Configurando Vários Domínios de Segurança
Por padrão, todos os aplicativos administrativos e de usuário no WebSphere Application Server usam a configuração de segurança global. Por exemplo, um registro do usuário definido na segurança global é utilizado para autenticar os usuários para cada aplicativo na célula. Da forma como está, esse comportamento é o mesmo de releases anteriores do WebSphere Application Server. É possível criar domínios de segurança adicionais do WebSphere se desejar especificar atributos de segurança diferentes para alguns ou todos os aplicativos de usuário. Esta seção descreve como configurar um domínio de segurança utilizando o console administrativo.
Antes de Iniciar
Leia o Domínios de Segurança Múltiplos para obter melhor conhecimento sobre vários domínios de segurança e como eles são suportados nesta versão do WebSphere Application Server.
Sobre Esta Tarefa
Os domínios de segurança permitem definir várias configurações de segurança para uso em seu ambiente. Por exemplo, é possível definir uma segurança diferente (como um registro do usuário diferente) para aplicativos de usuário, em vez de aplicativos administrativos. Também é possível definir configurações de segurança separadas para aplicativos de usuário implementados em servidores e clusters diferentes.

Execute as seguintes etapas para configurar um novo domínio de segurança, utilizando o console administrativo:
Procedimento
- Clique em Segurança > Domínios de segurança.
- Se você estiver criando um novo domínio de segurança múltiplo, clique em Novo. Forneça um nome exclusivo e uma descrição para o domínio e clique em Aplicar. Se desejar configurar um domínio de segurança múltiplo existente, selecione um para editar. Ao clicar em Aplicar, o nome do domínio e as seções adicionais serão exibidos. Uma seção permite definir os atributos de segurança para o domínio, e outra seção permite selecionar os escopos aos quais o domínio é aplicável.
- Em Escopos Designados, selecione se deseja designar o domínio de segurança
para a célula inteira, ou se deseja selecionar os servidores, clusters e barramentos de
integração de serviços específicos a serem incluídos no domínio de segurança. A seção Escopos Designados possui duas visualizações. A visualização padrão é uma
topologia de célula. Para designar o domínio de segurança para a célula inteira, clique na
caixa de opção da célula e, em seguida, clique em Aplicar ou em OK.
O nome do domínio de segurança aparecerá ao lado do nome da célula, indicando que o domínio agora está designado à célula. É possível expandir a topologia e designar o domínio para um ou mais servidores e clusters. Quando um item da topologia já estiver designado para outro domínio de segurança, a caixa de seleção estará desativada e o nome do domínio designado será exibido ao lado do nome do escopo. Se deseja designar um desses escopos ao domínio, primeiro desassocie-o desse domínio atual.
Selecione Todos os Escopos Designados para visualizar uma lista apenas dos recursos que estão designados atualmente ao domínio de segurança.
- Customize sua configuração de segurança, especificando atributos de segurança
para seu novo domínio. Os atributos que não estão listados não poderão ser
customizados no nível de domínio. Os domínios herdam os atributos da configuração de segurança global.
Existem doze seções de atributo de segurança configuráveis individualmente. É possível expandir e reduzir cada seção. No estado reduzido, o nome e um valor de resumo para a seção são exibidos. Além disso, o texto do valor de resumo indica se o atributo foi definido na segurança global e se foi reutilizado pelo domínio (conforme indicado pelo texto cinza), ou se foi customizado para o domínio (conforme indicado em preto, prefixado com a palavra “Customizado”).
Inicialmente, cada atributo de segurança é configurado para utilizar as configurações de segurança global. Quando um atributo é configurado para utilizar a segurança global, não há configuração específica ao domínio para esse atributo. Os aplicativos que utilizam o domínio utilizam a configuração global para esses atributos de segurança.
Somente configure os atributos de segurança que você deseja alterar. Para configurar um atributo de segurança para um domínio, expanda a seção do atributo de segurança. As principais propriedades da configuração global são exibidas abaixo da opção Utilizar segurança global. Essas propriedades são fornecidas por conveniência.
Para customizar a configuração do domínio, selecione Customizar para este domínio. Configure a propriedade e, em seguida, clique em OK ou em Aplicar.Nota: Em geral, quando você seleciona Customizar para este domínio, você substituirá todas as configurações de segurança definidas para essa seção na segurança global. Os logins de aplicativo, os logins do sistema e as entradas de dados de autenticação J2C são algumas exceções. Quando você define entradas para um domínio, os aplicativos do domínio podem acessar as entradas globais, além das entradas específicas do domínio.Por exemplo, é possível não apenas utilizar um registro do usuário diferente para aplicativos que utilizam o domínio de segurança, como também utilizar a configuração de segurança global para todas as outras propriedades de segurança. Nesse caso, expanda a seção Região do Usuário e selecione Customizar para este domínio. Selecione um tipo de registro do usuário, clique em Configurar e forneça os detalhes apropriados da configuração no painel subsequente.
