy de registro de usuário usando a interface UserRegistry. No entanto, os valores de retorno são um pouco diferentes na interface. Por exemplo, getUniqueUserId retorna o uniqueID com o nome de região agrupado. Não é possível usar o valor de retorno para transmitir para getUserSecurityName, conforme mostrado no seguinte exemplo:
// Recupera o InitialContext padrão para esse servidor.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();

// Recupera o objeto UserRegistry local.
com.ibm.websphere.security.UserRegistry reg =
         (com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");

// Recupera o uniqueID do registro com base no userName especificado
     // no NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Dividir o nome da região e obter o uniqueID real
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);

// Recupera o nome da segurança do registro do usuário com base no uniqueID.
String securityName = reg.getUserSecurityName(uid);
É possível utilizar uma SPI (Service Provider Interface) para essa função de análise.
Após a designação de usuários e grupos aos aplicativos e se for necessário alterar os registros do usuário, exclua todos os usuários e grupos, incluindo qualquer função RunAs, dos aplicativos, e redesigne-os após alterar o registro por meio do console administrativo ou utilizando o script wsadmin. O comando wsadmin a seguir, que utiliza Jacl, remove todos os usuários e grupos de qualquer aplicativo:
$AdminApp deleteUserAndGroupEntries yourAppName
em que yourAppName é o nome do aplicativo. É aconselhável fazer backup do antigo aplicativo antes de executar essa operação. Entretanto, se as duas condições a seguir forem verdadeiras, você pode conseguir alternar os registros sem ter que excluir as informações dos usuários e dos grupos:
  • Todos os nomes de usuários e grupos, incluindo a senha para usuários da função RunAs, em todos os aplicativos correspondem aos dois registros do usuário.
  • O arquivo de ligações de aplicativos não contém os IDs de acesso exclusivos para cada registro do usuário, mesmo para o mesmo nome de usuário ou de grupo.

Por padrão, um aplicativo não contém IDs de acesso no arquivo de ligações. Estes IDs são gerados quando os aplicativos são iniciados. No entanto, se você tiver migrado um aplicativo existente de um release anterior, ou se tiver utilizado o script wsadmin para incluir IDs de acesso para os aplicativos para aprimorar o desempenho, será necessário remover as informações sobre usuários e grupos existentes e incluí-las após a configuração do novo registro do usuário.

Para obter mais informações sobre a atualização de IDs de acesso, consulte IDs updateAccess no artigo Comandos para o Objeto AdminApp.

Atenção: O WebSphere Application Server suporta uma variedade de registros e repositórios de usuários em diferentes sistemas operacionais. Durante o processo de autenticação do usuário, é possível usar caracteres não-alfabéticos em seu nome de usuário ou senha. As restrições no uso destes caracteres não-alfanuméricos dependem do sistema operacional subjacente e do tipo de registro do usuário. Para obter informações adicionais sobre quais caracteres não-alfanuméricos não são suportados, consulte a documentação de seu sistema operacional e do registro do usuário ou do repositório.
[AIX]Por exemplo, os seguintes caracteres não são suportados em um valor de nome de usuário:
  • ˋ
  • #
  • =
  • \
  • :
  • "
  • ,
  • /
  • ?
  • '
  • Um caractere de espaço

Para obter uma lista abrangente dos caracteres não-alfanuméricos que não são suportados, consulte a documentação do sistema operacional IBM AIX.

[HP-UX]Por exemplo, os seguintes caracteres não são suportados em um valor de nome de usuário:
  • ˋ
  • :
  • "
  • /
  • Um caractere de espaço

Execute uma das seguintes etapas para configurar o seu registro de usuário:

Procedimento

O que Fazer Depois

  1. Se você estiver ativando a segurança, certifique-se de concluir as demais etapas. Verifique se o repositório de conta do usuário no painel Segurança Global está definido como o registro ou repositório apropriado. Como etapa final, valide o ID do usuário e a senha clicando em Aplicar no painel Segurança Global. Salve, pare ou inicie todos os WebSphere Application Server.
  2. Para que qualquer alteração nos painéis de registro do usuário seja efetivada, valide as alterações clicando em Aplicar no painel Segurança Global. Após a validação, salve a configuração e para e inicie todos os WebSphere Application Servers, incluindo as células, nós e todos os servidores de aplicativos. Para evitar inconsistências entre os processos do WebSphere Application Server, certifique-se de que quaisquer mudanças no registro ou repositório sejam feitas quando todos os processos estiverem executando. Se algum dos processos estiver inativo, force a sincronização para assegurar que o processo possa ser ativado posteriormente.

    Se o servidor ou servidores iniciarem sem problemas, a configuração está correta.

  3. [z/OS]Se o SAF (System Authorization Facility), por meio do sistema operacional local, for selecionado como registro ou repositório, os valores no arquivo de ligações serão ignorados com exceção do ID e senha do usuário (ou frase de senha) para usuários da função RunAs.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_useregistry
Nome do arquivo: tsec_useregistry.html