配置多个安全域

缺省情况下,WebSphere® Application Server 中的所有管理应用程序和用户应用程序都使用全局安全性配置。例如,在全局安全性中定义的用户注册表用于认证单元中每个应用程序的用户。即开即用的行为与 WebSphere Application Server 先前发行版中的相同。如果要为您的部分或所有用户应用程序指定不同的安全性属性,那么可以创建其他 WebSphere 安全域。本节描述如何使用管理控制台来配置安全域。

开始之前

只有已被分配管理员角色的用户才能配置多个现有安全域或创建多个新的安全域。请在环境中启用全局安全性,然后再配置多个安全域。

请阅读多个安全域以更好地了解多个安全域的含义以及此版本的 WebSphere Application Server 中如何支持多个安全域。

关于此任务

安全域使您能够定义多个安全性配置,供在环境中使用。例如,您可以为用户应用程序(而不是管理应用程序)定义不同的安全性,例如,不同的用户注册表。您也可以为部署到不同服务器和集群的用户应用程序定义单独的安全性配置。

最佳实践 最佳实践: 当配置的应用程序域的域名与全局域的域名完全相同时,查找用户、组或者其他注册表属性将返回该应用程序域的域名。您应该为每个域配置唯一的域名。bprac

执行以下步骤以使用管理控制台来配置新的安全域:

过程

  1. 单击安全性 > 安全域
  2. 如果正在创建新的多安全域,请单击新建。为该域提供唯一名称和描述,然后单击应用。如果要配置现有的多安全域,请选择一个进行编辑。 在单击应用后,会显示域名和其他部分。一个部分可让您定义域的安全性属性,而另一个部分可让您选择域所适用于的范围。
  3. 在“已分配的范围”下,选择是要将安全域分配给整个单元,还是要选择将特定服务器、集群和服务集成总线包括在安全域中。 “已分配的范围”部分具有两个视图。缺省视图是单元拓扑。要将安全域分配给整个单元,请单击单元的复选框,然后单击应用确定

    安全域的名称会显示在单元名的旁边,指示现在已对单元分配该域。您可以展开拓扑,并对一个或多个服务器和集群分配该域。如果已将拓扑中的项分配给另一个安全域,那么复选框处于已禁用状态,且所分配域的名称会显示在范围名称的旁边。如果要将其中一个范围分配给该域,那么必须先解除该范围与其当前域的关联。

    选择所有已分配的范围,以仅查看当前分配给安全域的那些资源的列表。

  4. 通过指定新域的安全性属性来定制安全性配置。 无法在域级别定制未列出的属性。域将从全局安全性配置继承这些属性。

    有十二个可单独配置的安全性属性部分。可以展开和折叠每个部分。在折叠状态下,会显示该部分的名称和摘要值。另外,摘要值文本指示该属性是定义于全局安全性且由域复用(如灰色文本所指示),还是针对域进行定制(如以词“定制”作为前缀的黑色文本所指示)。

    最初,每个安全性属性都设为使用全局安全性设置。如果属性设置为使用全局安全性,那么该属性没有任何特定于域的配置。使用域的应用程序会使用这些安全性属性的全局配置。

    仅配置要更改的安全性属性。要配置域的安全性属性,请展开安全性属性部分。全局配置的重要属性显示在使用全局安全性选项下。这些属性是为方便起见而提供的。

    要定制域的配置,请选择针对此域进行定制。配置属性,然后单击确定应用
    注: 通常,如果选择针对此域进行定制,那么会覆盖在全局安全性中针对该部分进行定义的所有安全性配置。应用程序登录、系统登录以及 J2C 认证数据条目是一些例外情况。当您定义域的条目时,域中的应用程序能够访问这些全局条目及特定于域的条目。

    例如,您可能想要将不同的用户注册表用于使用该安全域的应用程序,但也想要将全局安全性配置用于所有其他安全性属性。在这种情况下,展开“用户域”部分,然后选择针对此域进行定制。选择用户注册表类型,单击配置,然后在后续面板上提供相应的配置详细信息。

    可以更改如下所示的安全性属性:
    应用程序安全性
    指定应用程序安全性和 Java™ 2 安全性的设置。可以使用全局安全性设置或者定制某个域的设置。

    选择启用应用程序安全性,以对用户应用程序启用或禁用此安全性选项。如果禁用了此选项,那么安全域中的所有 EJB 和 Web 应用程序都将不再受保护。授予对这些资源的访问权而不进行用户认证。如果启用了此选项,那么将对安全域中的所有 EJB 和 Web 应用程序强制启用 J2EE 安全性。仅当在全局安全性配置中启用了全局安全性时才能强制启用 J2EE 安全性。即,如果不首先在全局级别启用全局安全性,就不能启用应用程序安全性。

    Java 2 安全性
    选择 Java 2 安全性,以在域级别启用或禁用 Java 2 安全性。此选项将在进程 (JVM) 级别启用或禁用 Java 2 安全性,以便所有应用程序(管理应用程序和用户应用程序)都可以启用或禁用 Java 2 安全性。
    用户领域

