Ativando a Segurança
A seguir são fornecidas informações sobre como configurar a segurança quando esta não foi configurada durante a criação do perfil do WebSphere Application Sever.
Antes de Iniciar
Ao instalar o WebSphere Application Server, é recomendado fazer a instalação com a segurança ativada. Pelo design, essa opção garante que tudo seja configurado adequadamente. Ao ativar a segurança, você protege o servidor de usuários não autorizados e está apto a fornecer o isolamento dos aplicativos e os requisitos para a autenticação dos usuários dos aplicativos.
Ajuda a entender a segurança de uma perspectiva da infra-estrutura para que você saiba as vantagens dos diferentes mecanismos de autenticação, registros de usuários, protocolos de autenticação e outros. Escolher os componentes de segurança corretos para atender suas necessidades faz parte da configuração da segurança. As seções a seguir o ajudarão a tomar essas decisões.
Depois de entender os componentes de segurança, você poderá prosseguir para configurar a segurança em WebSphere Application Server.
![[z/OS]](../images/ngzos.gif)
Procedimento
- Inicie o console administrativo do WebSphere Application Server.
Inicie o gerenciador de implementação e, no seu navegador, digite o endereço do seu servidor WebSphere Application Server, Network Deployment. Por padrão, o console está localizado em http://your_host.your_domain:9060/ibm/console.
Se a segurança estiver desativada, será solicitado que você forneça um ID do usuário. Efetue login com qualquer ID do usuário. No entanto, se a segurança estiver ativada, serão solicitados um ID do usuário e uma senha. Efetue login com um ID do usuário administrativo e senha predefinidos.
- Clique em Segurança > Segurança Global.
Utilize o Assistente de Configuração de Segurança ou configure a segurança manualmente. A ordem da configuração não é importante.
Evitar Problemas: É necessário ativar separadamente a segurança administrativa e a segurança do aplicativo. Por causa desse divisão, os clientes WebSphere Application Server devem saber se a segurança do aplicativo está desativada no servidor de destino. A segurança administrativa é ativada, por padrão. A segurança do aplicativo é desativada, por padrão. Antes de tentar ativar a segurança do aplicativo no servidor de destino, verifique se a segurança administrativa está ativada nesse servidor. A segurança do aplicativo só pode estar efetiva quando a segurança administrativa estiver ativada.gotcha
Para obter mais informações sobre configuração manual, consulte Autenticando Usuários.
- Configure o repositório de conta de usuário. Para obter informações adicionais, consulte Selecionando um Registro ou Repositório.
No painel Segurança Global, é possível configurar repositórios da conta do usuário, como repositórios associados, sistema operacional local, registro de protocolo LDAP independente e registro customizado independente.Nota: É possível escolher especificar um ID do servidor e uma senha para interoperabilidade ou ativar uma instalação do WebSphere Application Server para gerar automaticamente um ID de servidor interno. Para obter mais informações sobre como gerar IDs de servidor automaticamente, consulte Configurações do Sistema Operacional Local.
Um dos detalhes comum a todos os registros ou repositórios de usuário é o Nome do Usuário Administrativo Primário. Esse ID é um membro do repositório escolhido, mas também tem privilégios especiais no WebSphere Application Server. Os privilégios para esse ID e os privilégios associados ao ID de função administrativa são os mesmos. O Nome do Usuário Administrativo Principal pode acessar todos os métodos administrativos protegidos.
O ID não deve ter o mesmo nome que a máquina de seu sistema porque o repositório, às vezes, retorna informações específicas da máquina ao consultar um usuário com o mesmo nome.
Em registros LDAP independentes, verifique se o nome do usuário administrativo Principal é um membro do repositório e não apenas um ID de função administrativa de LDAP. A entrada deve ser pesquisável.
O nome do usuário administrativo Principal não executa processos do WebSphere Application Server. Em vez disso, o ID do processo executa processos do WebSphere Application Server.
