对领域启用安全性

使用本主题来启用 IBM® WebSphere® Application Server 安全性。必须启用管理安全性才能使所有其他安全性设置起作用。

关于此任务

WebSphere Application Server 使用密码术来保护敏感数据并确保 WebSphere Application Server 与网络中其他组件之间通信的机密性和完整性。当为 Web Service 应用程序配置了某些安全性约束时,Web Service 安全性也使用密码术。

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server 使用软件开发包 (SDK) 中的 Java™ 安全套接字扩展 (JSSE) 和 Java 密码术扩展 (JCE) 库来执行此密码术。SDK 提供了强壮但受限制的管辖区域策略文件。无限制策略文件提供了执行充分强壮密码术的能力,并能够提高性能。

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server 提供了 SDK 6,该 SDK 包含强壮但受限制的管辖区域策略文件。可以从以下 Web 站点下载无限制策略文件:IBM Developer Kit:安全性信息

避免故障 避免故障: 包括软件开发包 (SDK) 更新的修订包可能会覆盖不受限制的策略文件和 cacerts 文件。在应用修订包之前先备份不受限制的策略文件和 cacerts 文件,然后在应用修订包之后再次应用这些文件。这些文件位于 {was_install_directory}\java\jre\lib\security 目录中。gotcha
要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
完成下列步骤以下载并安装新的策略文件:
  1. 单击 Java SE 6
  2. 向下翻页,然后单击 IBM SDK Policy files

    这将显示 SDK 6 Web 站点的无限制 JCE 策略文件。

  3. 单击 Sign in 并提供您的 IBM.com 标识和密码。
  4. 选择 Unrestricted JCE Policy files for SDK 6 并单击 Continue
  5. 查看许可证并单击 I Agree 以继续。
  6. 单击 Download Now
  7. 解压缩压缩文件中打包的无限制管辖区域策略文件。该压缩文件包含 US_export_policy.jar 文件和 local_policy.jar 文件。
  8. [AIX Solaris HP-UX Linux Windows][IBM i]WebSphere Application Server 安装中,转至 $JAVA_HOME/jre/lib/security 目录,然后备份 US_export_policy.jarlocal_policy.jar 文件。
  9. [z/OS]WebSphere Application Server 安装中,以读/写方式安装产品 HFS。转至 $JAVA_HOME/jre/lib/security 目录,然后备份 US_export_policy.jarlocal_policy.jar 文件。
  10. US_export_policy.jarlocal_policy.jar 文件替换为从 IBM.com Web 站点下载的那两个文件。
  11. [z/OS]以只读方式重新安装产品 HFS。
[z/OS]嵌入式软件开发包 (SDK) 附带提供了不受限的管辖区域策略 Java 归档 (JAR) 文件。因此,可以根据当地的国家/地区规定,在其允许下,以符号方式链接到 Web 站点上的这些文件,而不是从 Web 站点上下载这些文件。这些不受限制的策略文件位于 install_root/java/demo/jce/policy-files/unrestricted/ 目录中。下列基于 UNIX 的命令使您能够以符号方式链接到这些文件:
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the original policy .jar files. Because a backup is
# automatically present in the smpe.home HFS, an explicit
# backup is not needed:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create
# the symbolic links to the unrestricted policy files:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
要移除指向示范目录中不受限策略文件的符号链接并链接到原始文件,请使用下列基于 UNIX 的命令:
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the current policy .jar files. You might want
# to back up the following files:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create 
# symbolic links to the smpe HFS where the original files 
# are kept: 
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

完成下列步骤,以便对领域启用安全性:

过程

  1. WebSphere Application Server 中启用管理安全性。

    有关更多信息,请参阅启用安全性。单击安全性 > 全局安全性很重要。从列表中选择可用的领域定义,然后单击设置为当前。将配置保存到存储库中。在继续前,验证当您在安全性 > 全局安全性面板中单击确定后执行的验证是否成功。如果该验证未成功,但您继续执行这些步骤,就会有服务器无法启动的风险。重新配置安全性设置,直到验证成功为止。

