管理安全性
管理安全性确定是否无论如何都使用安全性、执行认证所针对的注册表类型以及其他值(其中许多值用作缺省值)。需要进行正确的规划,因为不正确地启用管理安全性可以将您锁定在管理控制台的外面,或者导致服务器异常结束。
注: 强烈建议您允许缺省安装执行管理安全性的缺省安装。
可以将管理安全性看作一个激活 WebSphere® Application Server 的各种安全性设置的“大型交换机”。可以指定这些设置的值,但是在激活了管理安全性之后它们才会生效。设置包括
用户的认证、安全套接字层 (SSL) 的使用以及用户帐户存储库的选择。尤其是,只有激活管理安全性才会强
制执行应用程序安全性(包括认证和基于角色的授权)。缺省情况下将启用管理安全性。
注: 无须激活管理安全性,WebSphere 应用程序也可以利用
JSSE 方法来加密与远程站点的通信。
管理安全性表示对于整个安全域有效的安全性配置。安全域由使用同一用户注册表领域名配置的所有服务器组成。在某些情况下,领域可以是本地操作系统注册表的机器名。在此情况下,所有应用程序服务器必须位于同一台物理机器上。在其他情况下,领域可以是独立的“轻量级目录访问协议”(LDAP) 注册表的机器名。
因为可以远程访问支持 LDAP 协议的用户注册表,所以支持多个节点配置。因此,可以在任何位置启用认证。
安全域的基本要求是,从安全域内的一台服务器的注册表或存储库返回的访问标识与从同一安全域内的任何其他服务器上的注册表或存储库返回的访问标识相同。访问标识是用户唯一的 标识,用于在授权期间确定是否允许访问资源。
管理安全性配置适用于安全域中的每台服务器。
为什么启用管理安全性?
启用管理安全性将激活用于防止未经授权的用户使用服务器的设置。缺省情况下,在创建概要文件时会启用管理安全性。可能有一些环境不需要安全性,例如开发系统。在这些系统上,可以选择禁用管理安全性。但是,在大多数环境中应该禁止未授权用户访问管理控制台以及业务应用程序。必须启用管理安全性以限制访问。
管理安全性可保护哪些对象?
安全域的管理安全性的配置涉及配置下列技术:
- HTTP 客户机认证
- IIOP 客户机认证
- 管理控制台安全性
- 命名安全性
- 使用 SSL 传输
- Servlet、企业 Bean 和 mbean 的基于角色的授权检查
- 身份传播 (RunAs)
CBIND 检查
- 公共用户注册表
- 认证机制
- 定义安全域行为的其他安全性信息包括:
- 认证协议(远程方法调用/因特网 ORB 间协议 (RMI/IIOP) 安全性)
- 其他各种属性
注: 在向管理代理程序进程注册节点之前,建议您首先在管理代理程序和基本概要文件中启用管理安全性。在向管理代理程序注册概要文件后,将无法更改管理安全性的启用状态。