配置安全域

使用此页面来配置域的安全性属性以及为此域分配单元资源。对于每个安全性属性,可以使用全局安全性设置或者定制此域的设置。

要查看此管理控制台页面,请单击安全性 > 安全域。在“安全域集合”页面上,选择要配置的现有域、创建新的域或者复制现有域。

请阅读多个安全域以更好地了解多个安全域的含义以及此版本的 WebSphere Application Server 中如何支持多个安全域。

名称

为域指定唯一名称。在初始提交之后不能编辑此名称。

域名在单元中必须是唯一的,并且不能包含无效字符。

描述

指定域的描述。

指定的范围

选择此项以显示单元拓扑。可以将安全域分配给整个单元,或者选择要包括在此安全域中的特定集群、节点和服务集成总线。

如果您选择所有范围,那么将显示整个单元拓扑。

如果您选择指定的范围,那么将显示单元拓扑以及已分配给当前域的那些服务器和集群。

显式指定的域的名称将显示在资源旁边。选中的复选框指示当前已对该域分配了资源。还可以选择其他资源并单击应用确定以将他们分配给当前域。

未选中(被禁用)的资源指示未将它分配给当前域,并且必须将它从另一个域中移除之后才能对当前域启用此资源。

如果没有为资源显式指定域,那么此资源将使用为单元指定的域。如果没有为单元指定域,那么此资源将使用全局设置。

不能将集群成员单独分配给域;整个集群将使用同一个域。

应用程序安全性:

选择启用应用程序安全性以对用户应用程序启用或禁用安全性。可以使用全局安全性设置或者定制某个领域的设置。

如果禁用了此选项,那么安全域中的所有 EJB 和 Web 应用程序都将不再受保护。授予对这些资源的访问权而不进行用户认证。如果启用了此选项,那么将对安全域中的所有 EJB 和 Web 应用程序强制启用 Java™ EE 安全性。仅当在全局安全性配置中启用了全局安全性时才能强制启用 Java EE 安全性。即,如果不首先在全局级别启用全局安全性,就不能启用应用程序安全性。

启用应用程序安全性

在环境中对应用程序启用安全性。这种类型的安全性为认证应用程序用户提供应用程序隔离和需求。

在 WebSphere Application Server 的前发行版中,当用户启用了全局安全性时,就同时启用了管理安全性和应用程序安全性。在 WebSphere Application Server V6.1 中,先前的全局安全性概念被划分成管理安全性和应用程序安全性,可以单独启用每一种安全性。

由于进行了此划分,因此 WebSphere Application Server 客户机必须知道目标服务器中是否禁用了应用程序安全性。缺省情况下将启用管理安全性。缺省情况下将禁用应用程序安全性。要启用应用程序安全性,必须启用管理安全性。仅当启用了管理安全性时应用程序安全性才有效。

如果禁用了此选项,那么安全域中的所有 EJB 和 Web 应用程序都将不再受保护。授予对这些资源的访问权而不进行用户认证。如果启用了此选项,那么将对安全域中的所有 EJB 和 Web 应用程序强制启用 Java EE 安全性。仅当在全局安全性配置中启用了全局安全性时才能强制启用 Java EE 安全性。即,如果不首先在全局级别启用全局安全性,就不能启用应用程序安全性。

Java 2 安全性:

选择使用 Java 2 安全性,以实现在域级别启用或禁用 Java 2 安全性或者指定或添加与 Java 2 安全性相关的属性。可以使用全局安全性设置或者定制某个领域的设置。

此选项将在进程 (JVM) 级别启用或禁用 Java 2 安全性,以便所有应用程序(管理应用程序和用户应用程序)都可以启用或禁用 Java 2 安全性。

使用全局安全性设置

选择此项以指定所使用的全局安全性设置。

为此域进行定制

选择此项以指定在域中定义的设置,例如,用于启用应用程序和 Java 2 安全性以及使用领域限定认证数据的选项。

使用 Java 2 安全性来限制应用程序访问本地资源

选择此项以指定是启用还是禁用 Java 2 安全许可权检查。缺省情况下,不限制对本地资源的访问。即使启用了全局安全性,也可以选择禁用 Java 2 安全性。

如果已启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,并且应用程序需要的 Java 2 安全许可权超出缺省策略的授权,那么只有在应用程序的 app.policy 文件或 was.policy 文件中授予必需的许可权后,应用程序才能正常运行。应用程序生成 AccessControl 异常,这是由于他们没有所有必需的许可权。

