创建多个新的安全域
可以在配置中创建多个安全域。通过创建多个安全域,可以为单元环境中的管理应用程序和用户应用程序配置不同的安全性属性。
开始之前
只有已被分配管理员角色的用户才能创建多个新的安全域。请在环境中启用全局安全性,然后再创建多个新的安全域。
请阅读多个安全域以更好地了解多个安全域的含义以及在此版本的 WebSphere Application Server 中如何支持多个安全域。
关于此任务
安全域提供了一种机制来将不同的安全性设置用于管理应用程序和用户应用程序。它们也可以支持多个安全性设置,所以不同应用程序可以使用不同安全性属性,如用户注册表或登录配置。
- 为单元中的管理应用程序和用户应用程序配置不同的安全性属性
- 通过管理单元中的不同安全性配置来合并服务器配置
- 使用不同的用户注册表来限制应用程序之间的访问,或配置应用程序之间的信任关系以支持在注册表之间进行通信
过程
- 单击安全性 > 安全域。
- 在“安全域集合”页面上,单击新建。
- 为该域指定唯一名称。 域名在单元中必须是唯一的,并且不能包含无效字符。此字段是必填字段。
- 为该域指定唯一描述。 在单击应用后,会返回到“安全域详细信息”页面。
- 在“已分配的范围”下,将安全域分配给整个单元,或者选择要包括在此安全域中的特定服务器、集群和服务集成总线。
- 通过为新域指定安全性属性及将该新域分配给单元资源,来定制安全性配置。 可以更改如下所示的安全性属性:
- 应用程序安全性
- 指定应用程序安全性和 Java™ 2 安全性的设置。可以使用全局安全性设置或者定制某个域的设置。
选择启用应用程序安全性,以对用户应用程序启用或禁用此安全性选项。如果禁用了此选项,那么安全域中的所有 EJB 和 Web 应用程序都将不再受保护。授予对这些资源的访问权而不进行用户认证。如果启用了此选项,那么将对安全域中的所有 EJB 和 Web 应用程序强制启用 J2EE 安全性。仅当在全局安全性配置中启用了全局安全性时才能强制启用 J2EE 安全性。即,如果不首先在全局级别启用全局安全性,就不能启用应用程序安全性。
- Java 2 安全性
- 选择 Java 2 安全性,以在域级别启用或禁用 Java 2 安全性。此选项将在进程 (JVM) 级别启用或禁用 Java 2 安全性,以便所有应用程序(管理应用程序和用户应用程序)都可以启用或禁用 Java 2 安全性。
- 用户领域
此部分使您能够为安全域配置用户注册表。可以单独配置在域级别使用的任何注册表。有关更多信息,请参阅多个安全域。
- 信任关联
- 如果在域级别配置信任关联拦截器 (TAI),那么会为了便利起见,而将在全局级别配置的拦截器复制到该域级别。可以在域级别修改拦截器列表,以适合您的需求。请仅配置那些要在该域级别使用的拦截器。
- SPNEGO Web 认证
- 可以在域级别配置 SPNEGO Web 认证,此认证使您能够配置 SPNEGO 以进行 Web 资源认证。注: 在 WebSphere Application Server V6.1 中引入了一种 TAI,该 TAI 使用“简单且受保护的 GSS-API 协商机制”(SPNEGO) 来安全地协商和认证对受保护资源发出的 HTTP 请求。建议在 WebSphere Application Server V7.0 中不要使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。
- RMI/IIOP 安全性
RMI/IIOP 安全性属性是指 CSIv2(公共安全互操作性 V2)协议特性。当您在域级别配置这些属性时,为了方便起见,将复制全局级别的 RMI/IIOP 安全性配置。
可以更改那些需要在域级别互不相同的属性。对于全局级别和域级别,用于 CSIv2 入站通信的传输层设置应相同。如果他们不相同,那么会将域级别的属性应用到进程中的所有应用程序。
- JAAS 应用程序登录
- 指定 Java 认证和授权服务 (JAAS) 应用程序登录的配置设置。您可以使用全局安全性设置或者定制某个域的设置。
JAAS 应用程序登录、JAAS 系统登录和 JAAS J2C 认证数据别名都可以在域级别进行配置。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JAAS 登录。安全性运行时首先会在域级别检查 JAAS 登录。如果未找到他们,就会接着在全局安全性配置中对他们执行检查。仅当需要指定供安全域中的应用程序独占使用的登录时,才在域中配置任何这些 JAAS 登录。
- JAAS 系统登录
- 指定 JAAS 系统登录的配置设置。可以使用全局安全性设置或者定制域的配置设置。
