Configurando Vários Domínios de Segurança

Por padrão, todos os aplicativos administrativos e de usuário no WebSphere Application Server usam a configuração de segurança global. Por exemplo, um registro do usuário definido na segurança global é utilizado para autenticar os usuários para cada aplicativo na célula. Da forma como está, esse comportamento é o mesmo de releases anteriores do WebSphere Application Server. É possível criar domínios de segurança adicionais do WebSphere se desejar especificar atributos de segurança diferentes para alguns ou todos os aplicativos de usuário. Esta seção descreve como configurar um domínio de segurança utilizando o console administrativo.

Antes de Iniciar

Apenas usuários designados à função de administrador podem configurar ou criar novos domínios de segurança múltiplos. Ative a segurança global em seu ambiente antes de configurar vários domínios de segurança.

Leia o Domínios de Segurança Múltiplos para obter melhor conhecimento sobre vários domínios de segurança e como eles são suportados nesta versão do WebSphere Application Server.

Sobre Esta Tarefa

Os domínios de segurança permitem definir várias configurações de segurança para uso em seu ambiente. Por exemplo, é possível definir uma segurança diferente (como um registro do usuário diferente) para aplicativos de usuário, em vez de aplicativos administrativos. Também é possível definir configurações de segurança separadas para aplicativos de usuário implementados em servidores e clusters diferentes.

Boas Práticas Boas Práticas: Ao configurar um domínio de aplicativo com um nome de região idêntico ao nome da região do domínio global, uma consulta de usuários, grupos ou outros atributos de registro retorna aquele do domínio de aplicativo. Você deve configurar nomes de domínio exclusivos para cada domínio.bprac

Execute as seguintes etapas para configurar um novo domínio de segurança, utilizando o console administrativo:

Procedimento

  1. Clique em Segurança > Domínios de segurança.
  2. Se você estiver criando um novo domínio de segurança múltiplo, clique em Novo. Forneça um nome exclusivo e uma descrição para o domínio e clique em Aplicar. Se desejar configurar um domínio de segurança múltiplo existente, selecione um para editar. Ao clicar em Aplicar, o nome do domínio e as seções adicionais serão exibidos. Uma seção permite definir os atributos de segurança para o domínio, e outra seção permite selecionar os escopos aos quais o domínio é aplicável.
  3. Em Escopos Designados, selecione se deseja designar o domínio de segurança para a célula inteira, ou se deseja selecionar os servidores, clusters e barramentos de integração de serviços específicos a serem incluídos no domínio de segurança. A seção Escopos Designados possui duas visualizações. A visualização padrão é uma topologia de célula. Para designar o domínio de segurança para a célula inteira, clique na caixa de opção da célula e, em seguida, clique em Aplicar ou em OK.

    O nome do domínio de segurança aparecerá ao lado do nome da célula, indicando que o domínio agora está designado à célula. É possível expandir a topologia e designar o domínio para um ou mais servidores e clusters. Quando um item da topologia já estiver designado para outro domínio de segurança, a caixa de seleção estará desativada e o nome do domínio designado será exibido ao lado do nome do escopo. Se deseja designar um desses escopos ao domínio, primeiro desassocie-o desse domínio atual.

    Selecione Todos os Escopos Designados para visualizar uma lista apenas dos recursos que estão designados atualmente ao domínio de segurança.

  4. Customize sua configuração de segurança, especificando atributos de segurança para seu novo domínio. Os atributos que não estão listados não poderão ser customizados no nível de domínio. Os domínios herdam os atributos da configuração de segurança global.

    Existem doze seções de atributo de segurança configuráveis individualmente. É possível expandir e reduzir cada seção. No estado reduzido, o nome e um valor de resumo para a seção são exibidos. Além disso, o texto do valor de resumo indica se o atributo foi definido na segurança global e se foi reutilizado pelo domínio (conforme indicado pelo texto cinza), ou se foi customizado para o domínio (conforme indicado em preto, prefixado com a palavra “Customizado”).

