启用安全性

下文提供了有关创建 WebSphere® Application Sever 概要文件期间未启用安全性时如何配置安全性的信息。

开始之前

安装 WebSphere Application Server 时,建议在启用安全性的情况下进行安装。根据设计,此选项确保正确配置所有设置。通过启用安全性防止未经授权的用户访问您的服务器,从而可以将应用程序隔离并要求对应用程序用户进行认证。

从基础结构立场理解安全性是很有帮助的,这样您就可以了解不同认证机制、用户注册表和认证协议等等的优点。在配置安全性时,需要选择正确的安全性组件以满足需求。下列部分有助于您进行这些决策。

了解安全性组件后,可以继续在 WebSphere Application Server 中配置安全性。

[z/OS]注意: 要启用安全性,需完成一些安全性定制任务。这些任务要求更新安全性服务器,例如资源访问控制设施 (RACF®)。安全性管理员可能需要参与此过程。

过程

  1. 启动 WebSphere Application Server 管理控制台。

    启动 Deployment Manager,然后,在浏览器中输入 WebSphere Application Server Network Deployment 服务器的地址。缺省情况下,控制台的位置是 http://your_host.your_domain:9060/ibm/console

    如果已禁用安全性,那么将提示您输入用户标识。请使用任何用户标识登录。但是,如果已启用安全性,那么将提示您输入用户标识和密码。请使用预定义的管理用户标识和密码登录。

  2. 单击安全性 > 全局安全性

    现在,您可以使用安全配置向导来配置安全性,也可以手动配置安全性。配置顺序并不重要。

    避免故障 避免故障: 必须单独地启用管理安全性和应用程序安全性。由于进行了此划分,因此 WebSphere Application Server 客户机必须知道目标服务器中是否禁用了应用程序安全性。缺省情况下将启用管理安全性。缺省情况下将禁用应用程序安全性。在尝试对目标服务器启用应用程序安全性之前,请验证是否已在该服务器上启用管理安全性。只有在管理安全性处于启用状态的情况下,应用程序安全性才会生效。gotcha

    有关手动配置的更多信息,请参阅认证用户

  3. 配置用户帐户存储库。 有关更多信息,请参阅选择注册表或存储库。在“全局安全性”面板上,可以配置用户帐户存储库,例如,联合存储库、本地操作系统、独立轻量级目录访问协议 (LDAP) 注册表以及独立定制注册表。
    注: 您可以选择指定服务器标识和密码以便进行互操作,也可以允许 WebSphere Application Server 安装自动生成内部服务器标识。有关自动生成服务器标识的更多信息,请参阅本地操作系统设置

    所有用户注册表或存储库的其中一项公共详细信息是主管理用户名。此标识是所选存储库的成员,但是在 WebSphere Application Server 中也拥有特权。与管理角色标识相关联的特权与此标识的特权是相同的。主管理用户名能够访问所有受保护的管理方法。

    [Windows]此标识不能与系统的机器名相同,这是因为,在查询同名的用户时,存储库有时会返回特定于机器的信息。

    在独立 LDAP 注册表中,验证主管理用户名是存储库的成员,而不仅仅是 LDAP 管理角色标识。条目必须可搜索。

    [AIX Solaris HP-UX Linux Windows][IBM i]主管理用户名运行 WebSphere Application Server 进程。而是,进程标识运行 WebSphere Application Server 进程。

    [AIX Solaris HP-UX Linux Windows]进程标识由启动进程方法确定。例如,如果您使用命令行启动进程,那么登录系统的用户标识是进程标识。如果作为服务运行,那么登录到系统的用户标识是运行服务的用户标识。如果选择本地操作系统注册表,进程标识就需要拥有调用操作系统 API 所需的特权。进程标识必须拥有下列特定于平台的特权:
    • [Windows]以操作系统方式操作特权
    • [AIX HP-UX Solaris]Root 用户特权

    [IBM i]在缺省配置中,WebSphere Application Server 进程在系统提供的用户概要文件 QEJBSVR 下运行。

    [z/OS]WebSphere Application Server for z/OS® 上使用独立的本地操作系统注册表时,服务器的用户标识不是使用管理控制台设置的,而是通过 z/OS 操作系统中的 STARTED 类设置的。

