Suporte a Diversos Domínios de Segurança

No gerenciador de membro virtual versão 8.0, é possível configurar uma instância separada do gerenciador de membro virtual para cada domínio de segurança em um ambiente com vários domínios de segurança.

Ao criar um domínio de segurança no WebSphere Application Server, é possível configurar o registro do usuário do gerenciador de membro virtual no nível de domínio. Nas liberações anteriores à versão 8.0, é possível ter apenas uma instância do gerenciador de membro virtual e configurá-la apenas no nível global (domínio admin). Para obter mais informações, leia sobre Diversos domínios de segurança no centro de informações do WebSphere Application Server.

Para suportar diversas instâncias do gerenciador de membro virtual, as informações de domínio de segurança WebSphere são usadas para carregar a configuração aplicável e o esquema de modelo de dados. O novo domínio de segurança é configurado com a configuração do gerenciador de membro virtual padrão. A configuração do gerenciador de membro virtual é armazenada e gerenciada independentemente para cada domínio e não é compartilhada com o domínio admin ou global. Somente os usuários designados à função de administrador em um domínio específico podem configurar o gerenciador de membro virtual nesse respectivo nível de domínio.

O suporte a diversos domínios de segurança para o gerenciador de membro virtual inclui os aspectos descritos a seguir.

Extensão de esquema

É possível estender o esquema definido globalmente do modelo de dados com esquema de domínio específico. Assim, em um ambiente com diversos domínios de segurança, é possível ter um modelo de dados de perfil diferente para cada domínio. É possível gerenciar dados de perfis sem conflito ou problemas de tempo de execução em diferentes domínios de segurança, já que instâncias separadas do gerenciador de membro virtual são criadas e configuração de domínio específico e caminhos de arquivo de esquema são usados durante a inicialização.

Evite problema: Os domínios de aplicativo configurados para usar esquema global compartilham o mesmo esquema do domínio admin. Dessa forma, se você estender o esquema para um aplicativo em um domínio, deverá considerar como isso poderá afetar aplicativos de outros domínios também ligados pelo mesmo esquema. Por exemplo, a inclusão de uma propriedade obrigatória para um aplicativo pode fazer com que outros aplicativos falhem.

Para obter mais informações, leia sobre Processo de Carregamento de Esquema e Extensão de Esquema em um Ambiente com Diversos Domínios de Segurança e o comando wsadmin setIdMgrUseGlobalSchemaForModel no tópico, Grupo de comandos IdMgrConfig para o objeto AdminTask.

Se o aplicativo chamar APIs do gerenciador de membro virtual no modo local, configure a seguinte propriedade de sistema na JVM cliente:
org.eclipse.emf.ecore.EPackage.Registry.INSTANCE=com.ibm.ws.wim.util.VMMEMFGlobalDelegatorRegistry
Para obter mais informações, leia a seção Obtendo o Serviço de Membro Virtual e Outros Métodos Comuns, no tópico Pré-requisitos de Programação.

Para obter informações sobre como resolver problemas relacionados ao EMF, leia sobre a ativação de rastreio para classes EMF, no tópico Logs e rastreio e resolvendo Dano ao Registro de Esquema ou Erros de Violação de Esquema.

Registros do Usuário

Um registro de arquivo de domínio específico é criado para cada domínio de segurança, se o repositório de arquivo estiver configurado para esse domínio.

É possível criar os repositórios de banco de dados, extensão de propriedade e mapeamento de entrada em um espaço de nome especificado para permitir diversos desses repositórios em uma única instância de banco de dados. Se nenhum namespace for especificado, o repositório será configurado no namespace padrão, que normalmente é aquele do usuário do banco de dados atual.

Evite problema: Não use o mesmo espaço de nome para repositórios de banco de dados, extensão de propriedade ou mapeamento de entrada entre os diferentes domínios, pois pode resultar em dados inconsistentes.

Para obter mais informações, leia sobre Configurando um repositório de mapeamento de entrada, um de extensão de propriedade ou um de banco de dados de registro customizado, usando comandos wsadmin, Grupo de comandos IdMgrRepositoryConfig para o objeto AdminTask e Configurando manualmente o repositório de extensão de propriedade para repositórios associados no centro de informações do WebSphere Application Server.

Configuração de domínio específico e gerenciamento de usuários e grupos

Os comandos wsadmin fornecem um parâmetro securityDomainName opcional que você pode usar ao configurar o gerenciador de membro virtual e gerenciar usuários e grupos em um domínio específico. Se esse parâmetro não for especificado, o domínio admin será usado por padrão.

Implementação do gerenciador de membro virtual por meio do EJB

Em um ambiente de desenvolvimento de aplicativo, é possível chamar as APIs do gerenciador de membro virtual por meio do EJB para um domínio específico. O gerenciador de membro virtual fornece APIs EJB baseadas no SDO que você pode usar para gerenciar as entidades do gerenciador de membro virtual. Essas interfaces EJB são implementadas por um EJB de sessão stateless que delega as chamadas ao provedor de serviços do gerenciador de membro virtual.

Se for necessário acesso remoto para domínios específicos, você deverá executar a mesma implementação EJB do gerenciador de membro virtual, com descritores de implementação diferentes para cada instância de domínio específico do gerenciador de membro virtual, como um aplicativo de usuário. Siga as etapas descritas no tópico Instalando o Gerenciador de Membro Virtual.