É possível alterar os atributos de segurança da seguinte maneira:- Segurança do Aplicativo
- Especifica as configurações para segurança do aplicativo e segurança do Java™
2. Você pode utilizar as configurações de
segurança global ou customizar as configurações para um domínio.
Selecione Ativar Segurança do Aplicativo para ativar ou desativar essa opção de segurança para aplicativos do usuário. Quando essa seleção é desativada, todos os aplicativos EJBs e da web no domínio de segurança não estão mais protegidos. Access is granted to these resources without user authentication. Quando você ativa essa seleção, a segurança J2EE é reforçada a todos os EJBs e aplicativos da Web no domínio de segurança. The J2EE security is only enforced when Global Security is enabled in the global security configuration, (that is, you cannot enable application security without first enabling Global Security at the global level).
- Segurança do Java 2
- Selecione Segurança do Java 2 para ativar ou desativar a segurança do Java 2 no nível de domínio. Essa opção permite ativar ou desativar a segurança do Java 2 no nível de processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar a segurança do Java 2.
- Região do Usuário
Essa seção possibilita configurar o registro do usuário para o domínio de segurança. É possível configurar separadamente qualquer registro que é usado no nível de domínio. Leia sobre Domínios de Segurança Múltiplos para obter informações adicionais.
- Associação Confiável
- Quando você configura o Trust Association Interceptor (TAI) no nível do domínio, os interceptores configurados no nível global são copiados no nível do domínio para maior comodidade. You can modify the interceptor list at the domain level to fit your needs. Only configure those interceptors that are to be used at the domain level.
- Autenticação da Web de SPNEGO
- A autenticação da Web SPNEGO, que permite a você configurar
SPNEGO para autenticação de recurso da Web, pode ser configurada no
nível de domínio.Nota: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos de HTTP para recursos protegidos. Essa função foi descontinuada no WebSphere Application Server 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer recarregamento dinâmico dos filtros SPNEGO e para ativar fallback para o método de login do aplicativo.
- Segurança RMI/IIOP
O atributo de segurança RMI/IIOP refere-se às propriedades do protocolo CSIv2 (Common Secure Interoperability versão 2). Ao configurar esses atributos no nível de domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência.
Você pode alterar os atributos que precisam ser diferentes no nível do domínio. As configurações da camada de transporte para comunicações de entrada CSIv2 devem ser iguais para o nível global e nível do domínio. Se forem diferentes, os atributos do nível de domínio serão aplicados a todos do aplicativo no processo.
- Logins do Aplicativo JAAS
- Especifica as definições de configuração para os logins do aplicativo JAAS (Java Authentication and
Authorization Service). É possível utilizar as configurações de segurança global ou customizar as configurações
para um domínio. Nota: Os logins do aplicativo JAAS, os logins do sistema JAAS e os aliases de dados de autenticação J2C do JAAS podem todos ser configurados no nível de domínio. Por padrão, todos os aplicativos do sistema tem acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se não localizá-los, ele os verificará na configuração de segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.
- Logins do Sistema JAAS
- Especifica as definições de configuração para os logins de sistema JAAS. É possível utilizar as configurações de segurança global ou customizar as definições de configuração para um domínio.
- Autenticação J2C do JAAS
- Especifica as definições de configuração para os dados de autenticação J2C do JAAS. Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.
- Java Authentication SPI (JASPI)
Especifica as definições de configuração de um provedor de autenticação do Java Authentication SPI (JASPI) e módulos de autenticação associados. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio. Para configurar provedores de autenticação JASPI para um domínio, selecione Customizar para esse domínio e, em seguida, ative JASPI. Selecione Provedores para definir provedores para o domínio.
Nota: O provedor de autenticação JASPI pode ser ativado com provedores configurados no nível de domínio. Por padrão, todos os aplicativos no sistema têm acesso aos provedores de autenticação JASPI configurados no nível global. O tempo de execução de segurança verifica primeiro os provedores de autenticação JASPI no nível de domínio. Se não localizá-los, ele os verificará na configuração de segurança global. Configure os provedores de autenticação JASPI em um domínio apenas quando o provedor tiver que ser usado exclusivamente pelos aplicativos nesse domínio de segurança.
- Atributos do Mecanismo de Autenticação
Especifica as diversas configurações de cache que devem ser aplicadas no nível de domínio.
Selecione Configurações do Cache de Autenticação para especificar as configurações do cache de autenticação. A configuração especificada neste painel é aplicada somente neste domínio.
Selecione Tempo Limite LTPA para configurar um valor de tempo limite LTPA diferente no nível de domínio. O valor de tempo limite padrão é de 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for configurado no nível do domínio, qualquer token criado no domínio de segurança ao acessar aplicativos de usuário terá esse tempo de expiração.