  4. 配置用户帐户存储库后,请选择设置为当前选项。 设置“启用管理安全性”选项后,在单击应用时,将执行验证以确定是否已配置管理用户标识并且该标识在活动用户注册表中是否存在。可以在活动用户注册表面板上或者使用控制台用户链接来指定管理用户标识。如果没有为活动用户注册表配置管理标识,验证就会失败。
    注: 当您切换用户注册表时,应该清除 admin-authz.xml 文件中的现有管理标识和应用程序名称。如果标识在 admin-authz.xml 文件中存在,但不在当前用户注册表中,那么日志中将出现这些标识的异常。
  5. [z/OS]可选:您可以配置外部授权提供程序并将其更改为 WebSphere 授权、系统授权设施 (SAF) 授权或外部 JACC 提供程序。有关更多信息,请参阅z/OS 系统授权工具授权启用外部 JACC 提供程序。要更改授权提供程序,请单击安全性 > 全局安全性
  6. 配置认证机制。

    在“认证机制和到期”下,配置轻量级第三方认证 (LTPA) 或 Kerberos,这是此 WebSphere Application Server 发行版中的新增功能。LTPA 凭证可以转发到其他机器。为了确保安全,凭证会到期;但是,您可以在控制台上配置截止日期。LTPA 凭证使浏览器能够访问不同的产品服务器,这意味着您不必进行多次认证。有关更多信息,请参阅配置轻量级第三方认证机制

    [z/OS]注: 可以将简单 WebSphere 认证机制 (SWAM) 配置成认证机制。但是,在 WebSphere Application Server V9.0 中,建议不要使用 SWAM,在将来的发行版中将移除此认证机制。SWAM 凭证不能转发到其他机器,而且由于这个原因,所以不会到期。

    如果需要使用单点登录 (SSO) 支持(此支持使浏览器能够访问不同的产品服务器,而不必多次进行认证),请参阅实现单点登录以最小化 Web 用户认证。对于基于表单的登录,当使用 LTPA 时您必须配置 SSO。

  7. 可选: 导入和导出 LTPA 密钥,以便在单元之间进行跨单元单点登录 (SSO)。 有关更多信息,请参阅以下文章:
    避免故障 避免故障: 如果您所连接的其中一个单元在 V6.0.x 系统上,请参阅 V6.0.x 信息中心中的“配置轻量级第三方认证密钥”主题以了解更多信息。gotcha
  8. 如果有需要,请为 Java™ 客户机的特殊安全性要求配置认证协议。

    [AIX Solaris HP-UX Linux Windows][IBM i]可以通过“全局安全性”面板上的链接来配置公共安全互操作性 V2 (CSIv2)。提供了安全性认证服务 (SAS) 协议以向后兼容先前产品发行版,但建议不要使用此服务。如果环境包含使用先前版本 WebSphere Application Server 并支持 SAS 协议的服务器,在“全局安全性”面板上就会显示指向 SAS 协议面板的链接。有关配置 CSIv2 或 SAS 的详细信息,请参阅配置公共安全互操作性 V2 (CSIV2) 入站和出站通信设置一文。

    [z/OS]可以通过“全局安全性”面板上的链接来配置公共安全互操作性 V2 (CSIv2)。我们提供了 z/OS 安全性认证服务 (z/SAS) 协议以便向后兼容先前产品发行版,但建议您不要使用此协议。如果环境包含使用先前版本 WebSphere Application Server 并支持 Z/SAS 协议的服务器,在“全局安全性”面板上就会显示指向 Z/SAS 协议面板的链接。要了解有关配置 CSIv2 或 z/SAS 的详细信息,请参阅配置公共安全互操作性 V2 (CSIV2) 入站和出站通信设置一文。
    要点: 只有在 V6.0.x 与 V6.1 单元中联合的先前版本服务器之间才支持 z/SAS。
    [AIX Solaris HP-UX Linux Windows][IBM i]注意: IBM® 不再提供或支持安全认证服务 (SAS) IIOP 安全性协议。建议您使用公共安全互操作性 V2 (CSIv2) 协议。
    [z/OS]注意: IBM 不再提供或支持 z/OS 安全认证服务 (z/SAS) IIOP 安全性协议。建议您使用公共安全互操作性 V2 (CSIv2) 协议。CSIv2 能够与除 V4 客户机以外的先前版本 WebSphere Application Server 进行互操作。
  9. [AIX Solaris HP-UX Linux Windows][IBM i]在缺省情况下,预先配置了安全套接字层 (SSL),除非您有定制 SSL 需求,否则不必进行更改。 您可以修改 SSL 配置,也可以创建新的 SSL 配置。此操作保护通过因特网发送的消息的完整性。产品提供一个集中位置,用于设置各种使用 SSL 的 WebSphere Application Server 功能部件可以利用的 SSL 配置,其中包括 LDAP 注册表、Web 容器以及 RMI/IIOP 认证协议 (CSIv2)。有关更多信息,请参阅 创建安全套接字层配置。在修改配置或创建新配置后,请在 SSL 配置面板上指定该配置。要转至 SSL 配置面板,请完成以下步骤:
    1. 单击安全性 > SSL 证书和密钥管理
    2. 在“配置设置”下,单击管理端点安全配置 > configuration_name
    3. 在每个作用域(例如节点、集群或服务器)的“相关项”下,选择其中一个可以将作用域限定为所访问资源的配置链接。