O ID de processo é determinado pela forma como o processo é iniciado. Por exemplo, se você utilizar uma linha de comandos para iniciar processos, o ID do usuário que efetua login no sistema será o ID de processo. Se estiver executando como um serviço, o ID do usuário que efetua login no sistema será o ID do usuário que está executando o serviço. Se você escolher o registro do sistema operacional local, o ID do processo irá requerer privilégios especiais para chamar as APIs do sistema operacional. O ID do processo deve ter os seguintes privilégios específicos da plataforma:
Privilégios Agir como parte do Sistema Operacional
Privilégios Root
Na configuração padrão, os processos do WebSphere Application Server são executados no perfil do usuário fornecido pelo sistema QEJBSVR.
Quando você usa o registro do sistema operacional local independente no WebSphere Application Server para z/OS, o ID do usuário do servidor não é configurado usando o console administrativo, mas é configurado por meio da classe STARTED no sistema operacional z/OS.
- Selecione a opção Configurar como Atual após você configurar o repositório de conta do usuário. Ao clicar em Aplicar e a opção Ativar Segurança Administrativa ser configurada, ocorre uma verificação para ver se um ID de usuário administrativo foi configurado e está presente no registro do usuário ativo. O ID do usuário administrativo pode ser especificado no painel do registro do usuário ativo e a partir do link de usuários do console.
Se você não configurar um ID administrativo para o registro do usuário ativo, a validação falha.Nota: Ao trocar os registros dos usuários, o arquivo admin-authz.xml deve ser limpo dos IDs administrativos e nomes de aplicativos existentes. Ocorrerão exceções os logs para IDs que existem no arquivo admin-authz.xml, mas não existem no registro do usuário atual.
Opcional: É possível configurar e alterar seu provedor de Autorização Externo para o WebSphere Authorization, autorização do System Authorization Facility (SAF) ou um provedor JACC externo. Para obter mais informações, consulte Autorização do z/OS System Authorization Facility e Enabling an external JACC provider. Para alterar o provedor de Autorização, clique em Segurança > Segurança global.
- Configure o mecanismo de autenticação.
Configure Lightweight Third-Party Authentication (LTPA) ou Kerberos, que é novo para este release do WebSphere Application Server, sob Mecanismos de Autenticação e Expiração. As credenciais LTPA podem ser redirecionadas a outras máquinas. Por motivos de segurança, a credencial expira; no entanto, é possível configurar as datas de expiração no console. As credenciais LTPA permitem que os navegadores visitem servidores de produtos diferentes, o que significa que você não precisa autenticar várias vezes. Para obter mais informações, consulte Configurando o Mecanismo Lightweight Third Party Authentication
Nota: É possível configurar o SWAM (Simple WebSphere Authentication Mechanism) conforme seu mecanismo de autenticação. No entanto, o SWAM foi descontinuado no WebSphere Application Server Versão 9.0 e será removido em um release futuro. As credenciais SWAM não podem ser encaminhadas para outras máquinas e, por essa razão, não expiram.
Se você quiser o suporte a SSO (Conexão Única), que fornece a capacidade aos navegadores de visitar diferentes servidores de produtos sem precisar autenticar várias vezes, consulte Implementando a Conexão Única para Minimizar as Autenticações do Usuário da Web. Para o login baseado em formulário, você deve configurar SSO quando utilizar LTPA.
- Opcional: Importe e exporte as chaves LTPA para SSO (Conexão Única) entre células. Para obter informações adicionais,
consulte os seguintes artigos:
- Exportando as Chaves LTPA (Lightweight Third Party Authentication).
- Importando as Chaves LTPA (Lightweight Third Party Authentication)
Evitar Problemas: Se uma das células à qual você está conectando-se residir em um sistema de Versão 6.0.x, consulte o tópico Configurando chaves do Lightweight Third Party Authentication no Centro de Informações da Versão 6.0.x para obter mais informações.gotcha
- Configure os requisitos de segurança especiais no protocolo de autenticação
dos clientes Java™,
se necessário.
