配置本地操作系统注册表
使用这些步骤来配置本地操作系统注册表。
开始之前
要了解有关使用本地操作系统用户注册表的详细信息,请参阅本地操作系统注册表。下列步骤根据 WebSphere Application Server 所安装在的本地操作系统的用户注册表设置安全性。
为了确保安全,WebSphere Application Server 提供并支持 Windows 操作系统注册表、AIX®、Solaris 以及多个 Linux 操作系统版本的实现。产品进程(服务器)调用相应操作系统应用程序编程接口 (API),来认证用户和执行其他与安全性相关的任务(例如获取用户或组信息)。只有拥有特权的用户才能访问这些 API。这些特权取决于操作系统,如本主题中后续部分所述。
选择本地操作系统注册表后,将选择启动的任务标识作为服务器标识。因此,不需要用户标识和密码就可以配置服务器。
![[z/OS]](../images/ngzos.gif)
![[Windows]](../images/windows.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
- 服务器标识不能与产品所安装在的 Windows 机器的名称相同。例如,如果 Windows 机器名为 vicky,并且安全性服务器标识也是 vicky,那么获取用户 vicky 的信息(例如组信息)时,Windows 系统将发生故障。
- WebSphere Application Server 动态地确定该机器是否 Windows 系统域的成员。
- WebSphere Application Server 不支持 Windows 可信域。
- 如果机器是 Windows 域的成员,那么域用户注册表和该机器的本地用户注册表都将参与认证和安全角色映射。
- 如果使用 Windows 域用户标识来安装和运行 WebSphere Application Server,那么此标识必须具有以下特权:
- 属于域控制器内的域管理组
- 在域控制器上的域安全策略中具有“作为操作系统的一部分”特权。
- 在本地机器上的本地安全策略中具有“作为操作系统的一部分”特权。
- 在本地机器上具有“作为服务登录”特权(如果服务器作为服务运行)。
- 域用户注册表优先于机器的本地用户注册表,如果在这两个用户注册表中有密码相同的用户,会造成不良影响。
- 运行产品进程的用户必须拥有管理和以操作系统方式操作特权,这样才能调用用于认证或收集用户和组信息的 Windows 操作系统 API。进程需要由这些特权提供的特权。本示例中的用户可能与安全性服务器标识(它必须是注册表中的有效用户)不同。如果产品进程已使用服务启动,那么此用户将登录到机器(如果使用命令行来启动产品进程)或登录到服务面板中的“登录用户”设置。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
运行产品进程的用户需要 root 特权。要调用操作系统 API 以认证或收集用户和组信息,需要此特权。进程需要由 root 特权给定的特权。此用户可能与安全性服务器标识(它应该是注册表中的有效用户)不同。此用户登录到机器并运行产品进程。
如果使用本地操作系统注册表,那么启用管理安全性的用户必须拥有 root 特权。否则,将显示验证失败错误。
在系统中可能需要有密码影子文件。
关于此任务
为 WebSphere Application Server
设置用户注册表之后,系统授权工具 (SAF) 将与用户注册表共同授权应用程序在服务器上运行。要了解有关 SAF 功能的更多信息,请参阅系统授权工具用户注册表。完成下列步骤以配置其他与本地操作系统用户注册表和 SAF 配置相关联的属性。
![[z/OS]](../images/ngzos.gif)
最初,在第一次设置安全性时,需要完成下列步骤以执行本任务。
过程
结果
为了使此面板中的任何更改生效,需要保存更改,停止所有产品服务器(包括 Deployment Manager、节点和应用程序服务器),然后再启动。如果启动服务器时未发生任何问题,那么表示设置正确。
完成这些步骤后,您已将 WebSphere Application Server 配置为使用本地操作系统注册表来标识授权用户。
下一步做什么
完成任何其余用于启用安全性的步骤。有关更多信息,请参阅启用安全性。