Copiando Diversos Domínios de Segurança

É possível copiar diversos domínios de segurança selecionados da coleção de domínios para criar um novo domínio. Esse processo é útil se você desejar criar um domínio semelhante a domínio anterior. No entanto, é possível que você queira fazer alguns pequenos ajustes. Ao copiar um domínio existente, você deve fornecer um nome de domínio exclusivo para o novo domínio.

Antes de Iniciar

Apenas usuários designados para a função de administrador podem copiar ou criar vários novos domínios de segurança. Antes de copiar diversos domínios de segurança, ative a segurança global em seu ambiente.

Leia o Domínios de Segurança Múltiplos para obter melhor conhecimento sobre vários domínios de segurança e como eles são suportados nesta versão do WebSphere Application Server.

Sobre Esta Tarefa

Os domínios de segurança fornecem um mecanismo para utilizar diferentes configurações de segurança para aplicativos administrativo e aplicativos de usuário. Fornecem também a capacidade para suportar várias configurações de segurança, de forma que diferentes aplicativos possam utilizar diferentes atributos de segurança, como configurações de registro do usuário e de login.

Use diversos domínios de segurança para atingir os seguintes objetivos:
  • Configurar diferentes atributos de segurança para aplicativos administrativos e do usuário em uma célula
  • Consolidar as configurações do servidor, gerenciando diferentes configurações de segurança em uma célula
  • Restringir o acesso entre aplicativos com diferentes registros de usuário ou configurar relacionamentos confiáveis entre aplicativos, para oferecer suporte à comunicação entre registros

Execute as etapas a seguir para copiar um domínio de segurança existente usando o console administrativo:

Procedimento

  1. Clique em Segurança > Domínios de Segurança.
  2. Opcional: Em Preferências, é possível selecionar o número máximo de linhas a serem exibidas quando a coleção de domínios for grande. O número padrão de linhas é 20. As linhas que excederem o número máximo serão exibidas nas páginas subsequentes.
  3. Selecione um domínio a ser copiado.
  4. Clique em Copiar Domínio Selecionado... para copiar um domínio existente da coleção. Opcionalmente, é possível selecionar Copiar Segurança Global.. para copiar um domínio existente mantendo suas configurações de segurança global (as seleções da coleção são ignoradas). Se você escolher essa opção também será necessário fornecer um novo nome de domínio.
  5. Especifique um nome exclusivo para o domínio. Este campo é requerido. Um nome de domínio deve ser exclusivo em uma célula e não pode conter um caractere inválido.
  6. Especifique uma descrição exclusiva para o domínio.
  7. Clique em Aplicar. Ao clicar em Aplicar você retornará para a página de detalhes Domínios de Segurança
  8. Em Escopos Designados, designe o domínio de segurança para a célula inteira ou selecione os servidores, clusters e barramentos de integração de serviços específicos a serem incluídos no domínio de segurança.
  9. Customize a configuração de segurança, especificando atributos de segurança para o novo domínio e designando-o para recursos da célula.
    É possível alterar os atributos de segurança da seguinte maneira:
    Segurança do Aplicativo
    Especifica as configurações para segurança do aplicativo e segurança do Java™ 2. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

    Selecione Ativar Segurança do Aplicativo para ativar ou desativar essa opção de segurança para aplicativos do usuário. Quando essa seleção é desativada, todos os aplicativos EJBs e da web no domínio de segurança não estão mais protegidos. Access is granted to these resources without user authentication. Quando você ativa essa seleção, a segurança J2EE é reforçada a todos os EJBs e aplicativos da Web no domínio de segurança. The J2EE security is only enforced when Global Security is enabled in the global security configuration, (that is, you cannot enable application security without first enabling Global Security at the global level).

    Segurança do Java 2
    Selecione Segurança do Java 2 para ativar ou desativar a segurança do Java 2 no nível de domínio. Essa opção permite ativar ou desativar a segurança do Java 2 no nível de processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar a segurança do Java 2.
    Região do Usuário

    This section enables you to configure the user registry for the security domain. É possível configurar separadamente qualquer registro que é usado no nível de domínio. Leia sobre Domínios de Segurança Múltiplos para obter informações adicionais.

    Associação Confiável
    Quando você configura o TAI (interceptor da associação de confiança) em um nível de domínio, os interceptores configurados no nível global são copiados para o nível de domínio por conveniência. You can modify the interceptor list at the domain level to fit your needs. Only configure those interceptors that are to be used at the domain level.
    Autenticação da Web de SPNEGO
    A autenticação da Web SPNEGO, que permite a você configurar SPNEGO para autenticação de recurso da Web, pode ser configurada no nível de domínio.
    Nota: No WebSphere Application Server Versão 6.1, foi introduzido um TAI que utiliza o SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar e autenticar com segurança os pedidos de HTTP para recursos protegidos. Essa função foi descontinuada no WebSphere Application Server 7.0. A autenticação da Web SPNEGO tomou esse lugar para fornecer recarregamento dinâmico dos filtros SPNEGO e para ativar fallback para o método de login do aplicativo.
    Segurança RMI/IIOP

    O atributo de segurança RMI/IIOP refere-se às propriedades do protocolo CSIv2 (Common Secure Interoperability versão 2). Ao configurar esses atributos no nível de domínio, a configuração de segurança RMI/IIOP no nível global é copiada por conveniência.

