配置本地操作系统注册表

使用这些步骤来配置本地操作系统注册表

开始之前

要了解有关使用本地操作系统用户注册表的详细信息,请参阅本地操作系统注册表。下列步骤根据 WebSphere Application Server 所安装在的本地操作系统的用户注册表设置安全性。

[AIX Solaris HP-UX Linux Windows]为了确保安全,WebSphere Application Server 提供并支持 Windows 操作系统注册表、AIX®、Solaris 以及多个 Linux 操作系统版本的实现。产品进程(服务器)调用相应操作系统应用程序编程接口 (API),来认证用户和执行其他与安全性相关的任务(例如获取用户或组信息)。只有拥有特权的用户才能访问这些 API。这些特权取决于操作系统,如本主题中后续部分所述。

[z/OS]选择本地操作系统注册表后,将选择启动的任务标识作为服务器标识。因此,不需要用户标识和密码就可以配置服务器。

[z/OS]要点: 启动的每个任务(例如控制器、服务方或守护程序)可以具有不同的标识。因为您应对每个控制器和服务方授予不同的资源权限,所以,应当为控制器和服务方指定不同的用户标识。z/OS Profile Management Tool 将设置这些标识。
[Windows][AIX Solaris HP-UX Linux Windows]请考虑下列问题:
  • 服务器标识不能与产品所安装在的 Windows 机器的名称相同。例如,如果 Windows 机器名为 vicky,并且安全性服务器标识也是 vicky,那么获取用户 vicky 的信息(例如组信息)时,Windows 系统将发生故障。
  • WebSphere Application Server 动态地确定该机器是否 Windows 系统域的成员。
  • WebSphere Application Server 不支持 Windows 可信域。
  • 如果机器是 Windows 域的成员,那么域用户注册表和该机器的本地用户注册表都将参与认证和安全角色映射。
  • 如果使用 Windows 域用户标识来安装和运行 WebSphere Application Server,那么此标识必须具有以下特权:
    • 属于域控制器内的域管理组
    • 在域控制器上的域安全策略中具有“作为操作系统的一部分”特权。
    • 在本地机器上的本地安全策略中具有“作为操作系统的一部分”特权。
    • 在本地机器上具有“作为服务登录”特权(如果服务器作为服务运行)。
  • 域用户注册表优先于机器的本地用户注册表,如果在这两个用户注册表中有密码相同的用户,会造成不良影响。
  • 运行产品进程的用户必须拥有管理以操作系统方式操作特权,这样才能调用用于认证或收集用户和组信息的 Windows 操作系统 API。进程需要由这些特权提供的特权。本示例中的用户可能与安全性服务器标识(它必须是注册表中的有效用户)不同。如果产品进程已使用服务启动,那么此用户将登录到机器(如果使用命令行来启动产品进程)或登录到服务面板中的“登录用户”设置。
[AIX Solaris HP-UX Linux Windows]请考虑以下几点:
  • [AIX HP-UX Solaris][Linux]运行产品进程的用户需要 root 特权。要调用操作系统 API 以认证或收集用户和组信息,需要此特权。进程需要由 root 特权给定的特权。此用户可能与安全性服务器标识(它应该是注册表中的有效用户)不同。此用户登录到机器并运行产品进程。
  • [AIX HP-UX Solaris]如果使用本地操作系统注册表,那么启用管理安全性的用户必须拥有 root 特权。否则,将显示验证失败错误。
  • [Linux]在系统中可能需要有密码影子文件。

关于此任务

[z/OS]为 WebSphere Application Server 设置用户注册表之后,系统授权工具 (SAF) 将与用户注册表共同授权应用程序在服务器上运行。要了解有关 SAF 功能的更多信息,请参阅系统授权工具用户注册表。完成下列步骤以配置其他与本地操作系统用户注册表和 SAF 配置相关联的属性。