É possível configurar o CSIv2 (Common Secure Interoperability Versão 2) através de links no painel Segurança Global. O protocolo SAS (Security Authentication Service) é fornecido para compatibilidade com versões anteriores com releases anteriores do produto, mas está obsoleto. Os links para os painéis de protocolo SAS serão exibidos no painel Segurança Global se seu ambiente contiver servidores que usam versões anteriores do WebSphere Application Server e suportam o protocolo SAS. Para obter detalhes sobre como configurar CSIv2 ou SAS, consulte o artigo Configurando as Definições de Comunicação de Entrada e Saída do CSIV2 (Common Secure Interoperability Versão 2 (CSIV2).
É possível configurar o CSIv2 (Common Secure Interoperability Versão 2) através de links no painel Segurança Global. O protocolo z/SAS (z/OS Security Authentication Service) é fornecido para compatibilidade com versões anteriores de releases do produto, mas é reprovado. Os links para os painéis de protocolo z/SAS serão exibidos no painel Segurança Global se seu ambiente contiver servidores que usam versões anteriores do WebSphere Application Server e suportam o protocolo SAS. Para obter detalhes sobre como configurar CSIv2 ou z/SAS, consulte o artigo Configurando as Definições de Comunicação de Entrada e Saída do CSIV2 (Common Secure Interoperability Versão 2 (CSIV2).
Importante: O z/SAS é suportado somente entre os servidores Versão 6.0.x e anterior que foram associados a uma célula Versão 6.1.Atenção: A IBM® não fornece ou suporta mais o protocolo de segurança IIOP do SAS (Secure Authentication Service). É recomendável utilizar o protocolo CSIv2 (Common Secure Interoperability versão 2).
Atenção: A IBM não fornece ou suporta mais o protocolo de segurança IIOP do z/OS Secure Authentication Service (z/SAS). É recomendável utilizar o protocolo CSIv2 (Common Secure Interoperability versão 2). O CSIv2 interoperará com versões anteriores do WebSphere Application Server, exceto para o cliente da Versão.
O SSL (Secure Socket Layers) é pré-configurado por padrão, e as alterações não são necessárias a menos que você tenha requisitos de SSL customizados. É possível modificar ou criar uma nova configuração do SSL. Essa ação protege a integridade das mensagens enviadas através da Internet. O produto fornece um local centralizado para definir configurações SSL que os vários recursos do WebSphere Application Server que usam o SSL podem utilizar, incluindo o registro LDAP, o contêiner da Web e o protocolo de autenticação RMI/IIOP (CSIv2). Para obter informações adicionais, consulte Criando uma Configuração de Secure Sockets Layer. Após você modificar uma configuração ou criar uma nova configuração, especifique-a no painel Configurações SSL. Para chegar ao painel Configurações SSL, execute as etapas a seguir:
- Clique em Segurança > Certificado SSL e gerenciamento de chave.
- Em Definições de configuração, clique em Gerenciar configurações de segurança do terminal > configuration_name.
- Em Itens relacionados para cada escopo (por exemplo, nó, cluster, servidor), selecione um dos vários links de configuração que podem ter o escopo definido para o recurso que você está visitando.
É possível editar o arquivo DefaultSSLConfig ou criar uma nova configuração SSL com um novo nome de alias. Se você criar um novo nome de alias para seus novos arquivos de armazenamento de chaves e truststore, altere todos os locais que fizerem referência ao alias de configuração SSL DefaultSSLConfig. A lista a seguir especifica os locais a partir de onde os aliases do repertório de configuração de SSL são usados na configuração do WebSphere Application Server.
Para quaisquer transportes que utilizam cadeias do canal de entrada/saída de rede, incluindo HTTP e JMS (Java Message Service), é possível modificar os aliases do repertório de configuração do SSL nos seguintes locais para cada servidor:- Clique em Servidor > Servidor de aplicativos > server_name. Em Comunicações, clique em Portas. Localize uma cadeia de transporte na qual o SSL esteja ativado e clique em Visualizar os Transportes Associados. Clique em transport_channel_name. Em Canais de Transporte, clique em Canal de Entrada SSL (SSL_2).
