向管理代理程序注册基本应用程序服务器节点时的安全性注意事项

您可能决定通过向管理代理程序注册独立基本应用程序服务器集中控制这些服务器。如果基本应用程序服务器当前已正确地配置了安全性,那么需要考虑一些问题。这些安全性注意事项适用于 registerNode 命令和 deregisterNode 命令的使用。

registerNode 命令的目标是获取独立基本节点,并将它转换为由管理代理程序管理的节点。registerNode 命令的主参数是 profilePath,它指定管理代理程序可在本地机器上的何处找到节点。portsFile 参数包含确定管理代理程序代表基本节点所侦听端口的密钥。格式与用于 manageProfiles 命令行的格式相同。

registerNode 命令从管理代理程序本身运行。它用于向管理代理程序注册节点。管理代理程序必须与所注册的节点位于同一系统上。registerNode 命令仅在基本节点上有效。如果节点已联合到 Deployment Manager,那么 registerNode 命令将失败并生成错误。

首先,概要文件注册的交换签署者过程处理缺省安全套接字层 (SSL) 配置,其中该过程从管理代理程序的 NodeDefaultRootStore 获取根证书签署者,并将它们存储在目标概要文件的 NodeDefaultTrustStore 中。接下来,该过程从目标概要文件的 NodeDefaultRootStore 中获取根证书签署者,并将它们存储在管理代理程序的 NodeDefaultTrustStore 中。签署者使用别名前缀“agent_signer”存储在目标概要文件信任库中,使用别名前缀“<profileName>_signer”存储在管理代理程序信任库中。

接下来,概要文件注册的交换签署者过程处理 RSAToken 认证配置,其中该过程从管理代理程序的 NodeRSATokenRootStore 获取根证书签署者,并将它们存储在目标概要文件的 NodeRSATokenTrustStore 中。接下来,该过程从目标概要文件的 NodeRSATokenRootStore 中获取根证书签署者,并将它们存储在管理代理程序的 NodeRSATokenTrustStore 中。签署者使用别名前缀“agent_signer”存储在目标概要文件信任库中,使用别名前缀“<profileName>_signer”存储在管理代理程序信任库中。

此外,注册过程将管理代理程序的所有根证书签署者(SSL 和 RSAToken)存储在目标概要文件的客户机信任库(缺省情况下为 ClientDefaultTrustStore)中。

deregisterNode 命令激活取消注册过程,以从管理代理程序和基本概要文件移除注册过程期间交换的所有签署者。基本节点的配置将保留,只是它将标记为未向管理代理程序注册。此命令仅对于先前已注册的基本节点有效。

在启用安全性的情况下运行 registerNode 命令时需要考虑以下问题:
  • 尝试运行系统管理命令(例如 registerNode 命令)时,需要明确指定管理凭证才能执行操作。registerNode 命令接受 -username 和 -password 参数,以分别指定用户标识和密码。指定的用户标识和密码必须是管理用户;例如,作为控制台用户的成员,具有管理员特权的用户,或在用户注册表中配置的管理用户标识。registerNode 命令的示例如下:

    registerNode -profilePath /WebSphere/AppServer/profiles/default -host localhost -connType SOAP -port 8877 -username WSADMIN -password ADMINPWD

  • 向管理代理程序注册之前,节点必须启用或禁用管理安全性。
  • 注册节点后,除非对该节点取消注册,否则将无法为该节点(或任何其他已注册节点)启用或禁用管理安全性。
正确理解分布式服务器之间的安全性交互作用会大大减少安全通信时遇到的问题。因为需要管理其他功能,所以安全性会增加复杂性。管理代理程序提供了一种在保持安全性的同时管理更多功能的方式。

可以帮助将 registerNode 与安全性配合使用的常规问题和答案

在向管理代理程序注册节点之后可以更改节点的安全设置吗?
必须在管理代理程序和所有已注册节点中启用管理安全性,或者必须在管理代理程序和所有已注册节点中禁用管理安全性。除此之外,已注册节点和管理代理程序可以在注册节点之前或之后具有其他不同安全配置。但是,管理安全配置必须在管理代理程序和已注册节点之间一致。
在管理代理程序注册节点之后可以更改管理代理程序的安全设置吗?
不可以。请参阅上一问题和答案。管理安全配置在管理代理程序和已注册节点之间会不一致。
如果管理代理程序已启用安全性,节点需要启用安全性吗?
是。如果管理代理程序已启用管理安全性,那么节点需要启用管理安全性。
在注册节点之前,管理代理程序和节点可以具有不同安全设置和值吗?
可以,但管理安全性的值除外。
registerNode 命令中 -username username / -password password-nodeusername node_user_name / -nodepassword node_password 参数的正确用法是什么?
username / password 指的是管理代理程序中定义的管理用户和密码。nodeusername / nodepassword 指的是要注册的节点中定义的管理用户和密码。
注: 仅当在管理代理程序和要注册的节点上启用了管理安全性时,才需要 nodeusername / nodepassword
RegisterNode 用法示例:
${WAS_ROOT}/profiles/AA_1/bin/registerNode.sh
-connType SOAP
-port ${soap}
-username $SUSER
-password $SPASS
-profilePath ${WAS_ROOT}/profiles/AS_1_1
-nodeusername $SUSER2
-nodepassword $SPASS2 
[z/OS]
z/OS 的特殊注意事项: 在 z/OS 下,管理代理程序的控制器用户标识必须包含其缺省 Unix 系统服务配置组,即它将管理的应用程序服务器的配置组。管理代理程序的服务方用户标识必须连接到同一个组。确保此条件的最简便方法是在配置管理代理程序及其应用程序服务器时指定一个配置组标识。

当系统授权设施 (SAF) 本地注册表用于管理安全性时,用于调用 registerNode.shderegisterNode.sh 命令的用户标识必须具有管理代理程序的管理特权,并且必须也连接到管理代理程序及其应用程序服务器的 UNIX 系统服务配置组。

当 SAF 密钥环用于证书存储时,注册期间不交换签署者。您必须确保管理代理程序的服务器证书与它将管理的应用程序服务器的证书共享公共签署者,并确保此公共签署者位于用于调用 registerNode.shderegisterNode.sh 的管理员用户标识的密钥环上。
注: 注册或取消注册期间使用的密钥环是与管理代理程序相关的密钥环。

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7register_admin_agent
文件名:rsec_7register_admin_agent.html