服务器和管理安全性

管理安全性这个术语指的是对使用 WebSphere® 管理功能的用户提供认证、使用安全套接字层 (SSL) 以及选择用户帐户存储库。

[z/OS]当配置“本地操作系统”用户注册表时,它使用符合资源访问控制设施 (RACF®) 或者系统授权工具 (SAF) 的用户数据库。如果选择“本地操作系统”用户注册表作为活动注册表,那么您能够使用 WebSphere Application Server 主体直接利用“z/OS® 系统授权工具”功能:
  • 与很多其他 z/OS 连接器服务共享身份
  • 使用 SAF 委派,它使得“将用户标识和密码存储在配置中的许多位置”这种需要降到最低限度
  • 使用更多审计功能
可以使用其他注册表来获得这些功能,但是需要修改 WebSphere Application Server 系统登录配置和“Java™ 认证和授权服务”(JAAS) 登录模块来执行标识映射。有关更多信息,请参阅有关“更新系统登录配置以执行系统授权工具标识用户映射”的文档。

[AIX Solaris HP-UX Linux Windows][IBM i]在某些情况下,领域可以是本地操作系统用户注册表的机器名。在这种情况下,所有应用程序服务器必须都驻留在同一物理机器上。在其他情况下,领域可以是轻量级目录访问协议 (LDAP) 用户注册表的机器名。因为 LDAP 是分布式用户注册表,所以它允许 WebSphere Application Server Network Deployment 环境中具有多个节点配置。安全域的基本要求是从安全域内的一台服务器的注册表返回的访问标识,与从同一安全域内的任意其他服务器上的注册表返回的访问标识相同。访问标识是用户的唯一标识,并且在授权期间用于确定是否允许访问资源。

安全域的管理安全性的配置由配置公共用户注册表、认证机制和用于定义安全域行为的其他安全性信息组成。可配置的其他安全信息包括以下组件:
  • Java 2 安全管理器
  • Java 认证和授权服务 (JAAS)
  • Java 2 连接器认证数据条目
  • [AIX Solaris HP-UX Linux Windows][IBM i]公共安全互操作性 V2 (CSIv2) 和安全认证服务 (SAS) 认证协议(基于因特网 ORB 间协议的远程方法调用 (RMI/IIOP) 安全性)
  • [z/OS]公共安全互操作性 V2 (CSIv2) 和 z/OS 安全认证服务 (z/SAS) 认证协议(基于因特网 ORB 间协议的远程方法调用 (RMI/IIOP) 安全性)
  • 其他各种属性。

[AIX Solaris HP-UX Linux Windows][IBM i]您可在服务器级别上重设配置的某些部分。

[AIX Solaris HP-UX Linux Windows][IBM i]节点中可以存在多个节点和多台服务器,可以在服务器级别配置某些属性。可以在服务器级别配置的属性包括服务器的安全性支持、Java 2 安全管理器支持和 CSIv2/SAS 认证协议(RMI/IIOP 安全性)。当启用了管理安全性时,可以禁用单个应用程序服务器上的安全性。但是,当禁用了管理安全性时,不能启用单个应用程序服务器上的安全性。

[z/OS]节点中可以存在多个节点和多台服务器,可以在服务器级别配置某些属性。可以在服务器级别配置的属性包括服务器的安全性支持、Java 2 安全管理器支持以及 CSIv2 和 z/SAS 认证协议(RMI/IIOP 安全性)。当启用了管理安全性时,可以禁用单个应用程序服务器上的安全性。但是,当禁用了管理安全性时,不能启用单个应用程序服务器上的安全性。

为用户请求而禁用应用程序服务器安全性时,管理和命名安全性对于该应用程序服务器仍是启用的,这样管理和命名基础结构仍是安全的。如果启用单元安全性,但是禁用个别服务器的安全性,那么 Java Platform Enterprise Edition 应用程序未经认证或授权。但是,命名和管理安全性仍然执行。因此,因为可以从用户应用程序中调用命名服务,所以需要授予对命名功能的 Everyone 访问权,以便这些功能接受未经认证的请求。用户代码未直接访问管理安全性,除了通过支持的脚本编制工具。

[z/OS]如果您正在使用系统授权工具 (SAF) 授权,那么需确保将 CosNamingRead 的 EJBROLE 概要文件的 UACC 字段设置为 READ,并确保未认证的标识对此概要文件具有读访问权。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_globalserver
文件名:csec_globalserver.html