初始安全性配置
熟悉三个初始安全性选项以及每个选项的配置效果。
现在,在安装期间,可以选择在初始定制单元期间启用管理安全性,此过程称为“安全性无缝集成”。这可以保护单元以避免未授权的修改,如果未启用安全性,那么可能会发生该情况。
本文描述这三个初始安全性选项以及每个选项的配置效果。
选项 1:使用 z/OS 安全性产品来管理用户标识和授权策略
z/OS 系统的安全性产品始终用来控制 WebSphere Application Server for z/OS 启动式任务标识以及位置服务守护程序的数字证书(如果选择了守护程序 SSL)。但是,当选择了此安全性选项时,还必须将所有 WebSphere Application Server 管理员和管理组定义为 SAF。然后,如果启用了应用程序安全性,那么 SAF 安全性数据库还会保存这些用户标识。
当服务器或单元都将位于 z/OS 系统上,并且将 SAF 作为用户注册表时,此选项适用。对于打算实现 LDAP或定制用户注册表,但是将 WebSphere Application Server 标识映射至 SAF 标识并且将 EJBROLE 概要文件用于授权的客户,也应该选择此选项,以便执行初始 SAF EJBROLE 设置。
创建了 SAF CBIND 概要文件,并授予给配置组。
在 SAF 安全性系统中为每个服务器控制器(Deployment Manager 或应用程序服务器控制器)创建了数字证书。
在 SAF 安全性系统中为管理员、控制器、控制器区域附件和服务器用户标识创建了数字密钥环,并且有适当的证书与这些密钥环相关。
选择此选项时可能指定了 SAF 概要文件前缀;SAF 概要文件前缀成为 APPL、CBIND 和 EJBROLE 概要文件名称的一部分用于授权检查。
选项 2:使用 WebSphere Application Server 来管理用户标识和授权策略
z/OS 系统的安全性产品始终用来控制 WebSphere Application Server for z/OS 启动式任务标识以及位置服务守护程序的数字证书(如果选择了守护程序 SSL)。但是,当选择了此安全性选项时,用于管理访问的所有 WebSphere Application Server 用户和组都是在 WebSphere 用户注册表中定义的,而不是在 SAF 中定义的。然后,如果启用了应用程序安全性,那么 WebSphere Application Server 用户注册表还会保存这些用户标识。
当服务器或单元将位于 z/OS 系统和非 z/OS 系统上时,此选项适用;而对于打算实现 LDAP 或定制用户注册表以替换初始注册表的客户来说也适用。(对于打算实现 LDAP 或定制用户注册表并将标识映射至 SAF 的客户来说,应在定制期间选择受 z/OS 管理的安全性,如上所述。)
如果在定制期间选择了此选项,那么会在配置文件系统中创建基于文件的用户注册表。
管理员用户标识将添加到基于文件的用户注册表中。
管理员用户标识被添加至已授权控制台用户列表中。
服务器的自签名数字证书由 WebSphere Application Server 在配置文件系统中自动创建。
选项 3:不启用安全性
如果选择了此选项,那么不会配置管理安全性。对管理控制台端口具有访问权的任何人员都可以更改服务器或单元配置。