JAAS 应用程序登录、JAAS 系统登录和 JAAS J2C 认证数据别名都可以在域级别进行配置。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JAAS 登录。安全性运行时将首先在域级别检查 JAAS 登录。如果未找到他们,就会接着在全局安全性配置中对他们执行检查。仅当需要指定供安全域中的应用程序独占使用的登录时,才在域中配置任何这些 JAAS 登录。
注: 对于“JAAS 应用程序登录”和“JAAS 系统登录”,只有在先创建一个安全域后,才会填充这些集合。为此,请选择“JAAS 应用程序登录”和“JAAS 系统登录”下的针对此域进行定制,然后选择应用或确定。
- JAAS J2C 认证
- 指定 JAAS J2C 认证数据的配置设置。您可以使用全局安全性设置或者定制某个域的设置。
JAAS 应用程序登录、JAAS 系统登录和 JAAS J2C 认证数据别名都可以在域级别进行配置。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JAAS 登录。安全性运行时首先会在域级别检查 JAAS 登录。如果未找到他们,就会接着在全局安全性配置中对他们执行检查。仅当需要指定供安全域中的应用程序独占使用的登录时,才在域中配置任何这些 JAAS 登录。
- Java 认证 SPI (JASPI)
指定 Java 认证 SPI (JASPI) 认证提供程序的配置设置。您可以使用全局安全性设置或者定制某个域的设置。要配置域的 JASPI 认证提供程序,请选择针对此域进行定制,然后启用 JASPI。选择提供程序以定义此域的提供程序。
注: 可以通过在域级别配置的提供程序启用 JASPI 认证提供程序。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JASPI 认证提供程序。安全性运行时将首先在域级别检查 JASPI 认证提供程序。如果未找到他们,就会接着在全局安全性配置中对他们执行检查。仅当该安全域中的应用程序要独占地使用 JASPI 认证提供程序时,才应该在域中配置该提供程序。
- 认证机制属性
指定需要在域级别应用的各项高速缓存设置。
选择认证高速缓存设置以指定认证高速缓存设置。在此面板上指定的配置仅适用于此域。
选择 LTPA 超时以便在域级别配置另一个 LTPA 超时值。缺省超时值是 120 分钟,此值是在全局级别设置的。如果在域级别设置了 LTPA 超时,那么将使用此到期时间来创建在访问用户应用程序时在安全域中创建的任何令牌。
如果启用了使用由领域限定的用户名,那么将使用安全域中的应用程序所使用的安全性领域(用户注册表)对 getUserPrincipal( ) 之类的方法所返回的用户名进行限定。
- 授权提供程序
可以在域级别配置外部的第三方 JACC (Java Authorization Contract for Containers) 提供程序。只能在全局级别配置 Tivoli® Access Manager 的 JACC 提供程序。如果安全域不使用另一个 JACC 提供程序或者内置本机授权来覆盖授权提供程序,那么这些安全域仍然可以使用该 JACC 提供程序。
另外,还可以在安全域级别配置 SAF 授权选项,这些选项包括:
- 未经认证的用户标识
- SAF 概要文件映射器
- 是否启用 SAF 委派
- 是否要使用 APPL 概要文件来限制对 WebSphere Application Server 的访问
- 是否消除授权失败消息
- SMF 审计记录策略
- SAF 概要文件前缀
有关 SAF 授权选项的更多信息,请阅读z/OS 系统授权工具授权。
- z/OS® 安全性选项
- 可以在进程 (JVM) 级别设置特定于 z/OS 的安全性选项,以便所有应用程序(管理应用程序和用户应用程序)都可以启用或禁用这些选项。这些属性如下:
- 启用应用程序服务器和 z/OS 线程标识同步
- 启用连接管理器 RunAs 线程标识。
有关 z/OS 安全性选项的更多信息,请阅读z/OS 安全性选项。
- 定制属性
- 请在域级别设置新的定制属性或者设置与全局级别的定制属性不同的定制属性。缺省情况下,单元中的所有应用程序都可以访问全局安全性配置中的所有定制属性。安全性运行时代码首先在域级别查找定制属性。如果未找到定制属性,那么它会尝试从全局安全性配置中获得定制属性。
- 单击应用。
- 在保存配置更改后,请重新启动服务器以使更改生效。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_new
文件名:tsec_sec_domains_new.html