在应用程序服务器之间传播安全性属性

使用 WebSphere® Application Server 的安全性属性传播功能,以通过使用令牌将与原始登录有关的安全性属性信息发送到其他服务器。本主题将帮助您配置 WebSphere Application Server,以将安全性属性传播到其他服务器。

关于此任务

为了完全启用安全性属性传播,必须在 WebSphere Application Server 管理控制台中配置单点登录 (SSO)、公共安全互操作性 V2 (CSIv2) 入站和 CSIv2 出站面板。只能启用与配置有关的安全性属性传播部分。例如,可使用推技术(DynaCache)或拉技术(到始发的服务器的远程方法)启用 Web 传播,它在前端应用程序服务器之间传播。

您也可以选择是否启用远程方法调用 (RMI) 出站和入站传播,它通常称为下游传播。通常为给出的任何单元启用两种类型的传播。在某些情况下,您可能要使用特定应用程序服务器设置中的服务器安全性面板为特定应用程序服务器选择不同的选项。

限制: 为了防止在应用程序服务器之间多次传播相同的安全性属性,WebSphere Application Server 将验证轻量级第三方认证 (LTPA) 令牌是否存在。可能发生两种情况。缺乏 LTPA 令牌时,将通知应用程序服务器传播操作可以继续。存在 LTPA 令牌时,如果在集群中生成了 LTPA 令牌,那么指示传播已发生。但是,在第二种情况下,如果 LTPA 令牌存在,但由服务器在集群外部生成,例如,由 Tivoli® Access Manager、Lotus® Domino® 或其他应用程序服务器集群生成,那么将不会传播安全性属性。

要访问管理控制台中的服务器安全性面板,请单击服务器 > 应用程序服务器 > server_name。在“安全性”下,单击服务器安全性

完成以下步骤为安全性属性传播配置 WebSphere Application Server:

过程

  1. 通过输入 http://server_name:port_number/ibm/console 访问 WebSphere Application Server 管理控制台。 如果先前已更改端口号,那么管理控制台地址可能不同。
  2. 单击安全性 > 全局安全性
  3. 在“Web 安全性”下,单击单点登录 (SSO)
  4. 可选: 如果必须与不支持安全性属性传播的服务器互操作,请选择互操作性方式选项。 不支持安全性属性传播的服务器接收轻量级第三方认证 (LTPA) 令牌和传播令牌,但是忽略它们不能识别的安全性属性信息。
  5. 选择 Web 入站安全性属性传播选项。 “Web 入站安全性属性传播”选项允许水平传播,这允许接收 SSO 令牌从原始登录服务器检索登录信息。如果不启用此选项,那么在 CSIv2 入站认证和 CSIv2 出站认证面板上都启用了“安全性属性传播”选项时,将发生下游传播。

    通常,如果需要收集在原始登录服务器上设置的动态安全性属性(无法在新的前端服务器重新生成),那么启用“Web 入站安全性属性传播”选项。这些属性包含任何定制属性,这些定制属性可能是使用 com.ibm.websphere.security.WSSecurityHelper 应用程序编程接口 (API) 在 PropagationToken 令牌中设置的。您必须确定启用此选项会提高还是降低系统性能。当该选项阻止某些远程用户注册表调用时,某些令牌的反序列化和解密可能会影响性能。在某些情况下,尤其在用户注册表是拓扑的瓶颈时,传播会特别快。建议您评估使用和不使用此选项时的环境性能。测试性能时,建议您在典型生产环境的操作环境中测试,该环境应该适当具有某些唯一用户同时访问系统。

    启用 Web 入站安全性属性传播选项时,安全性属性将传播至前端应用程序服务器。当此选项禁用时,将使用 SSO 令牌来登录,并从用户注册表重新创建主体集。

  6. 单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 CSIv2 入站认证 登录配置字段将 RMI_INBOUND 指定为用于入站请求的系统登录配置。要添加定制 Java™ 认证和授权服务 (JAAS) 登录模块,请完成以下步骤:
    1. 单击安全性 > 全局安全性。在“Java 认证和授权服务”下,单击系统登录 将显示一列系统登录配置。WebSphere Application Server 提供以下预先配置的系统登录配置:DEFAULT、LTPA、LTPA_WEB、RMI_INBOUND、RMI_OUTBOUND、SWAM、WEB_INBOUND、wssecurity.IDAssertion 和 wssecurity.Signature。不要删除这些预定义的配置。
      注: 在 WebSphere Application Server V9.0 中,不推荐使用 SWAM,在将来的发行版中将移除此认证机制。
    2. 单击要修改的登录配置名。
    3. 在“其他属性”下,单击 JAAS 登录模块 将显示“JAAS 登录模块”面板,该面板列出登录配置中处理的所有登录模块。不要删除必需的 JAAS 登录模块。而是可以将定制登录模块添加到必需的登录模块前后。如果添加定制登录模块,那么不要让其名称以 com.ibm.ws.security.server 开头。