Quando Utilizar nomes de usuário qualificados para a região estiver ativado, os nomes de usuário retornados pelos métodos como getUserPrincipal( ) serão qualificados com a região de segurança (registro do usuário) utilizada pelos aplicativos no domínio de segurança.
- Provedor de Autorização
You can configure an external third party JACC (Java Authorization Contract for Containers) provider at the domain level. O provedor JACC do Tivoli Access Manager só pode ser configurado no nível global. Os domínios de segurança poderão continuar a utilizá-lo se não substituírem o provedor de autorização por outro provedor JACC ou pela autorização nativa incorporada.
É possível configurar, adicionalmente, as opções de autorização SAF no nível de domínio de segurança, que são as seguintes:
- O ID do usuário não autenticado
- O mapeador do perfil do SAF
- Whether to enable SAF delegation
- Se utiliza o perfil APPL para restringir o acesso ao WebSphere Application Server
- Se as mensagens de falha de autorização serão suprimidas
- A estratégia de registro de auditoria do SMF
- O prefixo do perfil do SAF
Para obter mais informações sobre as opções de autorização SAF, consulte Autorização do z/OS System Authorization Facility.
- Opções de Segurança do z/OS
- É possível configurar as opções de segurança específicas do z/OS no nível do processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar essas opções. Essas propriedades são:
- Ativando o Servidor de Aplicativos e a Sincronização de Identidade do Encadeamento do z/OS
- Ativando a identidade do encadeamento RunAs do gerenciador de conexões.
Para obter mais informações sobre as opções de segurança do z/OS, consulte Opções de Segurança do z/OS
- Propriedades Personalizadas
- Configure propriedades customizadas no nível do domínio que sejam novas ou diferentes daqueles no nível global. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos da célula. The security runtime code first checks for the custom property at the domain level. If it does not find it, it then attempts to obtain the custom property from the global security configuration.
- Ao configurar os atributos de segurança e designar o domínio para um ou mais escopos, clique em Aplicar ou em OK.
- Reinicie todos os servidores e clusters para que as alterações sejam efetivadas.
Subtópicos
Domínios de Segurança Múltiplos
O WebSphere Security Domains (WSD) fornece a flexibilidade de usar configurações de segurança diferentes em WebSphere Application Server. O WSD também é chamado de domínios de segurança múltiplos ou, simplesmente, de domínios de segurança. É possível configurar diferentes atributos de segurança, como o UserRegistry, para aplicativos diferentes.Criando Vários Novos Domínios de Segurança
É possível criar diversos domínios de segurança na configuração. Criando diversos domínios de segurança, é possível configurar diferentes atributos de segurança para aplicativos administrativos e do usuário em um ambiente de célula.Excluindo Diversos Domínios de Segurança
É possível excluir diversos domínios de segurança da configuração. Antes de remover os domínios de segurança, é necessário remover os recursos designados a eles. Remova apenas os domínios de segurança que não são necessários para a configuração de segurança.Copiando Diversos Domínios de Segurança
É possível copiar diversos domínios de segurança selecionados da coleção de domínios para criar um novo domínio. Esse processo é útil se você desejar criar um domínio semelhante a domínio anterior. No entanto, é possível que você queira fazer alguns pequenos ajustes. Ao copiar um domínio existente, você deve fornecer um nome de domínio exclusivo para o novo domínio.Configurando Regiões Confiáveis de Entrada para Diversos Domínios de Segurança
É possível configurar para quais regiões a confiança de entrada será concedida para diversos domínios de segurança. O relacionamento confiável entre regiões é usado para comunicação com tokens Lightweight Third-Party Authentication (LTPA). Quando um token LTPA é decriptografado pelo servidor de recebimento, a região do token é verificada, para ver se é confiável. Se não for, a validação do token falhará. Uma região representa um registro do usuário no WebSphere Application Server.Configurar Domínios de Segurança
Utilize essa página para configurar os atributos de segurança de um domínio e designar o domínio a recursos de célula. Para cada atributo de segurança, você pode utilizar as configurações de segurança global ou customizar as configurações para o domínio.Nome da Região Externa
Utilize essa página para incluir a região do WebSphere Application Server que é externa para essa célula. Inicialmente, a região não é confiável. Utilize a página Regiões de Autenticação Confiáveis - Entrada para estabelecer confiança.Confiar em Todas as Regiões
Utilize essa página para configurar a quais regiões a confiança de entrada ou saída deve ser concedida.Coleta de Domínios de Segurança
Os domínios de segurança fornecem um mecanismo para utilizar diferentes configurações de segurança para aplicativos administrativo e aplicativos de usuário. Eles fornecem também a capacidade para suportar várias configurações de segurança, de forma que diferentes servidores de aplicativos possam utilizar diferentes atributos de segurança, como configurações de registro do usuário ou de login.Configurações do Cache de Autenticação
Utilize essa página para especificar suas configurações do cache de autenticação.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
Nome do arquivo: tsec_sec_domains_config.html