Anfängliche Sicherheitskonfigurationen

Machen Sie sich mit den drei Ausgangspositionen für die Sicherheit und die Konfigurationsauswirkungen dieser Optionen vertraut.

Wenn Sie während der Installation die erste Zellenanpassung vornehmen, können Sie bei diesem Schritt die Verwaltungssicherheit aktivieren. Dieses Auswahlverfahren wird als "Sicherheit ohne Vorbereitungs- oder Anpassungsaufwand" bezeichnet. Sie schützen mit diesem Verfahren die Zelle vor unbefugter Modifikation, zu der es bei nicht aktivierter Sicherheit kommen kann.

Wenn eine neue eigenständige Anwendungsserverzelle oder Network-Deployment-Zelle erstellt wird, stehen in WebSphere Application Server for z/OS drei Ausgangsoptionen für die Sicherheit zur Auswahl:
  • z/OS-Sicherheitsprodukt verwenden, um Benutzeridentitäten und die Berechtigungsrichtlinie zu verwalten
  • WebSphere Application Server verwenden, um Benutzeridentitäten und die Berechtigungsrichtlinie zu verwalten
  • Sicherheit nicht aktivieren

Dieser Artikel beschreibt die drei Ausgangsoptionen für die Sicherheit und die Konfigurationsauswirkungen dieser Optionen.

Denken Sie daran, dass WebSphere Application Server for z/OS immer ein SAF-konformes Sicherheitssystem erfordert, um die Sicherheit des Betriebssystems zu gewährleisten. Unabhängig von der ausgewählten Sicherheitsoption gilt Folgendes:
  • Während der Anpassung werden immer SAF-Benutzer-IDs für gestartete Tasks von WebSphere Application Server erstellt.
  • Für die Konfiguration werden SAF-Gruppen und während der Anpassung werden Servant-Benutzergruppen und lokale Benutzergruppen erstellt, denen die erforderlichen Berechtigungen erteilt werden.
  • Der Servant-Zugriff auf Controller-Regionen wird mit SAF-SERVER-Profilen gesteuert.
  • Wenn Sie während der Anpassung "Dämon-SSL" auswählen, werden in SAF ein Schlüsselring und ein digitales Zertifikat für den Dämon erstellt.
Anmerkung: Jede der anfänglichen Sicherheitskonfigurationen ist eine Basiskonfiguration, so dass während der Anpassung nur wenige Optionen zur Auswahl stehen. Nach Abschluss der Konfiguration sind in der Regel weitere Schritte erforderlich, um die Sicherheitsrichtlinie der Zelle an die Erfordernisse des Unternehmens anzupassen. Weitere Informationen hierzu finden Sie im Abschnitt "Sicherheit" des InfoCenter.

Option 1: z/OS-Sicherheitsprodukt verwenden, um Benutzeridentitäten und die Berechtigungsrichtlinie zu verwalten

Die Auswahl dieser Option während der Anpassung wirkt sich wie folgt aus:
  1. Jede WebSphere Application Server-Benutzer-ID und -Gruppen-ID entspricht einer Benutzer- oder Gruppen-ID im SAF-konformen Sicherheitssystem des z/OS-Systems (RACF von IBM oder ein äquivalentes Produkt).
  2. Der Zugriff auf die Rollen von WebSphere Application Server wird mit dem SAF-Profil EJBROLE gesteuert.
  3. Im z/OS-Sicherheitsprodukt werden digitale Zertifikate für die SSL-Kommunikation gespeichert.

Die IDs der gestarteten Tasks von WebSphere Application Server for z/OS und (falls "Dämon-SSL" ausgewählt wurde) das digitale Zertifikat des Location Service Daemon werden immer vom Sicherheitsprodukt des z/OS-Systems gesteuert. Die Auswahl dieser Sicherheitsoption erfordert jedoch, dass alle WebSphere Application Server-Administratoren und -Verwaltungsgruppen auch für SAF definiert werden. Wenn später die Anwendungssicherheit aktiviert wird, enthält die SAF-Sicherheitsdatenbank auch diese Benutzer-IDs.

Diese Option ist geeignet, wenn sich die Server oder Zellen ausschließlich auf z/OS-Systemen befinden und SAF als Benutzerregistry verwendet wird. Kunden, die die Implementierung einer LDAP-Registry oder einer eigenen Benutzerregistry planen, aber dennoch WebSphere Application Server-IDs zu SAF-IDs zuordnen und EJBROLE-Profile für die Autorisierung verwenden möchten, sollten diese Option ebenfalls auswählen, damit die SAF-Ausgangskonfiguration für EJBROLE erstellt wird.

