Configurações Iniciais de Segurança
Familiarize-se com as três opções de segurança iniciais e os efeitos da configuração de cada uma.
Na instalação agora você tem a opção de ativar a segurança administrativa durante a customização de célula inicial, esse procedimento é referido como "segurança out-of-the-box". Ele protege a célula de modificação não-autorizada, que poderá ocorrer se a segurança não estiver ativada.
Este artigo descreve as três opções de segurança iniciais e os efeitos da configuração em cada uma delas.
Opção 1: Usar um Produto de Segurança do z/OS para Gerenciar Identidades e a Política de Autorização do Usuário
O produto de segurança do sistema z/OS é sempre usado para controlar identidades de tarefas iniciadas pelo WebSphere Application Server for z/OS e o certificado digital do daemon de serviço de localização (se o SSL do daemon for selecionado). No entanto, quando essa opção de segurança é selecionada, todos os administradores e grupos administrativos do WebSphere Application Server devem ser definidos também para o SAF. Posteriormente,se a segurança do aplicativo estiver ativada, o banco de dados de segurança do SAF também manterá essas identidades de usuário.
Essa opção é adequada quando servidores ou células residirão totalmente nos sistemas z/OS, com o SAF como o registro do usuário. Os clientes que planejam implementar um registro de usuário customizado ou LDAP, mas que mapearão identidades do WebSphere Application Server para identidades do SAF e usarão perfis EJBROLE para autorização, também deverão escolher essa opção para que a configuração inicial EJBROLE do SAF seja executada.
Os perfis CBIND do SAF são criados e recebem o grupo de configuração.
Os certificados digitais são criados no sistema de segurança do SAF para cada controlador do servidor (gerenciador de implementação ou controlador do servidor de aplicativos).
Conjuntos de chaves digitais são criados no sistema de segurança do SAF para IDs de usuários do servidor, adjunto da região do controlador, controlador e administrador e os certificados adequados são anexados a esses conjuntos de chaves.
Um prefixo de perfil do SAF pode ser especificado quando essa opção é escolhida; o prefixo de perfil do SAF se torna parte dos nomes de perfis APPL, CBIND e EJBROLE usados para a verificação de segurança.
Opção 2: Usar o WebSphere Application Server para Gerenciar Identidades e a Política de Autorização do Usuário
O produto de segurança do sistema z/OS é sempre usado para controlar identidades de tarefas iniciadas pelo WebSphere Application Server for z/OS e o certificado digital do daemon de serviço de localização (se o SSL do daemon for selecionado). No entanto, quando essa opção de segurança é selecionada, todos os usuários e grupos do WebSphere Application Server para acesso administrativo são definidos no registro de usuário do WebSphere, e não no SAF. Posteriormente, se a segurança do aplicativo for ativada, o registro de usuário do WebSphere Application Server também manterá essas identidades de usuário.
Essa opção é adequada quando servidores ou células residirão em sistemas z/OS e não-z/OS, bem como para clientes que planejam implementar um registro de usuário customizado ou LDAP para substituir o registro inicial. (Os clientes que planejam implementar um registro LDAP ou do usuário customizado com mapeamento de identidade para SAF devem selecionar segurança gerenciada pelo z/OS durante a customização; consulte acima.)
Quando essa opção é escolhida durante a customização, um registro do usuário baseado em arquivo é criado no sistema de arquivos de configuração.
Um ID de usuário de administrador é incluído no registro do usuário com base no arquivo.
O ID de usuário de administrador é incluído na lista de usuários de console autorizados.
Certificados digitais autoassinados para servidores são criados automaticamente no sistema de arquivos de configuração pelo WebSphere Application Server.
Opção 3: Não Ativar a Segurança
Se essa opção for escolhida, nenhuma segurança administrativa será configurada. Qualquer um com acesso à porta do console administrativo pode fazer alterações na configuração do servidor ou da célula.