    Inicialmente, cada atributo de segurança é configurado para utilizar as configurações de segurança global. Quando um atributo é configurado para utilizar a segurança global, não há configuração específica ao domínio para esse atributo. Os aplicativos que utilizam o domínio utilizam a configuração global para esses atributos de segurança.

    Somente configure os atributos de segurança que você deseja alterar. Para configurar um atributo de segurança para um domínio, expanda a seção do atributo de segurança. As principais propriedades da configuração global são exibidas abaixo da opção Utilizar segurança global. Essas propriedades são fornecidas por conveniência.

    Para customizar a configuração do domínio, selecione Customizar para este domínio. Configure a propriedade e, em seguida, clique em OK ou em Aplicar.
    Nota: Em geral, quando você seleciona Customizar para este domínio, você substituirá todas as configurações de segurança definidas para essa seção na segurança global. Os logins de aplicativo, os logins do sistema e as entradas de dados de autenticação J2C são algumas exceções. Quando você define entradas para um domínio, os aplicativos do domínio podem acessar as entradas globais, além das entradas específicas do domínio.

    Por exemplo, é possível não apenas utilizar um registro do usuário diferente para aplicativos que utilizam o domínio de segurança, como também utilizar a configuração de segurança global para todas as outras propriedades de segurança. Nesse caso, expanda a seção Região do Usuário e selecione Customizar para este domínio. Selecione um tipo de registro do usuário, clique em Configurar e forneça os detalhes apropriados da configuração no painel subsequente.

    É possível alterar os atributos de segurança da seguinte maneira:
    Segurança do Aplicativo
    Especifica as configurações para segurança do aplicativo e segurança do Java™ 2. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

    Selecione Ativar Segurança do Aplicativo para ativar ou desativar essa opção de segurança para aplicativos do usuário. Quando essa seleção é desativada, todos os aplicativos EJBs e da web no domínio de segurança não estão mais protegidos. Access is granted to these resources without user authentication. Quando você ativa essa seleção, a segurança J2EE é reforçada a todos os EJBs e aplicativos da Web no domínio de segurança. The J2EE security is only enforced when Global Security is enabled in the global security configuration, (that is, you cannot enable application security without first enabling Global Security at the global level).

    Segurança do Java 2
    Selecione Segurança do Java 2 para ativar ou desativar a segurança do Java 2 no nível de domínio. Essa opção permite ativar ou desativar a segurança do Java 2 no nível de processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar a segurança do Java 2.
    Região do Usuário

    Essa seção possibilita configurar o registro do usuário para o domínio de segurança. É possível configurar separadamente qualquer registro que é usado no nível de domínio. Leia sobre Domínios de Segurança Múltiplos para obter informações adicionais.

    Associação Confiável
    Quando você configura o Trust Association Interceptor (TAI) no nível do domínio, os interceptores configurados no nível global são copiados no nível do domínio para maior comodidade. You can modify the interceptor list at the domain level to fit your needs. Only configure those interceptors that are to be used at the domain level.
    Autenticação da Web de SPNEGO
    A autenticação da Web SPNEGO, que permite a você configurar SPNEGO para autenticação de recurso da Web, pode ser configurada no nível de domínio.
    Nota: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos de HTTP para recursos protegidos. Essa função foi descontinuada no WebSphere Application Server 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer recarregamento dinâmico dos filtros SPNEGO e para ativar fallback para o método de login do aplicativo.
    Segurança RMI/IIOP

    O atributo de segurança RMI/IIOP refere-se às propriedades do protocolo CSIv2 (Common Secure Interoperability versão 2). Ao configurar esses atributos no nível de domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência.

    Você pode alterar os atributos que precisam ser diferentes no nível do domínio. As configurações da camada de transporte para comunicações de entrada CSIv2 devem ser iguais para o nível global e nível do domínio. Se forem diferentes, os atributos do nível de domínio serão aplicados a todos do aplicativo no processo.

