Criando Vários Novos Domínios de Segurança
É possível criar diversos domínios de segurança na configuração. Criando diversos domínios de segurança, é possível configurar diferentes atributos de segurança para aplicativos administrativos e do usuário em um ambiente de célula.
Antes de Iniciar
Apenas usuários designados para a função de administrador podem criar vários novos domínios de segurança. Antes de criar vários novos domínios de segurança, ative a segurança global em seu ambiente.
Leia o Domínios de Segurança Múltiplos para obter melhor conhecimento sobre vários domínios de segurança e como eles são suportados nesta versão do WebSphere Application Server.
Sobre Esta Tarefa
Os domínios de segurança fornecem um mecanismo para utilizar diferentes configurações de segurança para aplicativos administrativo e aplicativos de usuário. Fornecem também a capacidade para suportar várias configurações de segurança, de forma que diferentes aplicativos possam utilizar diferentes atributos de segurança, como configurações de registro do usuário e de login.
- Configurar diferentes atributos de segurança para aplicativos administrativos e do usuário em uma célula
- Consolidar as configurações do servidor, gerenciando diferentes configurações de segurança em uma célula
- Restringir o acesso entre aplicativos com diferentes registros de usuário ou configurar relacionamentos confiáveis entre aplicativos, para oferecer suporte à comunicação entre registros
Procedimento
- Clique em Segurança > Domínios de Segurança.
- Na página de coleção Domínios de Segurança, clique em Novo.
- Especifique um nome exclusivo para o domínio. Um nome de domínio deve ser exclusivo em uma célula e não pode conter um caractere inválido. Este campo é obrigatório.
- Especifique uma descrição exclusiva para o domínio. Ao clicar em Aplicar você retornará para a página de detalhes Domínios de Segurança
- Em Escopos Designados, designe o domínio de segurança para a célula inteira ou selecione os servidores, clusters e barramentos de integração de serviços específicos a serem incluídos no domínio de segurança.
- Customize a configuração de segurança, especificando atributos de segurança para o novo domínio e designando-o para recursos da célula. É possível alterar os atributos de segurança da seguinte maneira:
- Segurança do Aplicativo
- Especifica as configurações para segurança do aplicativo e segurança do Java™
2. É possível utilizar as configurações de segurança global ou customizar as configurações
para um domínio.
Selecione Ativar Segurança do Aplicativo para ativar ou desativar essa opção de segurança para aplicativos do usuário. Quando essa seleção é desativada, todos os aplicativos EJBs e da web no domínio de segurança não estão mais protegidos. Access is granted to these resources without user authentication. Quando você ativa essa seleção, a segurança J2EE é reforçada a todos os EJBs e aplicativos da Web no domínio de segurança. The J2EE security is only enforced when Global Security is enabled in the global security configuration, (that is, you cannot enable application security without first enabling Global Security at the global level).
- Segurança do Java 2
- Selecione Segurança do Java 2 para ativar ou desativar a segurança do Java 2 no nível de domínio. Essa opção permite ativar ou desativar a segurança do Java 2 no nível de processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar a segurança do Java 2.
- Região do Usuário
Esta seção permite configurar o registro do usuário para o domínio de segurança. É possível configurar separadamente qualquer registro que é usado no nível de domínio. Leia sobre Domínios de Segurança Múltiplos para obter informações adicionais.
- Associação Confiável
- Quando você configura o TAI (interceptor da associação de confiança) em um nível de domínio, os interceptores configurados no nível global são copiados para o nível de domínio por conveniência. You can modify the interceptor list at the domain level to fit your needs. Only configure those interceptors that are to be used at the domain level.
- Autenticação da Web de SPNEGO
- A autenticação da Web SPNEGO, que permite a você configurar
SPNEGO para autenticação de recurso da Web, pode ser configurada no
nível de domínio.Nota: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos de HTTP para recursos protegidos. Essa função foi descontinuada no WebSphere Application Server Versão 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer recarregamento dinâmico dos filtros SPNEGO e para ativar fallback para o método de login do aplicativo.
- Segurança RMI/IIOP
O atributo de segurança RMI/IIOP refere-se às propriedades do protocolo CSIv2 (Common Secure Interoperability version 2). Ao configurar esses atributos no nível de domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência.
You can change the attributes that need to be different at the domain level. As configurações da camada de transporte para comunicações de entrada CSIv2 devem ser iguais para o nível global e nível do domínio. Se forem diferentes, os atributos do nível de domínio serão aplicados a todos do aplicativo no processo.
