初始安全性配置

熟悉三个初始安全性选项以及每个选项的配置效果。

现在,在安装期间,可以选择在初始定制单元期间启用管理安全性,此过程称为“安全性无缝集成”。这可以保护单元以避免未授权的修改,如果未启用安全性,那么可能会发生该情况。

创建新的独立应用程序服务器或 Network Deployment 单元之后,在 WebSphere® Application Server for z/OS® 中提供了三个初始安全性选项:
  • 使用 z/OS 安全性产品来管理用户标识和授权策略
  • 使用 WebSphere Application Server 来管理用户标识和授权策略
  • 不启用安全性

本文描述这三个初始安全性选项以及每个选项的配置效果。

请记住,WebSphere Application Server for z/OS 始终需要存在符合 SAF 的安全性系统,以提供操作系统安全性。无论选择哪个安全性选项:
  • 在定制期间,始终会创建 WebSphere Application Server 启动式任务的 SAF 用户标识。
  • 为配置和服务方创建了 SAF 组,在定制期间创建了本地用户组,并且授予了必需的权限。
  • SAF SERVER 概要文件用来控制服务方对控制器区域的访问。
  • 如果在定制期间选择了守护程序 SSL,那么在 SAF 中创建了守护程序的密钥环和数字证书。
注: 每个初始安全性配置都是基本配置,在定制期间需要作出一些选择;完成配置之后,通常还需要使单元安全策略满足企业需要。有关更多信息,请参阅信息中心的“安全性”部分。

选项 1:使用 z/OS 安全性产品来管理用户标识和授权策略

如果在定制期间选择了此选项,那么:
  1. 每个 WebSphere Application Server 用户和组标识对应于 z/OS 系统的符合 SAF 的安全性系统(IBM 的 RACF® 或等价产品)中的用户标识或组。
  2. 使用 SAF EJBROLE 概要文件来控制对 WebSphere Application Server 角色的访问。
  3. 用于 SSL 通信的数字证书存储在 z/OS 安全性产品中。

z/OS 系统的安全性产品始终用来控制 WebSphere Application Server for z/OS 启动式任务标识以及位置服务守护程序的数字证书(如果选择了守护程序 SSL)。但是,当选择了此安全性选项时,还必须将所有 WebSphere Application Server 管理员和管理组定义为 SAF。然后,如果启用了应用程序安全性,那么 SAF 安全性数据库还会保存这些用户标识。

当服务器或单元都将位于 z/OS 系统上,并且将 SAF 作为用户注册表时,此选项适用。对于打算实现 LDAP或定制用户注册表,但是将 WebSphere Application Server 标识映射至 SAF 标识并且将 EJBROLE 概要文件用于授权的客户,也应该选择此选项,以便执行初始 SAF EJBROLE 设置。

如果在定制期间选择了此选项,那么会创建下列 SAF 用户标识:
  • 管理员用户标识
  • 未授权用户标识,表示尚未认证的 WebSphere Application Server 身份
为管理角色(管理员、配置员、部署者、监视员和操作员)创建了 SAF EJBROLE 概要文件,并且为管理员用户标识授予了管理员角色。

创建了 SAF CBIND 概要文件,并授予给配置组。

在 SAF 安全性系统中为每个服务器控制器(Deployment Manager 或应用程序服务器控制器)创建了数字证书。

在 SAF 安全性系统中为管理员、控制器、控制器区域附件和服务器用户标识创建了数字密钥环,并且有适当的证书与这些密钥环相关。

选择此选项时可能指定了 SAF 概要文件前缀;SAF 概要文件前缀成为 APPL、CBIND 和 EJBROLE 概要文件名称的一部分用于授权检查。

选项 2:使用 WebSphere Application Server 来管理用户标识和授权策略

如果在定制期间选择了此选项,那么:
  1. 每个 WebSphere Application Server 用户和组标识对应于 WebSphere Application Server 用户注册表中的一个条目。初始用户注册表只是一个在定制期间创建的基于文件的用户注册表,它位于配置文件系统中。
  2. 使用 WebSphere Application Server 角色绑定来控制对 WebSphere Application Server 角色的访问。特别是,使用管理控制台中的控制台用户和组设置来控制管理角色。
  3. SSL 通信的数字证书存储在配置文件系统中。

z/OS 系统的安全性产品始终用来控制 WebSphere Application Server for z/OS 启动式任务标识以及位置服务守护程序的数字证书(如果选择了守护程序 SSL)。但是,当选择了此安全性选项时,用于管理访问的所有 WebSphere Application Server 用户和组都是在 WebSphere 用户注册表中定义的,而不是在 SAF 中定义的。然后,如果启用了应用程序安全性,那么 WebSphere Application Server 用户注册表还会保存这些用户标识。

当服务器或单元将位于 z/OS 系统和非 z/OS 系统上时,此选项适用;而对于打算实现 LDAP 或定制用户注册表以替换初始注册表的客户来说也适用。(对于打算实现 LDAP 或定制用户注册表并将标识映射至 SAF 的客户来说,应在定制期间选择受 z/OS 管理的安全性,如上所述。)

如果在定制期间选择了此选项,那么会在配置文件系统中创建基于文件的用户注册表。

管理员用户标识将添加到基于文件的用户注册表中。

管理员用户标识被添加至已授权控制台用户列表中。

服务器的自签名数字证书由 WebSphere Application Server 在配置文件系统中自动创建。

选项 3:不启用安全性

如果选择了此选项,那么不会配置管理安全性。对管理控制台端口具有访问权的任何人员都可以更改服务器或单元配置。

建议使用定制后安全性设置。

WebSphere Application Server 中的初始安全性设置选项是非常基本的选项,并且仅用于提供初始管理安全性。在服务器或单元已启动并且运行之后,您可能想要:
  • 切换到另一个用户注册表。可以使用 LDAP 或定制用户注册表,而不使用 SAF 安全性数据库或基于文件的注册表。
  • 定义更多管理员,或者分配管理角色
  • 实现应用程序安全性

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
文件名:rins_initsec.html