    Logins do Aplicativo JAAS
    Especifica as definições de configuração para os logins do aplicativo JAAS (Java Authentication and Authorization Service). É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.
    Nota: Os logins do aplicativo JAAS, os logins do sistema JAAS e os aliases de dados de autenticação J2C do JAAS podem todos ser configurados no nível de domínio. Por padrão, todos os aplicativos do sistema tem acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se não localizá-los, ele os verificará na configuração de segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.
    Logins do Sistema JAAS
    Especifica as definições de configuração para os logins de sistema JAAS. É possível utilizar as configurações de segurança global ou customizar as definições de configuração para um domínio.
    Autenticação J2C do JAAS
    Especifica as definições de configuração para os dados de autenticação J2C do JAAS. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.
    Java Authentication SPI (JASPI)

    Especifica as definições de configuração de um provedor de autenticação do Java Authentication SPI (JASPI) e módulos de autenticação associados. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio. Para configurar provedores de autenticação JASPI para um domínio, selecione Customizar para esse domínio e, em seguida, ative JASPI. Selecione Provedores para definir provedores para o domínio.

    Nota: O provedor de autenticação JASPI pode ser ativado com provedores configurados no nível de domínio. Por padrão, todos os aplicativos no sistema têm acesso aos provedores de autenticação JASPI configurados no nível global. O tempo de execução de segurança verifica primeiro os provedores de autenticação JASPI no nível de domínio. Se não localizá-los, ele os verificará na configuração de segurança global. Configure os provedores de autenticação JASPI em um domínio apenas quando o provedor tiver que ser usado exclusivamente pelos aplicativos nesse domínio de segurança.
    Atributos do Mecanismo de Autenticação

    Especifica as diversas configurações de cache que devem ser aplicadas no nível de domínio.

    Selecione Configurações do Cache de Autenticação para especificar as configurações do cache de autenticação. A configuração especificada neste painel é aplicada somente neste domínio.

    Selecione Tempo Limite LTPA para configurar um valor de tempo limite LTPA diferente no nível de domínio. O valor de tempo limite padrão é de 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for configurado no nível do domínio, qualquer token criado no domínio de segurança ao acessar aplicativos de usuário terá esse tempo de expiração.

    Quando Utilizar nomes de usuário qualificados para a região estiver ativado, os nomes de usuário retornados pelos métodos como getUserPrincipal( ) serão qualificados com a região de segurança (registro do usuário) utilizada pelos aplicativos no domínio de segurança.

    Provedor de Autorização

    You can configure an external third party JACC (Java Authorization Contract for Containers) provider at the domain level. O provedor JACC do Tivoli Access Manager só pode ser configurado no nível global. Os domínios de segurança poderão continuar a utilizá-lo se não substituírem o provedor de autorização por outro provedor JACC ou pela autorização nativa incorporada.

    [z/OS]É possível configurar, adicionalmente, as opções de autorização SAF no nível de domínio de segurança, que são as seguintes:
    • O ID do usuário não autenticado
    • O mapeador do perfil do SAF
    • Whether to enable SAF delegation
    • Se utiliza o perfil APPL para restringir o acesso ao WebSphere Application Server
    • Se as mensagens de falha de autorização serão suprimidas
    • A estratégia de registro de auditoria do SMF
    • O prefixo do perfil do SAF

    [z/OS]Para obter mais informações sobre as opções de autorização SAF, consulte Autorização do z/OS System Authorization Facility.

    [z/OS]
    Opções de Segurança do z/OS
    É possível configurar as opções de segurança específicas do z/OS no nível do processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar essas opções. Essas propriedades são:
    • Ativando o Servidor de Aplicativos e a Sincronização de Identidade do Encadeamento do z/OS
    • Ativando a identidade do encadeamento RunAs do gerenciador de conexões.

    Para obter mais informações sobre as opções de segurança do z/OS, consulte Opções de Segurança do z/OS

    Propriedades Personalizadas
    Configure propriedades customizadas no nível do domínio que sejam novas ou diferentes daqueles no nível global. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos da célula. The security runtime code first checks for the custom property at the domain level. If it does not find it, it then attempts to obtain the custom property from the global security configuration.
  5. Ao configurar os atributos de segurança e designar o domínio para um ou mais escopos, clique em Aplicar ou em OK.
  6. Reinicie todos os servidores e clusters para que as alterações sejam efetivadas.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
Nome do arquivo: tsec_sec_domains_config.html