      通过单击设置顺序,可以指定处理登录模块的顺序。

  7. 选择“CSIv2 入站认证”面板上的安全性属性传播选项。 选择安全性属性传播时,服务器将向其他应用程序服务器公布:它可通过公共安全互操作性 V2 (CSIv2) 协议从相同领域中的另一台服务器接收传播的安全性属性。
  8. 单击安全性 > 全局安全性。在“RMI/IIOP 安全性”下,单击 CSIv2 出站认证 将显示“CSIv2 出站认证”面板。登录配置字段将 RMI_OUTBOUND 指定为用于出站配置的 JAAS 登录配置。您不能更改此登录配置。但可通过完成先前为 CSIv2 入站认证列出的子步骤来定制此登录配置。
  9. 可选: 如果要为远程方法调用 (RMI) 协议启用出站主体集和安全上下文令牌传播,请验证是否选择了安全性属性传播选项。 选择此选项时,WebSphere Application Server 序列化主体集内容和 PropagationToken 内容。序列化这些内容后,服务器将使用 CSIv2 协议将主体集和 PropagationToken 令牌发送到支持安全性属性传播的目标服务器。如果接收的服务器不支持安全性属性令牌,那么 WebSphere Application Server 将只发送轻量级第三方认证 (LTPA) 令牌。
    要点: WebSphere Application Server 只传播它可以序列化的主体集中的对象。服务器将全力以赴地传播定制对象。
    如果安全性属性传播处于已启用状态,那么 WebSphere Application Server 会将标记令牌添加到主体集,以允许目标服务器在入站登录期间添加其他属性。在登录的落实阶段,标记令牌和主体集标记为只读,且从此以后不能再修改。
    [z/OS]要点: 使用安全性属性传播时,请在所有单元配置中使用相同 LTPA 密钥。
  10. 可选: 如果清除安全性属性传播选项并且要使用 RMI_OUTBOUND 登录配置,请选择定制出站映射选项。 如果既未选择定制出站映射选项,也未选择安全性属性传播选项,那么 WebSphere Application Server 不调用 RMI_OUTBOUND 登录配置。如果需要插入凭证映射登录模块,那么必须选择定制出站映射选项。
  11. 可选: 可信目标域字段中指定可信目标域名。 通过指定这些域名,可以将信息发送到位于发送服务器领域外的服务器,以支持在这些下游服务器上的入站映射。要执行到不同于当前域的另一个域的出站映射,必须在此字段中指定域,从而可以达到此目的,而不会因为域不匹配而导致请求被拒绝。发送请求后,如果需要 WebSphere Application Server 将安全性属性传播到另一个领域,那么必须在可信目标域字段中指定域名。否则,安全性属性不传播到未指定的领域。通过在每个条目之间添加管道 (|) 定界符,可以添加多个目标域。
  12. 可选: 为纯客户机启用传播。 对于要传播添加到调用主体集的属性的纯客户机,必须将以下属性添加到 sas.client.props 文件:com.ibm.CSI.rmiOutboundPropagationEnabled=true
    注: sas.client.props 文件位于 <WAS-HOME>/profiles/<ProfileName>/properties> 中。

结果

完成这些步骤后,您已将 WebSphere Application Server 配置成将安全性属性传播到其他服务器。

下一步做什么

如果需要禁用安全性属性传播,请确定是在服务器级别还是在单元级别对其进行禁用。
注意: 对服务器级别设置的更改覆盖单元设置。
注意: 请注意,在安全域中可能会覆盖设置。
要在服务器级别禁用安全性属性传播,请完成以下步骤:
  1. 单击服务器 > 应用程序服务器 > server_name
  2. 在“安全性”下,单击服务器安全性
  3. 选择此服务器的 RMI/IIOP 安全性覆盖单元设置选项。
  4. 通过单击“其他属性”下的 CSI 入站认证并清除安全性属性传播选项,对入站请求禁用安全性属性传播。
  5. 通过单击“其他属性”下的 CSI 出站认证并清除安全性属性传播选项,对出站请求禁用安全性属性传播。

要禁用单元级别的安全性属性传播,请撤销本任务中为启用安全性属性传播而做的每个步骤。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablesecattprop
文件名:tsec_enablesecattprop.html