在应用程序被授予定制许可权时发出警告

指定在应用程序部署和应用程序启动时,如果应用程序被授予任何定制许可权,安全性运行时就发出警告。定制许可权是用户应用程序定义的许可权,而不是 Java API 许可权。Java API 许可权是 java.*javax.* 包中的许可权。

应用程序服务器支持管理策略文件。本产品提供了许多策略文件,其中有些是静态的,有些是动态的。动态策略是特定类型资源的许可权模板。在动态策略模板中,未定义代码库,也未使用相对代码库。实际的代码库是根据配置和运行时数据动态创建的。filter.policy 文件包含根据 Java EE 1.4 规范而不想让应用程序拥有的许可权列表。

要点: 如果未启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,那么无法启用此选项。

限制对资源认证数据的访问

如果尚未启用 Java 2 安全性,那么此选项处于禁用状态。

当下列两种情况都成立时,请考虑启用此选项:
  • 已强制启用 Java 2 安全性。
  • 应用程序企业归档 (EAR) 文件中的 was.policy 文件已将 accessRuntimeClasses WebSphereRuntimePermission 许可权授予应用程序代码。例如,当 was.policy 文件包含下面这一行时,表示已将该许可权授予应用程序代码:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

限制对资源认证数据的访问选项将细粒度的 Java 2 安全许可权检查添加到 WSPrincipalMappingLoginModule 实现的缺省主体映射中。当启用了使用 Java 2 安全性来限制应用程序对本地资源的访问限制对资源认证数据的访问选项时,对于在进行 Java 认证和授权服务 (JAAS) 登录时直接使用 WSPrincipalMappingLoginModule 实现的 Java 2 Platform Enterprise Edition (Java EE) 应用程序,必须将显式的许可权授予这些应用程序。

信息
缺省: 已禁用

用户领域:

此部分使您能够为安全域配置用户注册表。可以单独配置在域级别使用的任何注册表。

在域级别配置注册表时,可以选择为注册表定义您自己的领域名。通过领域名可将一个用户注册表与另一个用户注册表区分开。领域名可用于多个位置 - 在 Java 客户机登录面板中用来提示用户,用于认证高速缓存中,还可以在使用本机授权时使用领域名。

在全局配置级别上,系统会为用户注册表创建领域。在 WebSphere Application Server 的前发行版中,系统内只配置一个用户注册表。当您具有多个安全域时,可以在系统中配置多个注册表。对于在这些域中是唯一的那些领域,可为安全域配置您自己的领域名。如果确定此领域名唯一的,那么还可以选择系统以创建唯一的领域名。在后一种情况下,领域名基于所使用的注册表。

信任关联:

选择此项以指定信任关联的设置。信任关联用于将逆向代理服务器连接到应用程序服务器。

通过信任关联可以将 IBM® WebSphere Application Server 安全性与第三方安全服务器进行集成。更确切地说,当产品将它自已的授权策略应用到由代理服务器传递的结果凭证时,逆向代理服务器可以充当前端认证服务器。

只能在全局级别配置 Tivoli® Access Manager 的信任关联拦截器。域配置也可以使用他们,但是不能具有不同版本的信任关联拦截器。系统中只能存在 Tivoli Access Manager 的信任关联拦截器的一个实例。

注: 建议不要将信任关联拦截器 (TAI) 用于简单且受保护的 GSS-API 协商机制 (SPNEGO) 认证。通过 SPNEGO Web 认证面板更容易配置 SPNEGO。