    You can change the attributes that need to be different at the domain level. As configurações da camada de transporte para comunicações de entrada CSIv2 devem ser iguais para o nível global e nível do domínio. Se forem diferentes, os atributos do nível de domínio serão aplicados a todos do aplicativo no processo.

    Logins do Aplicativo JAAS
    Especifica as definições de configuração para os logins do aplicativo JAAS (Java Authentication and Authorization Service). Você pode utilizar as configurações de segurança global ou customizar as configurações para um domínio.

    The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema têm acesso aos logins do JAAS configurados no nível global. The security runtime first checks for the JAAS logins at the domain level. Se eles não forem localizados, ele fará a verificação na segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.

    Logins do Sistema JAAS
    Especifica as definições de configuração para os logins de sistema JAAS. É possível utilizar as configurações de segurança global ou customizar as definições de configuração para um domínio.

    The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema têm acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.

    Autenticação J2C do JAAS
    Especifica as definições de configuração para os dados de autenticação J2C do JAAS. É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio.

    The JAAS application logins, the JAAS system logins, and the JAAS J2C authentication data aliases can all be configured at the domain level. Por padrão, todos os aplicativos do sistema têm acesso aos logins do JAAS configurados no nível global. O tempo de execução de segurança verificará primeiro os logins JAAS no nível do domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure qualquer um desses logins JAAS em um domínio apenas quando precisar especificar um login utilizado exclusivamente pelos aplicativos no domínio de segurança.

    Java Authentication SPI (JASPI)

    Especifica as definições de configuração de um provedor de autenticação do Java Authentication SPI (JASPI). É possível utilizar as configurações de segurança global ou customizar as configurações para um domínio. Para configurar os provedores de autenticação JASPI para um domínio, selecione Customizar para esse domínio e então ative JASPI. Selecione Provedores para definir provedores para o domínio.

    Nota: O provedor de autenticação JASPI pode ser ativado com provedores configurados no nível de domínio. Por padrão, todos os aplicativos no sistema têm acesso aos provedores de autenticação JASPI configurados no nível global. O tempo de execução de segurança verifica primeiro os provedores de autenticação JASPI no nível de domínio. Se eles não forem localizados, ele fará a verificação na segurança global. Configure os provedores de autenticação JASPI em um domínio apenas quando o provedor tiver que ser usado exclusivamente pelos aplicativos nesse domínio de segurança.
    Atributos do Mecanismo de Autenticação

    Especifica as diversas configurações de cache que devem ser aplicadas no nível de domínio.

    Selecione Configurações do Cache de Autenticação para especificar as configurações do cache de autenticação. A configuração especificada neste painel é aplicada somente neste domínio.

    Selecione Tempo Limite LTPA para configurar um valor de tempo limite LTPA diferente no nível de domínio. O valor de tempo limite padrão é de 120 minutos, que é configurado no nível global. Se o tempo limite de LTPA for configurado no nível do domínio, qualquer token criado no domínio de segurança ao acessar aplicativos de usuário terá esse tempo de expiração.

    Quando Utilizar nomes de usuário qualificados para a região estiver ativado, os nomes de usuário retornados pelos métodos como getUserPrincipal( ) serão qualificados com a região de segurança (registro do usuário) utilizada pelos aplicativos no domínio de segurança.

    Provedor de Autorização

    You can configure an external third party JACC (Java Authorization Contract for Containers) provider at the domain level. O provedor JACC do Tivoli Access Manager só pode ser configurado no nível global. Os domínios de segurança poderão continuar a utilizá-lo se não substituírem o provedor de autorização por outro provedor JACC ou pela autorização nativa incorporada.

    [z/OS]É possível configurar, adicionalmente, as opções de autorização SAF no nível de domínio de segurança, que são as seguintes:
    • O ID do usuário não autenticado
    • O mapeador do perfil do SAF
    • Se a delegação SAF será ativada
    • Se utiliza o perfil APPL para restringir o acesso ao WebSphere Application Server
    • Se as mensagens de falha de autorização serão suprimidas
    • A estratégia de registro de auditoria do SMF
    • O prefixo do perfil do SAF

    [z/OS]Para obter mais informações sobre as opções de autorização SAF, consulte Autorização do z/OS System Authorization Facility.

    [z/OS]
    Opções de Segurança do z/OS
    É possível configurar as opções de segurança específicas do z/OS no nível do processo (JVM), para que todos os aplicativos (administrativos e de usuário) possam ativar ou desativar essas opções. Essas propriedades são:
    • Enabling application server and z/OS thread identity synchronization
    • Ativando a identidade do encadeamento RunAs do gerenciador de conexões.

    Para obter mais informações sobre as opções de segurança do z/OS, consulte Opções de Segurança do z/OS

    Propriedades Personalizadas
    Configure as propriedades customizadas no nível de domínio que sejam novas ou diferentes das propriedades no nível global. Por padrão, todas as propriedades customizadas na configuração de segurança global podem ser acessadas por todos os aplicativos da célula. The security runtime code first checks for the custom property at the domain level. If it does not find it, it then attempts to obtain the custom property from the global security configuration.
  10. Clique em Aplicar.
  11. Depois de salvar todas as mudanças na configuração, reinicie o servidor, para que as mudanças entrem em vigor.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_copy
Nome do arquivo: tsec_sec_domains_copy.html