- Clique em Administração do sistema > Gerenciador de implementação. Em Propriedades Adicionais, clique em Portas. Localize uma cadeia de transporte na qual o SSL esteja ativado e clique em Visualizar os Transportes Associados. Clique em transport_channel_name. Em Canais de Transporte, clique em Canal de Entrada SSL (SSL_2).
- Clique em Administração do sistema > Agentes do nó > node_agent _name. Em Propriedades Adicionais, clique em Portas. Localize uma cadeia de transporte na qual o SSL esteja ativado e clique em Visualizar os Transportes Associados. Clique em transport_channel_name. Em Canais de Transporte, clique em Canal de Entrada SSL (SSL_2).
Para os transportes SSL do ORB (Object Request Broker), é possível modificar os aliases do repertório de configuração SSL nos locais a seguir. Essas configurações são para o nível do servidor para WebSphere Application Server e para o nível de célula para o WebSphere Application Server, Network Deployment.- Clique em Segurança > Segurança global. Em Segurança de RMI/IIOP, clique em Comunicações de entrada de CSIv2.
- Clique em Segurança > Segurança Global. Em Segurança de RMI/IIOP, clique em Comunicações de Saída CSIv2.
Para o transporte SSL do protocolo LDAP (Lightweight Directory Access Protocol), é possível modificar os aliases do repertório de configuração SSL clicando em Segurança > Segurança global. No repositório Conta do Usuário, clique na lista drop-down Definições de Região Disponíveis, selecione Registro LDAP Independente.
Configure a autorização. Se você escolher utilizar um produto de segurança do z/OS durante a customização, a autorização será definida por padrão para utilizar a autorização de SAF (System Authorization Facility) - perfis EJBROLE. Caso contrário, o padrão será a autorização do WebSphere Application Server. Opcionalmente, é possível definir uma autorização externa do JACC (Java Authorization Contract for Containers). Consulte Considerações Especiais para Controlar o Acesso para Funções de Nomenclatura Usando Autorização do SAF ou Authorization providers.
Verifique os repertórios de Secure Sockets Layer (SSL) para WebSphere Application Server a serem usados. As tarefas de customização de amostra que são geradas pelo WebSphere z/OS Profile Management Tool ou pelo comando zpmt geram tarefas de amostra para criar conjuntos de chaves SSL que serão utilizados se o RACF for seu servidor de segurança. Essas tarefas criam um certificado exclusivo de autoridade do certificação RACF para sua instalação com um conjunto de certificados do servidor assinados por essa autoridade de certificação. O ID da tarefa iniciada pelo controlador do Application Server possui um anel de chaves SAF que inclui esses certificados. De maneira similar em um ambiente do WebSphere Application Server, Network Deployment, os conjuntos de chaves RACF que são propriedade do ID do usuário do gerenciador de implementação e dos IDs do usuário do agente do nó são criados.
Um anel de chave do RACF é identificado exclusivamente pelo nome do anel de chave no repertório e pelo ID do usuário do MVS do processo do controlador do servidor. Se diferentes processos do controlador do WebSphere Application Server tiverem IDs do usuário exclusivos do MVS, você deverá se certificar de que um conjunto de chaves RACF e uma chave privada sejam gerados, mesmo se eles compartilharem o mesmo repertório.
Existem dois tipos de repertórios SSL configuráveis:- O repertório SSL do Sistema é utilizado para comunicação HTTPS e IIOP (Internet InterORB Protocol) e pelos transportes nativos. Se você desejar utilizar o console administrativo depois que a segurança for ativada, deve definir e selecionar um repertório do tipo SSL do Sistema para HTTP. Você deve definir um repertório SSL do Sistema e selecioná-lo se a segurança IIOP exigir ou suportar transporte SSL ou se um conector RMI (Remote Method Invocation) seguro for selecionado para pedidos administrativos.