拦截器

选择此项以访问或指定逆向代理服务器的信任信息。

启用信任关联

选择此项以便能够将 IBM WebSphere Application Server 安全性与第三方安全服务器进行集成。更确切地说,当产品将它自已的授权策略应用到由代理服务器传递的结果凭证时,逆向代理服务器可以充当前端认证服务器。

SPNEGO Web 认证:

将简单且受保护的 GSS-API 协商机制 (SPNEGO) 的设置指定为 Web 认证机制。

可以在域级别配置 SPNEGO Web 认证,此认证使您能够配置 SPNEGO 以进行 Web 资源认证。

注: 在 WebSphere Application Server V6.1 中引入了一种 TAI,该 TAI 使用“简单且受保护的 GSS-API 协商机制”(SPNEGO) 来安全地协商和认证对受保护资源发出的 HTTP 请求。在 WebSphere Application Server 7.0 中,已不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。

RMI/IIOP 安全性:

指定基于因特网 ORB 间协议的远程方法调用 (RMI/IIOP) 的设置。

对象请求代理 (ORB) 使用因特网 ORB 间协议 (IIOP) 来管理客户机与服务器之间的交互。在分布式网络环境中,它支持客户机发出请求并从服务器接收响应。

当您在域级别配置这些属性时,为了方便起见,将复制全局级别的 RMI/IIOP 安全性配置。可以更改那些需要在域级别互不相同的属性。对于全局级别和域级别,用于 CSIv2 入站通信的传输层设置应相同。如果他们不相同,那么会将域级别的属性应用于进程中的所有应用程序。

当一个进程与另一个具有不同的领域的进程通信时,LTPA 认证和传播令牌将被传播至下游服务器,除非该服务器列示在出站可信领域列表中。这可以通过使用 CSIv2 出站通信面板上的可信认证域 - 出站链接来实现。

CSIv2 入站通信

选择此项以指定接收到的请求的认证设置和此服务器使用对象管理组 (OMG) 公共安全互操作性 (CSI) 认证协议接受的连接的传输设置。

WebSphere Application Server 允许您同时对入站和出站认证请求指定因特网 ORB 间协议 (IIOP) 认证。对于入站连接,可指定接受认证的类型,如基本认证。

CSIv2 出站通信

选择此项以指定发送的请求的认证设置和此服务器使用对象管理组 (OMG) 公共安全互操作性 (CSI) 认证协议启动的连接的传输设置。

WebSphere Application Server 允许您同时对入站和出站认证请求指定因特网 ORB 间协议 (IIOP) 认证。对于出站请求,可指定用于对下游服务器的请求的属性(如认证类型)、身份断言或登录配置。

JAAS 应用程序登录

选择此项以定义供 JAAS 使用的登录配置。

JAAS 应用程序登录、JAAS 系统登录和 JAAS J2C 认证数据别名都可以在域级别进行配置。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JAAS 登录。安全性运行时将首先在域级别检查 JAAS 登录。如果找不到这些登录,那么将接着在全局安全性配置中进行检查。仅当需要指定供安全域中的应用程序独占使用的登录时,才在域中配置任何这些 JAAS 登录。

仅对于 JAAS 和定制属性,只要为域定制了全局属性,用户应用程序仍然可以使用这些全局属性。

请不要移除 ClientContainer、DefaultPrincipalMapping 和 WSLogin 这些登录配置,因为其他应用程序可能在使用他们。如果移除了这些配置,那么其他应用程序可能会失败。

使用全局登录或特定于域的登录

选择此项以指定在域中定义的设置,例如,用于启用应用程序和 Java 2 安全性以及使用领域限定认证数据的选项。

JAAS 系统登录:

指定 JAAS 系统登录的配置设置。可以使用全局安全性设置或者定制域的配置设置。

系统登录

选择此项以定义供系统资源使用的 JAAS 登录配置,其中包括认证机制、主体映射和凭证映射。

JAAS J2C 认证数据:

指定 JAAS J2C 认证数据的设置。您您可以使用全局安全性设置或者定制某个域的设置。

Java 2 Platform Enterprise Edition (Java EE) 连接器认证数据条目由资源适配器和 Java 数据库连接(JDBC)数据源使用。

