将基本 Application Server 节点添加到 WebSphere Application Server Network Deployment 时的安全性注意事项
您可以决定将独立的基本应用程序服务器添加到 WebSphere® Application Server Network Deployment 单元,以便对这些应用程序服务器进行集中配置。如果基本应用程序服务器当前已使用安全性正确配置,那么需要考虑一些问题。主要问题是添加节点到单元时基本应用程序服务器和 Deployment Manager 之间的用户注册表是否相同。
当添加节点到单元时,您自动继承用户注册表和单元的认证机制。
将节点添加到单元时,最近联合的节点将自动继承现有
WebSphere Application Server Network Deployment 单元的用户注册表(本地操作系统注册表、LDAP 注册表或定制注册表)、认证机制 (LTPA)
以及授权设置(WebSphere 绑定或系统授权工具 (SAF) EJBROLE 概要文件)。
对于分布式安全性,单元中的所有服务器必须使用同一用户注册表和认证机制。为了从用户注册表更改恢复,必须修改应用程序,以便用户和组到角色映射对于新用户注册表是正确的。请参阅有关为用户和组指定角色的文章。
另一个重要的注意事项是安全套接字层 (SSL) 公共密钥基础结构。在使用 Deployment Manager 执行 addNode 命令前,验证 addNode 命令是否可作为 SSL 客户机与 Deployment Manager 通信。此通信要求在 sas.client.props 文件中配置的 addNode 信任密钥库包含 Deployment Manager 个人证书的签署者证书,可在密钥库中找到并在管理控制台中指定该证书。
- 当尝试运行系统管理命令(如 addNode 命令)时,您需要明确指定管理凭证来执行操作。addNode 命令接受 username 和 -password 参数,以分别指定用户标识和密码。指定的用户标识和密码必须是管理用户;例如,作为控制台用户的成员,具有管理员特权的用户,或在用户注册表中配置的管理用户标识。addNode
命令的示例如下:
addNode CELL_HOST 8879 -includeapps -username user -password pass。
-includeapps 参数是可选的,但此选项试图将服务器应用程序包括到 Deployment Manager 中。如果 WebSphere Application Server 与 Deployment Manager 使用不同的用户注册表,那么 addNode 命令可能会失败。要解决此问题,要么令用户注册表相同,要么关闭安全性。如果您更改用户注册表,请记住验证用户到角色和组到角色映射是否正确。请参阅addNode 命令以获取有关 addNode 语法的更多信息。注: 您也可以使用 WebSphere z/OS® Profile Management Tool 或 zpmt 命令运行 addNode 命令。在启用了安全性的情况下,如果使用 WebSphere z/OS Profile Management Tool 或 zpmt 命令发出 addNode 命令,那么必须使用具有权限的用户标识并指定 -user 和 -password 选项。
- 不支持通过管理控制台添加受保护远程节点。您可在执行操作之前禁用远程节点的安全性,或使用 addNode 脚本从命令行执行操作。
在运行 addNode 命令前,您必须验证节点上的信任密钥库文件与 Deployment Manager 的密钥库文件是否可以进行相互通信,反之亦然。在使用缺省 DummyServerKeyFile 和 DummyServerTrustFile 时,当它们已能够通信时,您应该不看到此问题。但是,请勿在生产环境中使用这些虚文件。
在运行 addNode 命令之前,您必须验证节点上的信任密钥库文件与 Deployment Manager 拥有的密钥库文件和系统授权工具 (SAF) 密钥环是否可进行通信,反之亦然。如果您使用相同的认证中心生成 Deployment Manager 的证书作为用于 Node Agent 流程的证书,那么您是成功的。以下 SSL 配置必须包含可互操作的密钥库和信任密钥库:
- 在管理控制台中通过 指定的系统 SSL 指令表。
- 相应 JMX 连接器的 SSL 指令表(如果已指定 SOAP): 。
- 中指定的 SSL 指令表。
注: WebSphere Application Server for z/OS 使用 WebSphere z/OS Profile Management Tool 或 zpmt 命令所指定的 SAF 概要文件前缀(以前称为z/OS 安全域)来定义安全域。将节点添加到定义另一安全域的 Deployment Manager 配置时一定要小心。- 当来自前发行版的客户机尝试使用 addNode 命令来联合到 V7.0 的 Deployment Manager 时,该客户机必须先获取签署者才能成功地进行握手。有关更多信息,请参阅“保护安装以在 SSL 中进行客户机签署者检索”一文中的“从先前版本获取客户机和服务器 签署者”。
- 在运行 addNode 命令之后,应用程序服务器在新的 SSL 域中。它可包含指向不准备与同一域中其他服务器互操作的密钥库和信任密钥库文件的 SSL 配置。考虑哪些服务器将相互通信,并确保服务器在信任密钥库文件中是可信的。
如果有与 WebSphere Application Server Network Deployment 环境相关的安全性问题,请参阅故障诊断安全性配置以查找有关该问题的其他信息。当需要跟踪来解决问题时,因为服务器是分布式的,所以通常需要在重现问题时同时收集所有服务器上的跟踪。此跟踪可动态或静态启用,取决于所发生问题的类型。