- O repertório JSSE (Java Secure Socket Extension) é para comunicações SSL baseado em Java.
Os usuários devem configurar um repertório do Sistema SSL para utilizar os protocolos HTTP ou IIOP, e configurar um conector JMX (Java Management Extensions) para utilizar o SSL. Se o conector HTTP SOAP for escolhido, um repertório JSSE deve ser selecionado para o subsistema administrativo. Em um ambiente WebSphere Application Server, Network Deployment, clique em Administração do sistema > Gerenciador de implementação > Serviços de administração > Conectores JMX > Conector SOAP > Propriedades customizadas > sslConfig.
Um conjunto de repertórios do SSL estão configurado pelos diálogos de instalação do z/OS. Esses diálogos são configurados para referenciar os anéis de chave SAF e os arquivos que são preenchidos pelo processo de customização durante a criação dos comandos RACF.Tabela 1. Repertórios SSL Configuram os Diálogos de Instalação do z/OS. Essa tabela lista os repertórios do SSL que são configurados pelos diálogos de instalação do z/OS.
Nome do Repertório tipo Utilização Padrão NodeDefaultSSLSettings
JSSE
(Somente base) configuração para conector SOAP JMX, cliente SOAP, transporte HTTP de contêiner da Web
CellDefaultSSLSettings
JSSE
(Somente implementação de rede) configuração para conector SOAP JMX, cliente SOAP, transporte HTTP de contêiner da Web
DefaultIIOPSSL
SSSL
Utilizado apenas se DAEMON SSL estiver ativado
Nenhuma ação adicional será necessária se forem suficientes para suas necessidades. Se você desejar criar ou modificar essas configurações, deve assegurar-se de que os arquivos de armazenamento de chaves aos quais se referem estejam criados.
- Clique em Segurança > Segurança global para configurar o resto das configurações de segurança
e ativar a segurança. Para obter
informações sobre essas configurações, consulte Configurações de segurança global.
Para obter mais informações, consulte Servidor e segurança administrativa.
- Valide a configuração de segurança concluída clicando em OK ou Aplicar. Se ocorrerem problemas, eles serão exibidos em vermelho.
- Se não houver problemas de validação, clique em Salvar para salvar as configurações para um arquivo utilizado pelo servidor ao reiniciar. Salva grava as configurações para o repositório de configuração. Importante: Se você não clicar em Aplicar ou um OK no painel de Segurança Global antes de clicar em Salvar, suas alterações não serão gravadas no repositório. O servidor deve ser reiniciado para que as alterações tenham efeito antes de iniciar o console administrativo.
A ação de salvar permite que o gerenciador de implementação use as configurações alteradas depois que o WebSphere Application Server é reiniciado. Para obter mais informações, consulte Ativando a Segurança para a Região. Uma configuração do gerenciador de implementação difere de um servidor de aplicativos de base independente. A configuração será temporariamente armazenada no gerenciador de implantação até que seja sincronizada com todos os agentes de nó.
Além disso, verifique se todos os agentes de nós estão ativados e em execução no domínio. Pare todos os servidores de aplicativos durante esse processo. Se algum dos agentes de nós estiver inativo, execute um utilitário de sincronização de arquivos manual a partir da máquina do agente do nó para sincronizar a configuração da segurança a partir do gerenciador de implantação. Caso contrário, o agente de nó com problemas não se comunicará com o gerenciador de implantação depois da segurança ser ativada no gerenciador de implantação.
- Inicie o console administrativo do WebSphere Application Server.
Inicie o gerenciador de implementação e, no seu navegador, digite o endereço do seu servidor WebSphere Application Server, Network Deployment. Por padrão, o console está localizado em http://your_host.your_domain:9060/ibm/console.
Se a segurança estiver atualmente desativada, efetue login com qualquer ID do usuário. Se a segurança estiver atualmente ativada, efetue login com um ID administrativo e senha predefinidos. Esse ID geralmente é o ID do usuário do servidor especificado na configuração do registro do usuário.
