Configurações Iniciais de Segurança

Familiarize-se com as três opções de segurança iniciais e os efeitos da configuração de cada uma.

Na instalação agora você tem a opção de ativar a segurança administrativa durante a customização de célula inicial, esse procedimento é referido como "segurança out-of-the-box". Ele protege a célula de modificação não-autorizada, que poderá ocorrer se a segurança não estiver ativada.

Quando é criada uma nova célula independente do servidor de aplicativos ou do Network Deployment, há três opções de segurança iniciais no WebSphere Application Server for z/OS:
  • Usar um produto de segurança do z/OS para gerenciar identidades e a política de autorização do usuário
  • Usar o WebSphere Application Server para gerenciar identidades e a política de autorização do usuário
  • Não ativar a segurança

Este artigo descreve as três opções de segurança iniciais e os efeitos da configuração em cada uma delas.

Lembre-se de que o WebSphere Application Server for z/OS sempre requer a presença de um sistema de segurança compatível com SAF para fornecer segurança de sistema operacional. Independente de qual opção de segurança for escolhida:
  • Os IDs de usuários do SAF para tarefas iniciadas pelo WebSphere Application Server são sempre criados durante a customização.
  • Os grupos do SAF são criados para a configuração, e o servant e os grupos de usuários locais são criados durante a customização e recebem as permissões necessárias.
  • Os perfis SERVER do SAF são utilizados para controlar o acesso do servant às regiões do controlador.
  • Se o SSL do daemon for selecionado durante a customização, um conjunto de chaves e um certificado digital para o daemon serão criados no SAF.
Nota: Cada configuração de segurança inicial é básica, requerendo poucas opções durante a customização; depois da configuração estar completa, normalmente é requerido trabalho adicional para corresponder as políticas de segurança às necessidades da empresa. Consulte a seção Segurança do InfoCenter para obter mais informações.

Opção 1: Usar um Produto de Segurança do z/OS para Gerenciar Identidades e a Política de Autorização do Usuário

Se essa opção for escolhida durante a customização:
  1. Cada identidade de usuário e grupo do WebSphere Application Server corresponde a um ID de usuário ou grupo no sistema de segurança compatível com SAF do sistema z/OS (RACF da IBM ou um produto equivalente).
  2. O acesso às funções do WebSphere Application Server é controlado usando o perfil EJBROLE do SAF.
  3. Os certificados digitais para comunicação SSL são armazenados no produto de segurança do z/OS.

O produto de segurança do sistema z/OS é sempre usado para controlar identidades de tarefas iniciadas pelo WebSphere Application Server for z/OS e o certificado digital do daemon de serviço de localização (se o SSL do daemon for selecionado). No entanto, quando essa opção de segurança é selecionada, todos os administradores e grupos administrativos do WebSphere Application Server devem ser definidos também para o SAF. Posteriormente,se a segurança do aplicativo estiver ativada, o banco de dados de segurança do SAF também manterá essas identidades de usuário.

Essa opção é adequada quando servidores ou células residirão totalmente nos sistemas z/OS, com o SAF como o registro do usuário. Os clientes que planejam implementar um registro de usuário customizado ou LDAP, mas que mapearão identidades do WebSphere Application Server para identidades do SAF e usarão perfis EJBROLE para autorização, também deverão escolher essa opção para que a configuração inicial EJBROLE do SAF seja executada.

Quando essa opção é escolhida durante a customização, os seguintes IDs do usuário do SAF são criados:
  • Um ID de usuário de administrador
  • Um ID de usuário não autorizado, para representar identidades do WebSphere Application Server que não foram autenticadas
Perfis EJBROLE do SAF para funções administrativas (administrador, configuração, implementador, monitor e operador) são criados e o ID de usuário de administrador recebe a função de administrador.

Os perfis CBIND do SAF são criados e recebem o grupo de configuração.

Os certificados digitais são criados no sistema de segurança do SAF para cada controlador do servidor (gerenciador de implementação ou controlador do servidor de aplicativos).

Conjuntos de chaves digitais são criados no sistema de segurança do SAF para IDs de usuários do servidor, adjunto da região do controlador, controlador e administrador e os certificados adequados são anexados a esses conjuntos de chaves.

Um prefixo de perfil do SAF pode ser especificado quando essa opção é escolhida; o prefixo de perfil do SAF se torna parte dos nomes de perfis APPL, CBIND e EJBROLE usados para a verificação de segurança.

Opção 2: Usar o WebSphere Application Server para Gerenciar Identidades e a Política de Autorização do Usuário

Se essa opção for escolhida durante a customização:
  1. Cada identidade de usuário e grupo do WebSphere Application Server corresponde a uma entrada em um registro de usuário do WebSphere Application Server. O registro do usuário inicial é simplesmente um registro do usuário baseado em arquivo, criado durante a customização e que reside no sistema de arquivos de configuração.
  2. O acesso às funções do WebSphere Application Server é controlado usando as ligações de função do WebSphere Application Server. Em particular, as funções administrativas são controladas usando as configurações de usuários e grupos do console no console administrativo.
  3. Os certificados digitais para comunicação SSL são armazenados no sistema de arquivos de configuração.

O produto de segurança do sistema z/OS é sempre usado para controlar identidades de tarefas iniciadas pelo WebSphere Application Server for z/OS e o certificado digital do daemon de serviço de localização (se o SSL do daemon for selecionado). No entanto, quando essa opção de segurança é selecionada, todos os usuários e grupos do WebSphere Application Server para acesso administrativo são definidos no registro de usuário do WebSphere, e não no SAF. Posteriormente, se a segurança do aplicativo for ativada, o registro de usuário do WebSphere Application Server também manterá essas identidades de usuário.

Essa opção é adequada quando servidores ou células residirão em sistemas z/OS e não-z/OS, bem como para clientes que planejam implementar um registro de usuário customizado ou LDAP para substituir o registro inicial. (Os clientes que planejam implementar um registro LDAP ou do usuário customizado com mapeamento de identidade para SAF devem selecionar segurança gerenciada pelo z/OS durante a customização; consulte acima.)

Quando essa opção é escolhida durante a customização, um registro do usuário baseado em arquivo é criado no sistema de arquivos de configuração.

Um ID de usuário de administrador é incluído no registro do usuário com base no arquivo.

O ID de usuário de administrador é incluído na lista de usuários de console autorizados.

Certificados digitais autoassinados para servidores são criados automaticamente no sistema de arquivos de configuração pelo WebSphere Application Server.

Opção 3: Não Ativar a Segurança

Se essa opção for escolhida, nenhuma segurança administrativa será configurada. Qualquer um com acesso à porta do console administrativo pode fazer alterações na configuração do servidor ou da célula.

Uma configuração de segurança pós-customização é recomendada.

As opções de configuração de segurança iniciais no WebSphere Application Server são muito básicas e destinam-se apenas para fornecer segurança administrativa inicial. Depois do servidor ou da célula estar ativa e em execução, você poderá desejar:
  • Mudar para outro registro do usuário. Você pode utilizar o registro LDAP ou de um usuário customizado em vez do banco de dados de segurança do SAF ou do registro baseado em arquivo.
  • Definir administradores adicionais ou distribuir funções administrativas
  • Implementar segurança de aplicativo

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
Nome do arquivo: rins_initsec.html