处于多节点 WebSphere Application Server WebSphere Application Server Network Deployment 环境时的安全性注意事项

WebSphere® Application Server Network Deployment 支持集中管理分布式节点和应用程序服务器。此支持本质上就很复杂,特别是包括安全性时。因为一切都是分布式的,所以为了确保通信在应用程序服务器和节点代理程序之间以及在节点代理程序(特定于节点的配置管理器)和 Deployment Manager(域范围的集中式配置管理器)之间受到适当的保护,安全性起到了更重要的作用。

开始之前

[AIX Solaris HP-UX Linux Windows][IBM i]因为进程是分布式的,必须使用的认证机制为轻量级第三方认证 (LTPA)。LTPA 令牌已加密和签名,并可转发到远程进程。但是,令牌会到期。SOAP 连接器(缺省连接器)用于管理安全性,它没有用于到期令牌的重试逻辑。但是,协议是无状态的,因此,如果在令牌中剩余的给定时间内,没有足够的时间运行请求,那么会为每个请求创建新令牌。备用连接器是 RMI 连接器,它是有状态的,并具有一些重试逻辑,以通过在检测到错误后重新提交请求来改正到期令牌。而且,因为令牌在指定时间到期,所以系统时钟的同步对于进行基于令牌的验证操作是至关重要的。如果时钟偏差过多(大约 10-15 分钟),那么可能遇到不可恢复的验证故障(通过使它们同步可避免的故障)。验证系统之间的时间、日期和时区是否都相同。节点可接受的是跨时区,假设时间在时区是正确的(例如,5 PM CST = 6 PM EST,等)。

[z/OS]因为进程是分布式的,所以必须选择支持认证令牌的认证机制(如轻量级第三方认证 (LTPA))。这些令牌已加密和签名,并可转发到远程进程。但是,这些令牌具有到期时间,这些时间是在 WebSphere Application Server 管理控制台上设置的。SOAP 连接器(它是缺省连接器)用于管理安全性,它没有用于到期令牌的重试逻辑。但是,协议是无状态的,因此,如果在令牌中剩余的给定时间内,没有足够的时间运行请求,那么会为每个请求创建新令牌。备用连接器是远程方法调用 (RMI) 连接器,它是有状态的,并具有一些重试逻辑,以通过在检测到错误后重新提交请求来改正到期令牌。而且,因为令牌在指定时间到期,所以系统时钟的同步对于进行基于令牌的验证操作是至关重要的。如果时钟偏差过多(大约 10-15 分钟),那么可能遇到不可恢复的验证故障(通过使它们同步可避免的故障)。验证系统之间的时间、日期和时区是否都相同。节点可接受的是跨时区,假设时间在时区是正确的(例如,5 PM CST = 6 PM EST,等)。

[z/OS]安全套接字层 (SSL) 还有其他注意事项。WebSphere Application Server for z/OS® 可使用资源访问控制设施 (RACF®) 密钥环存储用于 SSL 的密钥和信任库,但在内部使用了不同 SSL 协议。您必须确定设置两者:
  • 供 Web 容器使用的系统 SSL 指令表
  • SOAP HTTP 连接器使用的 Java™ 安全套接字扩展 (JSSE) SSL 指令表(如果 SOAP 连接器用于管理请求)
验证您配置的密钥库和信任库是否都设为仅信任与它们通信的服务器。确保它们包含必需的签署者证书,这些证书来自域中所有服务器的信任文件中的那些服务器。使用认证中心 (CA) 创建个人证书时,通过获取所有签署者的 CA 根证书,确保所有服务器相互信任将会更简单。

[z/OS]WebSphere z/OS Profile Management Tool 或 zpmt 命令使用同一认证中心为给定单元中的所有服务器(包括节点代理程序和 Deployment Manager 的那些服务器)生成证书。

关于此任务

使用或规划 WebSphere Application Server Network Deployment 环境时考虑以下问题。

过程

结果

正确理解分布式服务器之间的安全性交互作用会大大减少安全通信时遇到的问题。因为必须管理其他功能,所以安全性将会增加复杂性。为了使安全性正常运作,需要在规划基础结构期间全面地考虑。

下一步做什么

如果有与 WebSphere Application Server Network Deployment 环境相关的安全性问题,请参阅故障诊断安全性配置以查找有关该问题的其他信息。当需要跟踪来解决问题时,因为服务器是分布式的,所以通常需要在重现问题时同时收集所有服务器上的跟踪。此跟踪可动态或静态启用,取决于所发生问题的类型。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_esecarun
文件名:tsec_esecarun.html