使用全局条目或特定于域的条目

选择此项以指定在域中定义的设置,例如,用于启用应用程序和 Java 2 安全性以及使用领域限定认证数据的选项。

Java 认证 SPI (JASPI)

指定 Java 认证 SPI (JASPI) 认证提供程序和相关联的认证模块的配置设置。可以使用全局安全性设置或者定制某个域的设置。要配置域的 JASPI 认证提供程序,请选择针对此域进行定制,然后可以启用 JASPI。选择提供程序,以创建或编辑 JASPI 认证提供程序。

注: 可以通过在域级别配置的提供程序启用 JASPI 认证提供程序。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JASPI 认证提供程序。安全性运行时将首先在域级别检查 JASPI 认证提供程序。如果找不到这些登录,那么将接着在全局安全性配置中进行检查。仅当该安全域中的应用程序要独占地使用 JASPI 认证提供程序时,才应该在域中配置该提供程序。

认证机制属性:

指定必须在域级别应用的各种高速缓存设置。

  • 认证高速缓存设置 - 用来指定认证高速缓存设置。在此面板上指定的配置仅适用于此域。
  • LTPA 超时 - 可以在域级别配置不同的 LTPA 超时值。缺省超时值是 120 分钟,此值是在全局级别设置的。如果在域级别设置了 LTPA 超时,那么将使用此到期时间来创建在访问用户应用程序时在安全域中创建的任何令牌。
  • 使用领域限定的用户名 - 当启用了此选项时,将使用安全域 (security domain) 中的应用程序所使用的安全领域(security realm,用户注册表)来限定由诸如 getUserPrincipal( ) 等方法返回的用户名。

授权提供程序:

指定授权提供程序的设置。您您可以使用全局安全性设置或者定制某个域的设置。

可以在域级别配置外部的第三方 JACC (Java Authorization Contract for Containers) 提供程序。只能在全局级别配置 Tivoli Access Manager 的 JACC 提供程序。如果安全域不使用另一个 JACC 提供程序或者内置本机授权来覆盖授权提供程序,那么这些安全域仍然可以使用该 JACC 提供程序。

选择缺省授权或者使用 JAAC 提供程序进行外部授权。仅当选择了使用 JAAC 提供程序进行外部授权时,才会启用配置按钮。

[z/OS]对于系统授权工具 (SAF) 授权,如果在域级别设置 SAF 概要文件前缀,那么就会在服务器级别应用,以便所有应用程序(管理应用程序和用户应用程序)在该服务器中都将对其启用或禁用。

[z/OS]

启用应用程序服务器与 z/OS 线程标识同步

选择此项以指示当应用程序编码为使用线程同步功能时,是否应启用操作系统线程标识以与应用程序服务器运行时中使用的 Java 2 Platform Enterprise Edition (Java EE) 标识同步。

将操作系统标识与 Java EE 标识同步将导致操作系统标识与已认证的调用者标识同步,或者与 servlet 或 Enterprise JavaBeans(EJB)文件中委派的运行方式标识同步。这种同步或关联意味着 z/OS® 系统服务请求(例如对文件的访问)使用调用者标识或安全角色标识,而不是使用服务器区域标识。

如果在域级别设置此值,那么就会在服务器级别应用,以便所有应用程序(管理应用程序和用户应用程序)在该服务器中都将对其启用或禁用。

定制属性

选择此项以指定数据的“名称/值”对,其中,名称是属性关键字,值是一个字符串。

请在域级别设置新的定制属性或者设置与全局级别的定制属性不同的定制属性。缺省情况下,系统中的所有应用程序都可以访问全局安全性配置中的所有定制属性。安全性运行时代码首先在域级别查找定制属性。如果未找到定制属性,那么它会尝试从全局安全性配置中获得定制属性。

Web Service 绑定

单击缺省策略集绑定以设置域的缺省提供程序和客户机绑定。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sec_domains_edit
文件名:usec_sec_domains_edit.html