    您可编辑 DefaultSSLConfig 文件,或使用新的别名创建一个新的 SSL 配置。如果您为新密钥库文件和信任库文件创建新的别名,请更改每一个引用了 DefaultSSLConfig SSL 配置别名的位置。以下列表指定了 SSL 配置指令表别名用于 WebSphere Application Server 配置的位置。

    对于任何使用新网络输入/输出通道链的传输,包括 HTTP 和 Java 消息服务 (JMS),您可在每个服务器的下列位置修改 SSL 配置指令表别名:
    • 单击服务器 > 应用程序服务器 > server_name。在“通信”下,单击端口。找到已启用 SSL 的传输链,然后单击查看关联传输。单击 transport_channel_name。在“传输通道”下,单击 SSL 入站通道 (SSL_2)
    • 单击系统管理 > Deployment Manager。在“其他属性”下,单击端口。找到已启用 SSL 的传输链,然后单击查看关联传输。单击 transport_channel_name。在“传输通道”下,单击 SSL 入站通道 (SSL_2)
    • 单击系统管理 > Node Agent > node_agent_name。在“其他属性”下,单击端口。找到已启用 SSL 的传输链,然后单击查看关联传输。单击 transport_channel_name。在“传输通道”下,单击 SSL 入站通道 (SSL_2)
    对于对象请求代理 (ORB) SSL 传输,您可以在下列位置修改 SSL 配置指令表别名。这些配置用于服务器级别(对于 WebSphere Application Server)以及单元级别(对于 WebSphere Application Server Network Deployment)。
    • 单击安全性 > 全局安全性。在“RMI/IIOP 安全性”中,单击 CSIv2 入站通信
    • 单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 CSIv2 出站通信

    对于轻量级目录访问协议 (LDAP) SSL 传输,可通过单击安全性 > 全局安全性来修改 SSL 配置指令表别名。在“用户帐户存储库”下,单击可用的领域定义下拉列表,然后选择独立 LDAP 注册表

  10. [z/OS]设置授权方法。如果您已在定制期间选择使用 z/OS 安全性产品,那么在缺省情况下,授权方法设置为使用系统授权设施 (SAF) 授权(EJBROLE 概要文件)。否则,缺省值是 WebSphere Application Server 授权。 (可选)您可以设置 Java Authorization Contract for Containers (JACC) 外部授权。请参阅使用 SAF 授权控制对命名角色访问权时的特殊注意事项授权提供程序
  11. [z/OS]验证供 WebSphere Application Server 使用的安全套接字层 (SSL) 指令表。WebSphere z/OS Profile Management Tool 或 zpmt 命令所生成的样本定制作业将生成用于创建 SSL 密钥环的样本作业,当 RACF 是安全性服务器时,可使用这些密钥环。这些作业将为您的安装版本创建唯一的 RACF 认证中心证书以及由该认证中心签署的一组服务器证书。应用程序服务器控制器启动的任务标识有一个包含这些证书的 SAF 密钥环。类似地,在 WebSphere Application Server Network Deployment 环境中,将创建由 Deployment Manager 用户标识和 Node Agent 用户标识拥有的 RACF 密钥环。