  2. 使用管理控制台将新配置的副本发送到所有正在运行的 Node Agent。 如果 Node Agent 无法获取启用了安全性的配置,那么,由于没有访问权,与 Deployment Manager 的通信就会失败。未对 Node Agent 启用安全性。要强制使特定节点同步,请在管理控制台中完成下列步骤:
    1. 单击系统管理 > 节点并选择所有节点旁边的选项。不需要选择 Deployment Manager 节点。
    2. 单击完全再同步以验证是否执行了文件同步。 消息可能指示节点已同步。此消息是正确的。启动同步时,验证是否对所有节点都显示了“已同步”状态。
  3. 停止 Deployment Manager。从命令行或服务手动重新启动 Deployment Manager。 要停止 Deployment Manager,请单击系统管理 > Deployment Manager,然后单击停止。此操作将使您从管理控制台注销,并且将停止 Deployment Manager 进程。
  4. 重新启动 Deployment Manager 进程。

    [AIX Solaris HP-UX Linux Windows]要重新启动 Deployment Manager 进程,请找到 app_server_root/bin 目录并输入 startManager.batstartManager.sh。在 Deployment Manager 初始化完成后,请返回到管理控制台以完成本任务。记住,现在仅在 Deployment Manager 中启用了安全性。如果启用了单点登录 (SSO),请指定 Web 地址的标准域名,例如 http://myhost.domain:port_number/ibm/console。当提示您输入用户标识和密码时,请输入在已配置的用户注册表中定义的管理员标识。

    [z/OS]要重新启动 Deployment Manager 进程,请输入以下命令:
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=cell_short_name.node_short_name.server_short_name
    必须在一行上输入此命令。此处进行分行是为了便于说明(请参阅下列相关链接,以了解有关使用 z/OS® MVS™ 系统命令的更多信息)。在 Deployment Manager 初始化完成后,请返回到管理控制台以完成本任务。仅在 Deployment Manager 中启用了安全性。如果启用了单点登录 (SSO),那么指定 Web 地址的标准域名,例如,http://myhost.domain:port_number/ibm/console。当提示您输入用户标识和密码时,请输入在已配置的用户注册表中定义的管理员标识。
  5. [IBM i]重新启动 Deployment Manager 进程。 要重新启动 Deployment Manager 进程,请打开 Qshell 环境并找到 app_server_root/bin 目录。app_server_root 变量指的是 app_server_root/bin/ 缺省目录。在 Qshell 命令行中,输入 startManager

    在 Deployment Manager 初始化完成后,请返回到管理控制台以完成本任务。记住,现在仅在 Deployment Manager 中启用了安全性。如果启用了单点登录 (SSO),请指定 Web 地址的标准域名,例如 http://myhost.domain:port_number/ibm/console。当提示您输入用户标识和密码时,请输入在已配置的用户注册表中定义的管理员标识。

  6. 启用安全性之后,如果 Deployment Manager 无法启动,请使用脚本禁用安全性,然后重新启动。 通过从 DeploymentManager/bin 目录中发出以下命令来禁用安全性:
    ./wsadmin.sh -conntype NONE
    在提示符处,输入 securityoff
  7. 重新启动所有的 Node Agent 以使它们启用安全性。 在执行此步骤前,必须已在上一步中重新启动了 Deployment Manager。如果在对 Deployment Manager 启用安全性前对 Node Agent 启用安全性,Deployment Manager 就无法查询 Node Agent 的状态或对 Node Agent 发出命令。要停止所有 Node Agent,请完成以下操作:
    1. 转至系统管理 > Node Agent,然后选择所有 Node Agent 的选项。单击重新启动。将显示类似于以下示例的消息:节点 NODE NAME 上的 Node Agent 已成功地重新启动
    2. 此外,如果先前未停止应用程序服务器,请单击系统管理 > Node Agent,然后单击要重新启动的所有服务器所在的 Node Agent,这样就可以重新启动任何给定节点中的所有服务器。单击重新启动节点上的所有服务器。此操作将重新启动 Node Agent 和任何已启动的应用程序服务器。
  8. 如果任何 Node Agent 无法重新启动,请对配置执行手动再同步操作。 此步骤包括转至物理节点并运行客户机 syncNode 命令。此客户机将登录到 Deployment Manager 并将所有配置文件复制到 Node Agent。此操作确保配置已启用安全性。如果 Node Agent 已启动,但是未与 Deployment Manager 进行通信,那么通过发出 stopServer 命令停止该 Node Agent。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
文件名:tsec_egs.html