    此部分使您能够为安全域配置用户注册表。可以单独配置在域级别使用的任何注册表。有关更多信息,请参阅多个安全域

    信任关联
    如果在域级别配置信任关联拦截器 (TAI),那么会为了便利起见,而将在全局级别配置的拦截器复制到该域级别。可以在域级别修改拦截器列表,以适合您的需求。请仅配置那些要在该域级别使用的拦截器。
    SPNEGO Web 认证
    可以在域级别配置 SPNEGO Web 认证,此认证使您能够配置 SPNEGO 以进行 Web 资源认证。
    注: 在 WebSphere Application Server V6.1 中引入了一种 TAI,该 TAI 使用“简单且受保护的 GSS-API 协商机制”(SPNEGO) 来安全地协商和认证对受保护资源发出的 HTTP 请求。建议在 WebSphere Application Server 7.0 中不要使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。
    RMI/IIOP 安全性

    RMI/IIOP 安全性属性是指 CSIv2(公共安全互操作性 V2)协议特性。当您在域级别配置这些属性时,为了方便起见,将复制全局级别的 RMI/IIOP 安全性配置。

    可以更改那些需要在域级别互不相同的属性。对于全局级别和域级别,用于 CSIv2 入站通信的传输层设置应相同。如果他们不相同,那么会将域级别的属性应用到进程中的所有应用程序。

    JAAS 应用程序登录
    指定 Java 认证和授权服务 (JAAS) 应用程序登录的配置设置。您可以使用全局安全性设置或者定制某个域的设置。
    注: JAAS 应用程序登录、JAAS 系统登录和 JAAS J2C 认证数据别名都可以在域级别进行配置。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JAAS 登录。安全性运行时将首先在域级别检查 JAAS 登录。如果未找到他们,就会接着在全局安全性配置中对他们执行检查。仅当需要指定供安全域中的应用程序独占使用的登录时,才在域中配置任何这些 JAAS 登录。
    JAAS 系统登录
    指定 JAAS 系统登录的配置设置。可以使用全局安全性设置或者定制域的配置设置。
    JAAS J2C 认证
    指定 JAAS J2C 认证数据的配置设置。您可以使用全局安全性设置或者定制某个域的设置。
    Java 认证 SPI (JASPI)

    指定 Java 认证 SPI (JASPI) 认证提供程序和相关联的认证模块的配置设置。您可以使用全局安全性设置或者定制某个域的设置。要配置域的 JASPI 认证提供程序,请选择针对此域进行定制,然后启用 JASPI。选择提供程序以定义此域的提供程序。

    注: 可以通过在域级别配置的提供程序启用 JASPI 认证提供程序。缺省情况下,系统中的所有应用程序都可以访问在全局级别配置的 JASPI 认证提供程序。安全性运行时将首先在域级别检查 JASPI 认证提供程序。如果未找到他们,就会接着在全局安全性配置中对他们执行检查。仅当该安全域中的应用程序要独占地使用 JASPI 认证提供程序时,才应该在域中配置该提供程序。
    认证机制属性

    指定需要在域级别应用的各项高速缓存设置。

    选择认证高速缓存设置以指定认证高速缓存设置。在此面板上指定的配置仅适用于此域。

    选择 LTPA 超时以便在域级别配置另一个 LTPA 超时值。缺省超时值是 120 分钟,此值是在全局级别设置的。如果在域级别设置了 LTPA 超时,那么将使用此到期时间来创建在访问用户应用程序时在安全域中创建的任何令牌。

    如果启用了使用由领域限定的用户名,那么将使用安全域中的应用程序所使用的安全性领域(用户注册表)对 getUserPrincipal( ) 之类的方法所返回的用户名进行限定。

    授权提供程序

    可以在域级别配置外部的第三方 JACC (Java Authorization Contract for Containers) 提供程序。只能在全局级别配置 Tivoli® Access Manager 的 JACC 提供程序。如果安全域不使用另一个 JACC 提供程序或者内置本机授权来覆盖授权提供程序,那么这些安全域仍然可以使用该 JACC 提供程序。

    [z/OS]另外,还可以在安全域级别配置 SAF 授权选项,这些选项包括:
    • 未经认证的用户标识
    • SAF 概要文件映射器
    • 是否启用 SAF 委派
    • 是否使用 APPL 概要文件来限制对 WebSphere Application Server 的访问
    • 是否消除授权失败消息
    • SMF 审计记录策略
    • SAF 概要文件前缀

    [z/OS]有关 SAF 授权选项的更多信息,请阅读z/OS 系统授权工具授权

    [z/OS]
    z/OS® 安全性选项
    可以在进程 (JVM) 级别设置特定于 z/OS 的安全性选项,以便所有应用程序(管理应用程序和用户应用程序)都可以启用或禁用这些选项。这些属性如下:
    • 启用应用程序服务器和 z/OS 线程标识同步
    • 启用连接管理器 RunAs 线程身份。

    有关 z/OS 安全性选项的更多信息,请阅读z/OS 安全性选项

    定制属性
    请在域级别设置新的定制属性或者设置与全局级别的定制属性不同的定制属性。缺省情况下,单元中的所有应用程序都可以访问全局安全性配置中的所有定制属性。安全性运行时代码首先在域级别查找定制属性。如果未找到定制属性,那么它会尝试从全局安全性配置中获得定制属性。
  5. 在配置安全性属性并将域指定到一个或多个范围之后,请单击应用确定
  6. 重新启动所有服务器和集群,以使更改生效。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
文件名:tsec_sec_domains_config.html