    指令表中的密钥环名和服务器控制器进程的 MVS™ 用户标识都唯一地标识 RACF 密钥环。如果不同的 WebSphere Application Server 控制器进程拥有唯一的 MVS 用户标识,那么必须确保生成 RACF 密钥环和专用密钥,即使它们共享同一个指令表亦如此。

    存在两类可配置的 SSL 指令表:
    • 系统 SSL 指令表用于 HTTPS 和因特网 ORB 间协议 (IIOP) 通信,并且由本机传输使用。如果要在启用安全性后使用管理控制台,那么必须为 HTTP 定义并选择系统 SSL 类型指令表。必须定义一个系统 SSL 指令表并选择 IIOP 安全性是否需要或支持 SSL 传输,或者是否选择安全远程方法调用 (RMI) 连接器以用于管理请求。
    • Java 安全套接字扩展 (JSSE) 指令表用于基于 Java 的 SSL 通信。

    用户必须配置系统 SSL 指令表才能使用 HTTP 或 IIOP 协议,并且必须配置 Java 管理扩展 (JMX) 连接器才能使用 SSL。如果选择 SOAP HTTP 连接器,那么必须为管理子系统选择 JSSE 指令表。在 WebSphere Application Server Network Deployment 环境中,单击系统管理 > Deployment Manager > 管理服务 > JMX 连接器 > SOAP 连接器 > 定制属性 > sslConfig

    z/OS 安装对话框将设置一组 SSL 指令表。这些对话框已配置为引用 SAF 密钥环,并引用定制过程在生成 RACF 命令时填充的文件。
    表 1. 由 z/OS 安装对话框设置的 SSL 指令表.

    下表列示由 z/OS 安装对话框设置的 SSL 指令表。

    指令表名 类型 缺省使用
    [z/OS]NodeDefaultSSLSettings [z/OS]JSSE [z/OS](仅适用于 Base)SOAP JMX 连接器、SOAP 客户机和 Web 容器 HTTP 传输的配置
    [z/OS]CellDefaultSSLSettings [z/OS]JSSE [z/OS](仅适用于 Network Deployment)SOAP JMX 连接器、SOAP 客户机和 Web 容器 HTTP 传输的配置
    [z/OS]DefaultIIOPSSL [z/OS]SSSL [z/OS]仅当启用了 DAEMON SSL 时使用

    如果对您的要求来说这些设置已足够,那么不需要其他操作。如果要创建或修改这些设置,那么必须确保已创建它们所引用的密钥库文件。

  12. 单击安全性 > 全局安全性以配置其余安全设置并启用安全性。 有关这些设置的信息,请参阅全局安全性设置

    有关其他信息,请参阅服务器和管理安全性

  13. 通过单击确定应用来验证已完成的安全配置。如果发生问题,那么问题将以红色类型显示。
  14. 如果没有任何验证问题,请单击保存以便将设置保存到服务器重新启动时使用的文件。 保存设置时会将设置写入至配置库。
    要点: 在“全局安全性”面板中单击保存之前,如果未单击应用确定,那么您所作的更改不会被写入存储库。必须重新启动服务器以使任何更改生效,然后再启动管理控制台。

    保存操作使 Deployment Manager 能够在 WebSphere Application Server 重新启动后使用已更改的设置。有关更多信息,请参阅对领域启用安全性。Deployment Manager 配置有别于独立基本应用程序服务器。配置临时地存储在 Deployment Manager 中,直到它与所有 Node Agent 同步为止。

    此外,验证所有 Node Agent 都已启动并在域中运行。在执行此过程期间,停止所有应用程序服务器。如果有任何的 Node Agent 关闭了,那么从 Node Agent 机器手动运行文件同步实用程序,以同步 Deployment Manager 的安全配置。否则,在 Deployment Manager 上启用安全性后,有故障的 Node Agent 不会与 Deployment Manager 通信。

  15. 启动 WebSphere Application Server 管理控制台。

    启动 Deployment Manager,然后,在浏览器中输入 WebSphere Application Server Network Deployment 服务器的地址。缺省情况下,控制台的位置是 http://your_host.your_domain:9060/ibm/console

    如果安全性当前处于禁用状态,请使用任何用户标识登录。如果安全性当前处于启用状态,请使用预定义的管理标识和密码登录。此标识通常是您在配置用户注册表时指定的服务器用户标识。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
文件名:tsec_csec2.html