Subtópicos
Segurança Administrativa
A segurança administrativa determina se a segurança é mesmo utilizada, o tipo de registro em relação ao qual a autenticação ocorre e outros valores, muitos dos quais agem como padrões. É necessário um planejamento adequado porque a ativação incorreta da segurança administrativa pode bloqueá-lo no console administrativo ou causar encerramento do servidor de forma anormal.Considerações de Segurança Quando Estiver em um Ambiente Multinós do WebSphere Application Server, Network Deployment do WebSphere Application Server
O WebSphere Application Server, Network Deployment suporta o gerenciamento centralizado de nós distribuídos e servidores de aplicativos. Esse suporte traz a complexidade como herança, principalmente quando a segurança é incluída. Como tudo é distribuído, a segurança tem uma função ainda maior para assegurar que as comunicações sejam protegidas corretamente entre servidores de aplicativos e agentes de nós e entre agentes de nós (um gerenciador de configuração específico do nó) e o gerenciador de implementação (um gerenciador de configuração centralizado de todo o domínio).Segurança do Aplicativo
A segurança do aplicativo ativa a segurança dos aplicativos em seu ambiente. Esse tipo de segurança fornece isolamento do aplicativo e requisitos para autenticação de usuários do aplicativoSegurança do Java 2
A segurança do Java 2 fornece um mecanismo de controle de acesso de baixa granularidade com base em política que aumenta a integridade geral do sistema verificando as permissões antes de permitir o acesso a determinados recursos protegidos do sistema. A segurança do Java 2 protege o acesso aos recursos do sistema, como E/S de arquivos, soquetes e propriedades. A segurança do Java 2 Platform, Enterprise Edition (J2EE) protege acesso aos recursos da Web, como servlets, arquivos JavaServer Pages (JSP) e métodos Enterprise JavaBeans (EJB).Ativando a Segurança para a Região
Utilize este tópico para ativar a segurança do IBM WebSphere Application Server. Você deve ativar a segurança administrativa para que todas as outras configurações de segurança funcionem.Configurando o suporte ao Java Servlet 3.1 para segurança
O WebSphere Application Server tradicional suporta todas as atualizações de segurança, conforme definido na especificação do Java Servlet 3.1.Testing security after enabling it
Basic tests are available that show whether the fundamental security components are working properly. Use this task to validate your security configuration.Security Configuration Wizard
The Security Configuration Wizard guides you through the process of completing the basic requirements to secure your application serving environment.Relatório de Configuração de Segurança
O relatório de configuração de segurança reúne e exibe as configurações de segurança atuais do servidor de aplicativos. São reunidas informações sobre configurações de segurança principal, usuários e grupos administrativos, funções de nomenclatura CORBA e proteção de cookie. Quando vários domínios de segurança forem configurados, cada domínio de segurança terá seu próprio relatório com um subconjunto das seções mostradas no relatório de segurança global que se aplicam ao domínio.Adding a new custom property in a global security configuration or in a security domain configuration
Custom properties are arbitrary name-value pairs of data, where the name is a property key and the value is a string value that can be used to set internal system configuration properties. Defining a new property enables you to configure settings beyond those that are available in the administrative console. You can add new security custom properties in a security configuration or in a security domain configuration.Modifying an existing custom property in a global security configuration or in a security domain configuration
Custom properties are arbitrary name-value pairs of data, where the name is a property key and the value is a string value that can be used to set internal system configuration properties. Defining a new property enables you to configure settings beyond those that are available in the administrative console. You can modify existing security custom properties in a global security configuration or in a security domain configuration.Deleting an existing custom property in a global security configuration or in a security domain configuration
Custom properties are arbitrary name-value pairs of data, where the name is a property key and the value is a string value that can be used to set internal system configuration properties. Defining a new property enables you to configure settings beyond those that are available in the administrative console. You can delete existing security custom properties in a global security configuration or in a security domain configuration.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
Nome do arquivo: tsec_csec2.html