Wenn Sie diese Option während der Anpassung auswählen, werden die folgenden SAF-Benutzer-IDs erstellt:
  • eine Administrator-ID
  • eine nicht berechtigte-Benutzer-ID für alle nicht authentifizierten WebSphere Application Server-Identitäten
Für Verwaltungsrollen (Administrator, Configurator, Deployer, Monitor und Operator) werden SAF-EJBROLE-Profile erstellt, und der Administrator-ID wird die Rolle "Administrator" zugeordnet.

Es werden SAF-CBIND-Profile erstellt, und der Gruppe "Configurator" wird der Zugriff auf diese Profile gewährt.

Im SAF-Sicherheitssystem werden für jeden Servercontroller (Deployment-Manager-Controller oder Anwendungsservercontroller) digitale Zertifikate erstellt.

Im SAF-Sicherheitssystem werden digitale Schlüsselringe für den Administrator, den Controller, den Controller Region Adjunct und die Serverbenutzer-IDs erstellt. Diesen Schlüsselringen werden die entsprechenden Zertifikate zugeordnet.

Es kann ein SAF-Profilpräfix angegeben werden, wenn diese Option ausgewählt ist. Das SAF-Profilpräfix wird Teil der APPL-, CBIND- und EJBROLE-Profilnamen, die für die Berechtigungsprüfung verwendet werden.

Option 2: WebSphere Application Server verwenden, um Benutzeridentitäten und die Berechtigungsrichtlinie zu verwalten

Die Auswahl dieser Option während der Anpassung wirkt sich wie folgt aus:
  1. Jede WebSphere Application Server-Benutzer-ID und -Gruppen-ID entspricht einem Eintrag in einer WebSphere Application Server-Benutzerregistry. Die erste Benutzerregistry ist eine einfache dateibasierte Benutzerregistry, die während der Anpassung erstellt wird und sich im Konfigurationsdateisystem befindet.
  2. Der Zugriff auf die Rollen von WebSphere Application Server wird durch die Bindungen für die WebSphere Application Server-Rollen gesteuert. Die Verwaltungsrollen im Speziellen werden in der Administrationskonsole von der Einstellung "Konsolbenutzer und -gruppen" gesteuert.
  3. Im Konfigurationsdateisystem werden digitale Zertifikate für die SSL-Kommunikation gespeichert.

Die IDs der gestarteten Tasks von WebSphere Application Server for z/OS und (falls "Dämon-SSL" ausgewählt wurde) das digitale Zertifikat des Location Service Daemon werden immer vom Sicherheitsprodukt des z/OS-Systems gesteuert. Die Auswahl dieser Sicherheitsoption erfordert jedoch, dass alle WebSphere Application Server-Benutzer und -Gruppen mit Administratorrechten in der WebSphere-Benutzerregistry (anstatt in SAF) definiert werden. Wenn später die Anwendungssicherheit aktiviert wird, enthält die WebSphere Application Server-Benutzerregistry auch diese Benutzer-IDs.

Diese Option ist geeignet, wenn sich die Server oder Zellen nicht ausschließlich auf z/OS-Systemen befinden. Sie ist auch für Kunden geeignet, die vorhaben, die erste Benutzerregistry durch eine LDAP-Registry oder eine eigene Benutzerregistry zu ersetzen. (Kunden, die die Implementierung einer LDAP-Registry oder einer eigenen Benutzerregistry und die ID-Zuordnung zu SAF planen, sollten während der Anpassung die z/OS-verwaltete Sicherheit auswählen; siehe oben.)

Wenn Sie diese Option während der Anpassung auswählen, wird im Konfigurationsdateisystem eine dateibasierte Benutzerregistry erstellt.

Die Administrator-ID wird zur dateibasierten Benutzerregistry hinzugefügt.

Die Administrator-ID wird zur Liste der autorisierten Konsolbenutzer hinzugefügt.

Im Konfigurationsdateisystem erstellt WebSphere Application Server automatisch selbst signierte digitale Zertifikate für Server.

Option 3: Sicherheit nicht aktivieren

Bei Auswahl dieser Option wird keine Verwaltungssicherheit konfiguriert. Jeder, der Zugriff auf den Port der Administrationskonsole hat, kann Änderungen an der Server- oder Zellenkonfiguration vornehmen.

Empfohlene Sicherheitskonfiguration nach der Anpassung

Die Ausgangsoptionen für die Sicherheitskonfiguration in WebSphere Application Server sind reine Basisoptionen für eine anfängliche Verwaltungssicherheit. Wenn Ihr Server oder Ihre Zelle betriebsbereit ist, sollten Sie die folgenden Schritte in Erwägung ziehen:
  • Wechseln Sie die Benutzerregistry. An Stelle der SAF-Sicherheitsdatenbank oder der dateibasierten Registry können Sie eine LDAP-Registry oder eine eigene Benutzerregistry verwenden.
  • Definieren Sie weitere Administratoren, oder verteilen Sie die Verwaltungsrollen.
  • Implementieren Sie die Anwendungssicherheit.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
Dateiname:rins_initsec.html