Anfängliche Sicherheitskonfigurationen
Machen Sie sich mit den drei Ausgangspositionen für die Sicherheit und die Konfigurationsauswirkungen dieser Optionen vertraut.
Wenn Sie während der Installation die erste Zellenanpassung vornehmen, können Sie bei diesem Schritt die Verwaltungssicherheit aktivieren. Dieses Auswahlverfahren wird als "Sicherheit ohne Vorbereitungs- oder Anpassungsaufwand" bezeichnet. Sie schützen mit diesem Verfahren die Zelle vor unbefugter Modifikation, zu der es bei nicht aktivierter Sicherheit kommen kann.
Dieser Artikel beschreibt die drei Ausgangsoptionen für die Sicherheit und die Konfigurationsauswirkungen dieser Optionen.
Option 1: z/OS-Sicherheitsprodukt verwenden, um Benutzeridentitäten und die Berechtigungsrichtlinie zu verwalten
Die IDs der gestarteten Tasks von WebSphere Application Server for z/OS und (falls "Dämon-SSL" ausgewählt wurde) das digitale Zertifikat des Location Service Daemon werden immer vom Sicherheitsprodukt des z/OS-Systems gesteuert. Die Auswahl dieser Sicherheitsoption erfordert jedoch, dass alle WebSphere Application Server-Administratoren und -Verwaltungsgruppen auch für SAF definiert werden. Wenn später die Anwendungssicherheit aktiviert wird, enthält die SAF-Sicherheitsdatenbank auch diese Benutzer-IDs.
Diese Option ist geeignet, wenn sich die Server oder Zellen ausschließlich auf z/OS-Systemen befinden und SAF als Benutzerregistry verwendet wird. Kunden, die die Implementierung einer LDAP-Registry oder einer eigenen Benutzerregistry planen, aber dennoch WebSphere Application Server-IDs zu SAF-IDs zuordnen und EJBROLE-Profile für die Autorisierung verwenden möchten, sollten diese Option ebenfalls auswählen, damit die SAF-Ausgangskonfiguration für EJBROLE erstellt wird.
Es werden SAF-CBIND-Profile erstellt, und der Gruppe "Configurator" wird der Zugriff auf diese Profile gewährt.
Im SAF-Sicherheitssystem werden für jeden Servercontroller (Deployment-Manager-Controller oder Anwendungsservercontroller) digitale Zertifikate erstellt.
Im SAF-Sicherheitssystem werden digitale Schlüsselringe für den Administrator, den Controller, den Controller Region Adjunct und die Serverbenutzer-IDs erstellt. Diesen Schlüsselringen werden die entsprechenden Zertifikate zugeordnet.
Es kann ein SAF-Profilpräfix angegeben werden, wenn diese Option ausgewählt ist. Das SAF-Profilpräfix wird Teil der APPL-, CBIND- und EJBROLE-Profilnamen, die für die Berechtigungsprüfung verwendet werden.
Option 2: WebSphere Application Server verwenden, um Benutzeridentitäten und die Berechtigungsrichtlinie zu verwalten
Die IDs der gestarteten Tasks von WebSphere Application Server for z/OS und (falls "Dämon-SSL" ausgewählt wurde) das digitale Zertifikat des Location Service Daemon werden immer vom Sicherheitsprodukt des z/OS-Systems gesteuert. Die Auswahl dieser Sicherheitsoption erfordert jedoch, dass alle WebSphere Application Server-Benutzer und -Gruppen mit Administratorrechten in der WebSphere-Benutzerregistry (anstatt in SAF) definiert werden. Wenn später die Anwendungssicherheit aktiviert wird, enthält die WebSphere Application Server-Benutzerregistry auch diese Benutzer-IDs.
Diese Option ist geeignet, wenn sich die Server oder Zellen nicht ausschließlich auf z/OS-Systemen befinden. Sie ist auch für Kunden geeignet, die vorhaben, die erste Benutzerregistry durch eine LDAP-Registry oder eine eigene Benutzerregistry zu ersetzen. (Kunden, die die Implementierung einer LDAP-Registry oder einer eigenen Benutzerregistry und die ID-Zuordnung zu SAF planen, sollten während der Anpassung die z/OS-verwaltete Sicherheit auswählen; siehe oben.)
Wenn Sie diese Option während der Anpassung auswählen, wird im Konfigurationsdateisystem eine dateibasierte Benutzerregistry erstellt.
Die Administrator-ID wird zur dateibasierten Benutzerregistry hinzugefügt.
Die Administrator-ID wird zur Liste der autorisierten Konsolbenutzer hinzugefügt.
Im Konfigurationsdateisystem erstellt WebSphere Application Server automatisch selbst signierte digitale Zertifikate für Server.
Option 3: Sicherheit nicht aktivieren
Bei Auswahl dieser Option wird keine Verwaltungssicherheit konfiguriert. Jeder, der Zugriff auf den Port der Administrationskonsole hat, kann Änderungen an der Server- oder Zellenkonfiguration vornehmen.