Limitação: Se um EJB do gerenciador de membro virtual for implementado em um nó gerenciado, resultará em falha de configuração, esquema ou operações de atualização de registro de arquivo.

Migração e compatibilidade com versões anteriores

Nenhuma atualização é necessária para executar os aplicativos existentes do gerenciador de membro virtual em um ambiente com diversos domínios de segurança.

O WebSphere Application Server suporta atualização das versões 6.1 e 7.0 para a versão 8.0, enquanto o gerenciador de membro virtual suporta as mesmas. Durante a atualização, a extensão de modelo de dados e configuração existente é preservada. Em um ambiente com diversos domínios de segurança, a configuração é suportada para o gerenciador de membro virtual como o registro do usuário para os domínios existentes que foram criados no WebSphere Application Server versão 7.0. Durante a atualização, os arquivos de configuração e esquema novos e atualizados são copiados nos seus respectivos locais.

Arquivos de configuração do gerenciador de membro virtual em um ambiente com vários domínios de segurança

Quando você cria um domínio de segurança no WebSphere Application Server 8.0, todos os arquivos de configuração do gerenciador de membro virtual são criados para esse domínio, independentemente de o gerenciador de membro virtual estar configurado como o registro do usuário ativo.

O WebSphere Application Server fornece uma opção para criar um domínio copiando um domínio selecionado de uma coleção de domínios. Com base nas opções que você especifica ao criar um domínio, os arquivos do gerenciador de membro virtual são copiados do domínio selecionado, do domínio de segurança admin, ou do local do modelo de perfil padrão. Isso pode incluir também a cópia do repositório de arquivo, se ele existir no domínio de origem. Para obter mais informações, leia sobre Criando diversos domínios de segurança novos, Configurando diversos domínios de segurança e Configurando diversos domínios de segurança usando script no centro de informações do WebSphere Application Server.

Os arquivos do gerenciador de membro virtual de domínio específico estão localizados no diretório app_server_root/profiles/$ProfileName/config/waspolicies/$PolicyName/securitydomains/$DomainName.

Os arquivos relacionados à configuração do gerenciador de membro virtual e ao esquema de modelo de dados são listados na tabela a seguir.

As seguintes convenções de diretório são usadas na tabela:

Tabela 1. Arquivos de Configuração do Gerenciador de Membro Virtual
Descrição Nível Diretório Nome do arquivo
Arquivo de esquema de configuração do gerenciador de membro virtual Uma cópia global para o sistema todo app_server_root/etc/wim/schema/config wimconfig.xsd
Arquivo de configuração do gerenciador de membro virtual Nível global cell_vmm_root/config wimconfig.xml
Nível de domínio domain_vmm_root/config
Arquivos argus Nível global cell_vmm_root/config/authz  
Nível de domínio domain_vmm_root/config/authz
Registro de arquivo que contém usuários e grupos para o repositório de arquivo pronto para uso Nível global profile_root/config/cells/$CellName fileRegistry.xml
Nota: O arquivo fileRegistry.xml só será copiado para um novo domínio se o domínio de origem contiver esse arquivo.
  Nível de domínio profile_root/config/waspolicies/$PolicyName/securitydomains/$DomainName
Arquivos de esquema de modelo de dados prontos para uso do gerenciador de membro virtual. Uma cópia global para o sistema todo app_server_root/etc/wim/schema/model
Nota: Os mesmos arquivos também são copiados para cell_vmm_root/model conforme são exigidos para propósitos de migração.

wimdatagraph.xsd
wimdomain.xsd
wimschema.xsd
xml.xsd

Arquivos de extensão de modelo de dados do gerenciador de membro virtual Nível global cell_vmm_root/model

wimxmlextension.xml
custom xsd

Nível de domínio domain_vmm_root/model

wimxmlextension.xml
custom xsd

Configurando o gerenciador de membro virtual em diversos domínios de segurança

Para configurar o gerenciador de membro virtual em diversos domínios de segurança, siga as etapas descritas a seguir.

  1. Crie um domínio de segurança usando as etapas descritas no tópico Criando diversos domínios de segurança novos ou Copiando diversos domínios de segurança.
  2. Use os comandos configureAdminWIMUserRegistry, configureAppWIMUserRegistry ou unconfigureUserRegistry para configurar o gerenciador de membro virtual como o registro do usuário para o domínio. Durante a configuração, você também pode especificar um novo nome de região para o domínio. Esse nome de região é configurado no arquivo wimconfig.xml de domínio específico e é exclusivo em toda uma instância do gerenciador de membro virtual.
    Exemplo:
    $AdminTask configureAppWIMUserRegistry {–securityDomainName testDomain –realmName testRealm}
  3. Se o repositório de arquivo estiver configurado e o arquivo fileRegistry.xml não existir, crie o arquivo fileRegistry.xml, com um usuário e especifique o nome de domínio usando o parâmetro securityDomainName. Se o arquivo fileRegistry.xml existir, esta etapa apenas inclui o usuário no registro.
    $AdminTask addFileRegistryAccount {-userId user_name -password my_password –securityDomainName testDomain}
  4. Salve as mudanças na configuração.
    $AdminConfig save


Termos de uso | Feedback