[z/OS]要点: 在既包含 z/OS 平台节点又包含非 z/OS 平台节点的混合单元环境中,本地操作系统不是有效的用户帐户存储库。

[AIX Solaris HP-UX Linux Windows][IBM i]最初,在第一次设置安全性时,需要完成下列步骤以执行本任务。

过程

  1. 单击安全性 > 全局安全性
  2. 在“用户帐户存储库”下,选择本地操作系统,然后单击配置
  3. [AIX Solaris HP-UX Linux Windows][IBM i]主管理用户名字段中输入有效用户名。 此值是注册表中定义的拥有管理特权的用户的名称。此用户名用来访问管理控制台,或供 wsadmin 使用。
  4. [z/OS]如果未启用 SAF 授权功能,请在主管理用户名字段中输入有效用户名。 此值是注册表中定义的拥有管理特权的用户的名称。此用户名用来访问管理控制台,或供 wsadmin 使用。
  5. 可选: [z/OS]选中授权时忽略大小写选项以使 WebSphere Application Server 在您使用缺省授权功能时能够执行不区分大小写的授权检查。
  6. 单击应用
  7. [AIX Solaris HP-UX Linux Windows][IBM i]选择自动生成的服务器标识存储在存储库中的服务器身份选项。 如果选择存储在存储库中的服务器身份选项,那么输入以下信息:
    服务器用户标识或管理用户
    指定在第二步中选择的帐户的短名称。
    服务器用户密码
    指定在第二步中选择的帐户的密码。
  8. [z/OS]选择自动生成的服务器标识z/OS 启动的任务的用户标识
  9. [IBM i]主管理用户名字段中输入有效用户概要文件名称。

    主管理用户名指定当服务器向底层操作系统认证时要使用的用户概要文件。此标识也是最初有权通过管理控制台访问管理应用程序的用户。管理用户标识是所有用户注册表的公共标识。管理标识是所选注册表的成员,它在 WebSphere Application Server 中拥有特权。但是,它在它所代表的注册表中没有任何特权。换而言之,可以选择注册表中的任何有效用户标识来用作管理用户标识或服务器用户标识。

    对于主管理用户名字段,可以指定任何符合此条件的用户概要文件:
    • 用户概要文件的状态为 *ENABLED
    • 该用户概要文件的密码有效。
    • 该用户概要文件未用作组概要文件。
      要点: 组概要文件会被指定唯一的组标识号,不会对正规用户概要文件指定该标识号。请运行 DSPUSRPRF(显示用户概要文件)命令来确定要用作主管理用户名的用户概要文件是否有已定义的组标识号。如果组标识字段设置为 *NONE,那么表示可以将该用户概要文件用作主管理用户名。
  10. 可选: [z/OS]启用并配置 SAF 授权。
    1. 单击安全性 > 全局安全性 > 外部授权提供程序
    2. 选择系统授权工具 (SAF) 授权选项以启用 SAF 作为授权提供程序。
    3. 在“相关项”中,单击 z/OS SAF 授权以配置 SAF 授权。 要查看 SAF 授权选项的说明,请参阅z/OS 系统授权工具授权
  11. 单击确定

    管理控制台不会在您单击确定时验证用户标识和密码。仅当您在“全局安全性”面板中单击确定应用时,才会进行验证。首先,确保在“用户帐户存储库”部分中选择本地操作系统作为可用的领域定义,然后单击设置为当前。如果已启用安全性,而您在此面板中更改了用户或密码信息,请确保转至“全局安全性”面板并单击确定应用以验证更改。如果未验证您的更改,那么服务器可能未启动。

    要点: 在授权其他用户执行管理功能前,只能使用指定的服务器用户标识和密码来访问管理控制台。有关更多信息,请参阅授予管理角色访问权

结果

为了使此面板中的任何更改生效,需要保存更改,停止所有产品服务器(包括 Deployment Manager、节点和应用程序服务器),然后再启动。如果启动服务器时未发生任何问题,那么表示设置正确。

完成这些步骤后,您已将 WebSphere Application Server 配置为使用本地操作系统注册表来标识授权用户。

下一步做什么

完成任何其余用于启用安全性的步骤。有关更多信息,请参阅启用安全性


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
文件名:tsec_localos.html