JACC 策略传播

在 WebSphere® Application Server 中安装和部署应用程序时,该应用程序中的安全策略信息将在保存配置后传播到提供程序。该应用程序的上下文标识保存在其 application.xml 文件中,用于将策略传播到 Java™ Authorization Contract for Containers (JACC) 提供程序,而且还用于 Java 2 Platform, Enterprise Edition (Java EE) 资源的访问决策。

注: 本主题引用了一个或多个应用程序服务器日志文件。作为另一种建议采用的方法,您可以在分布式系统和 IBM® i 系统上配置服务器以使用高性能可扩展日志记录 (HPEL) 记录和跟踪基础结构,而不使用 SystemOut.logSystemErr.logtrace.logactivity.log 文件。您还可以将 HPEL 与本机 z/OS® 日志记录设施结合使用。如果要使用 HPEL,那么可从服务器概要文件 bin 目录使用 LogViewer 命令行工具来访问所有日志和跟踪信息。有关使用 HPEL 的更多信息,请参阅有关使用 HPEL 对应用程序进行故障诊断的信息。

当卸载应用程序时,从提供程序移除应用程序中的安全策略信息(当保存配置时)。

如果提供程序已实现 RoleConfiguration 接口,那么传播到策略提供程序的安全策略信息还包含授权表信息。请参阅支持 JACC 的接口以获取有关此接口的更多信息。

如果应用程序不包含安全策略信息,那么 PolicyConfiguration(和 RoleConfiguration,如果实现)对象不包含任何信息。空 PolicyConfiguration 和 RoleConfiguration 对象的存在表明模块的安全策略信息不存在。

在安装应用程序后,可以在没有卸载和重新安装的情况下更新它。例如,可以将新模块添加到现有应用程序,或可以修改现有模块。在此实例中,缺省情况下会将受影响的模块中的信息传播到提供程序。当模块的部署描述符或模块中的注释在更新过程中更改时,会影响模块。如果提供程序支持 RoleConfiguration 接口,那么会将该应用程序的完整的授权表传播到提供程序。

如果在应用程序更新期间未将安全信息传播到提供程序,那么可以在 Network Deployment 环境中的 Deployment Manager 中或未受管的基本应用程序服务器中将 com.ibm.websphere.security.jacc.propagateonappupdate Java 虚拟机 (JVM) 属性设置为 false。如果此属性设置为 false,那么不会将服务器中的现有应用程序的任何更新传播到提供程序。您还可以使用应用程序的定制属性在每个应用程序基础上设置此属性。wsadmin 工具可以用于设置应用程序的定制属性。如果在应用程序级别上设置此属性,那么不会将对该应用程序的任何更新传播到提供程序。如果对应用程序的更新是完全更新,例如,使用新的应用程序企业归档 (EAR) 文件替换现有 EAR 文件,并且使用完整的应用程序安全策略信息刷新提供程序。

当安装和保存应用程序时,从 Deployment Manager 在提供程序中更新该应用程序中的安全策略信息。在发出并完成同步命令后,才会将应用程序传播到其各个节点。同样,当在 Deployment Manager 上卸载和保存应用程序时,会从 JACC 提供程序移除该应用程序的策略。

但是,除非将同步命令从 Deployment Manager 发出到主管主机的节点并完成,否则应用程序仍然运行在各个节点中。在此实例中,因为 JACC 提供程序不包含对该应用程序进行访问决策所需的信息,所以应拒绝对此应用程序的任何访问。如上所述,已安装的任何应用程序更新也会从 Deployment Manager 传播到提供程序。直到同步完成,提供程序中的更改才与节点中的应用程序同步。

如上所述,安全策略信息在保存操作期间传播到 JACC 提供程序。SystemOut.log 文件指示传播至提供程序是成功还是失败。在安装之后检查日志文件,以确保传播没有发生问题。如果传播发生了任何问题,那么将 Tivoli® Access Manager 用作 JACC 提供程序时,对应用程序的访问会失败。

如果应用程序的安全策略信息成功地传播到提供程序,那么显示消息密钥为 SECJ0415I 的审计声明。但是,如果将安全策略信息传播到提供程序时出现问题(例如,网络问题或 JACC 提供程序不可用),那么 SystemOut.log 文件包含消息密钥为 SECJ0396E 的错误消息(安装期间)或消息密钥为 SECJ0398E 的错误消息(修改期间)。由于将安全策略传播到 JACC 提供程序失败,所以未停止应用程序的安装。同样,如果发生故障,那么保存操作期间不会出现异常或错误消息。当导致此故障的问题已解决时,请运行 propagatePolicyToJaccProvider 工具来将安全策略信息传播到提供程序而不必重新安装应用程序。有关更多信息,请参阅 使用 wsadmin 脚本编制将已安装应用程序的安全策略传播给 JACC 提供程序


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaccpolicyprop
文件名:rsec_jaccpolicyprop.html