保护特定应用程序服务器

在应用程序服务器级别,可以在一定的程度上定制安全性。可以在应用程序服务器上禁用管理安全性。

开始之前

不推荐使用的功能部件 不推荐使用的功能部件: 在此 WebSphere® Application Server 发行版中已不推荐使用服务器级别的安全性。已在适当位置添加了多个安全域支持。可以创建不同的安全性配置并将他们分配给 WebSphere Application Server 进程中的不同应用程序。通过创建多个安全域,可以为单元环境中的管理应用程序和用户应用程序配置不同的安全性属性。通过为安全域分配用于主管这些应用程序的服务器、集群或 SIBus,可以将不同的应用程序配置为使用不同的安全性配置。请阅读多个安全域以了解更详细的信息。depfeat

也可以修改 Java™ 2 安全性以及“全局安全性”面板中的某些其他安全性属性。此面板提供了对单元级别安全性设置的访问。不能逐个服务器地配置不同的认证机制或用户注册表。此功能仅适用于单元级别的配置。

缺省情况下,服务器安全性继承所有为单元级别安全性配置的值。要在服务器级别上覆盖单元级安全配置,请单击服务器 > 应用程序服务器 > server_name。在“安全性”下,单击服务器安全性,然后单击下列任何一个链接:

  • CSIv2 入站认证
  • CSIv2 出站认证
  • CSIv2 入站传输
  • CSIv2 出站传输
  • [AIX Solaris HP-UX Linux Windows][IBM i]SAS 入站传输
  • [AIX Solaris HP-UX Linux Windows][IBM i]SAS 出站传输
  • [z/OS]z/SAS 认证
  • 服务器级安全性
[AIX Solaris HP-UX Linux Windows][IBM i]注: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 SAS。
[z/OS]注: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。
在任何这些面板中修改配置并单击确定应用后,该面板或一组面板中的安全性配置现在将覆盖单元级别安全性。其他未被覆盖的面板仍在单元级别继承配置。但是,随时可以还原到单元级别配置。通过取消选中“服务器安全性”面板上任何以下选项旁的复选框,可以还原到单元级别安全性配置:
  • 此服务器的安全性设置覆盖单元设置
  • 此服务器的 RMI/IIOP 安全性覆盖单元设置
  • 此服务器的 SAS 安全性覆盖单元设置
[z/OS]对于服务器级别安全性来说,可以考虑许多其他 Secure Authentication Services for z/OS® (z/SAS) 属性,例如:
  • 局部标识
  • 远程标识
  • 允许与线程同步

[AIX Solaris HP-UX Linux Windows][z/OS]有关更多信息,请参阅服务器和管理安全性

过程

  1. 启动 Deployment Manager 的管理控制台。 要打开管理控制台,请转至 http://host.domain:port_number/ibm/console。如果安全性处于禁用状态,那么可输入任何标识。如果已启用安全性,那么必须输入有效的用户标识和密码,它可以是为用户注册表配置的管理标识或者作为管理用户输入的用户标识。要将用户标识为管理用户,请单击系统管理 > 控制台设置 > 控制台用户
  2. 如果先前尚未配置单元级别安全性,那么进行此项配置。 请转至启用安全性,以了解详细步骤。配置安全性后,配置服务器级别安全性。
    注意: 当在管理控制台的服务器级别安全性设置上选择“启用应用程序安全性”选项时,不启用服务器级别安全性。您还必须通过在管理控制台的“全局安全性设置”面板上选择“启用管理安全性”来启用单元级别安全性。
  3. 要配置服务器级安全性,请单击服务器 > 应用程序服务器 > server name。在“安全性”下,单击服务器安全性 这将显示正用于此应用程序服务器的安全级别的状态。

    [AIX Solaris HP-UX Linux Windows][IBM i]缺省情况下,您可以看到未在服务器级别覆盖单元级别安全性配置、公共安全互操作性 (CSI) 和 SAS。CSI 和 SAS 是 RMI/IIOP 安全性请求的认证协议。“服务器级安全性”面板将列示“全局安全性”面板上那些可以在服务器级别覆盖的属性。在服务器级别并不能覆盖“全局安全性”面板上的所有属性,包括用户帐户存储库。

    [z/OS]缺省情况下,您可以看到未在服务器级别覆盖单元级别安全性配置、公共安全互操作性 (CSI) 和 z/SAS。CSI 和 z/SAS 是 RMI/IIOP 安全性请求的认证协议。“服务器级安全性”面板将列示“全局安全性”面板上那些可以在服务器级别覆盖的属性。在服务器级别并不能覆盖“全局安全性”面板上的所有属性,包括用户帐户存储库。

  4. 要为此应用程序服务器启用管理安全性,请转至“服务器级别安全性”面板,选中此服务器的安全性设置覆盖单元设置启用应用程序安全性选项。 通过修改“服务器级安全性”面板,这些设置将覆盖单元级别安全性设置。
  5. 单击应用,然后单击保存
  6. 要对应用程序服务器启用 RMI/IIOP 安全性,请转至“服务器级安全性”面板,选中此服务器的 RMI/IIOP 安全性覆盖单元设置选项,然后单击应用 如果选中了此服务器的 RMI/IIOP 安全性覆盖单元设置选项,那么对 CSIv2 认证设置或传输设置所作的任何更改都将覆盖单元级别的那些设置。

下一步做什么

通常,服务器级安全性用于对特定应用程序服务器禁用用户安全性。但是,服务器级安全性还可以用来禁用或启用 Java 2 安全管理器,并且可用来配置此应用程序服务器的入局和出局 RMI/IIOP 请求的认证需求。

为特定应用程序服务器修改配置后,必须重新启动应用程序服务器以使更改生效。要重新启动应用程序服务器,请转至服务器 > 应用程序服务器,然后单击最近修改过的服务器。单击停止,然后单击启动

如果对应用程序服务器禁用了安全性,那么通常可以测试启用安全性后受保护的 Web 地址。

[AIX Solaris HP-UX Linux Windows][IBM i]安装 DefaultApplication 期间通常安装的一个 URL 是 snoop 应用程序。如果在应用程序服务器上安装了 DefaultApplication,那么通过转至以下 URL 来测试是否已禁用了安全性:http://host.domain:9080/snoop。如果已禁用安全性,就不会显示提示。此 URL 只是验证配置的一种方法。请验证配置适合于您的应用程序。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_serversecurity
文件名:tsec_serversecurity.html