- Logins do Aplicativo JAAS
- Especifica as definições de configuração para os logins do aplicativo JAAS (Java Authentication and
Authorization Service). Você pode utilizar as configurações de
segurança global ou customizar as configurações para um domínio.
The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema têm acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.
- Logins do Sistema JAAS
- Especifica as definições de configuração para os logins do sistema JAAS.
É possível utilizar as configurações de segurança global ou customizar as definições de configuração
para um domínio.
The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema têm acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.
Nota: Para logins do aplicativo JAAS e para logins do sistema JAAS, as coleções não são preenchidas até que primeiro um deles seja criado. É possível fazer isso selecionando Customizar para este domínio em logins do aplicativo JAAS ou logins do sistema JAAS e, em seguida, selecionando Aplicar ou OK.
- Autenticação J2C do JAAS
- Especifica as definições de configuração para os dados de autenticação J2C do JAAS. É possível utilizar as configurações de segurança global ou customizar as configurações
para um domínio.
The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema têm acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.
- Java Authentication SPI (JASPI)
Especifica as definições de configuração de um provedor de autenticação do Java Authentication SPI (JASPI). É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio. Para configurar os provedores de autenticação JASPI para um domínio, selecione Customizar para esse domínio e então ative JASPI. Selecione Provedores para definir provedores para o domínio.
Nota: O provedor de autenticação JASPI pode ser ativado com provedores configurados no nível de domínio. Por padrão, todos os aplicativos no sistema têm acesso aos provedores de autenticação JASPI configurados no nível global. O tempo de execução de segurança verifica primeiro os provedores de autenticação JASPI no nível de domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure os provedores de autenticação JASPI em um domínio apenas quando o provedor tiver que ser usado exclusivamente pelos aplicativos nesse domínio de segurança.
- Atributos do Mecanismo de Autenticação
Especifica as diversas configurações de cache que devem ser aplicadas no nível de domínio.
Selecione Configurações do Cache de Autenticação para especificar as configurações do cache de autenticação. A configuração especificada neste painel é aplicada somente neste domínio.
Selecione Tempo Limite LTPA para configurar um valor de tempo limite LTPA diferente no nível de domínio. O valor de tempo limite padrão é de 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for configurado no nível do domínio, qualquer token criado no domínio de segurança ao acessar aplicativos de usuário terá esse tempo de expiração.
Quando Utilizar nomes de usuário qualificados para a região estiver ativado, os nomes de usuário retornados pelos métodos como getUserPrincipal( ) serão qualificados com a região de segurança (registro do usuário) utilizada pelos aplicativos no domínio de segurança.
- Provedor de Autorização
É possível configurar um provedor JACC (Java Authorization Contract for Containers) de terceiros externo no nível de domínio. O provedor JACC do Tivoli Access Manager só pode ser configurado no nível global. Os domínios de segurança poderão continuar a utilizá-lo se não substituírem o provedor de autorização por outro provedor JACC ou pela autorização nativa incorporada.
É possível configurar, adicionalmente, as opções de autorização SAF no nível de domínio de segurança, que são as seguintes:
- O ID do usuário não autenticado
- O mapeador do perfil do SAF
- Se a delegação SAF será ativada
- Especifica se o perfil APPL deve ser usado para restringir o acesso ao WebSphere Application Server
- Se as mensagens de falha de autorização serão suprimidas
- A estratégia de registro de auditoria do SMF
- O prefixo do perfil do SAF
Para obter mais informações sobre as opções de autorização SAF, consulte Autorização do z/OS System Authorization Facility.
- Opções de Segurança do z/OS
- É possível configurar as opções de segurança específicas do z/OS no nível do processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar essas opções. Essas propriedades são:
- Ativando o Servidor de Aplicativos e a Sincronização de Identidade do Encadeamento do z/OS
- Ativando a identidade do encadeamento RunAs do gerenciador de conexões.
Para obter mais informações sobre as opções de segurança do z/OS, consulte Opções de Segurança do z/OS
- Propriedades Personalizadas
- Configure as propriedades customizadas no nível de domínio que sejam novas ou diferentes das propriedades no nível global. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos da célula. The security runtime code first checks for the custom property at the domain level. If it does not find it, it then attempts to obtain the custom property from the global security configuration.
- Clique em Aplicar.
- Depois de salvar todas as mudanças na configuração, reinicie o servidor, para que as mudanças entrem em vigor.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_new
Nome do arquivo: tsec_sec_domains_new.html