多安全域支持

在 virtual member manager V8.0 中,可为多安全域环境中的每个安全域配置 virtual member manager 的单独实例。

在 WebSphere Application Server 中创建安全域时,可在域级别配置 virtual member manager 用户注册表。在 V8.0 之前的发行版中,仅可具有 virtual member manager 的一个实例,且仅可在全局(管理域)级别对其进行配置。有关更多信息,请阅读 WebSphere Application Server 信息中心中的多个安全域

要支持 virtual member manager 的多个实例,使用 WebSphere 安全域信息来装入适用配置和数据模型模式。新安全域设置了缺省 virtual member manager 配置。针对每个域独立存储和管理 virtual member manager 配置,且此配置不与管理域或全局域共享。仅特定域中分配了管理员角色的用户可在其各自的域级别配置 virtual member manager。

Virtual member manager 的多安全域支持包含下述方面。

模式扩展

可使用特定于域的模式扩展数据模型的全局定义的模式。因此,在多安全域环境中,每个域可具有不同的概要文件数据模型。由于初始化期间创建了 virtual member manager 的单独实例,且使用了特定于域的配置和模式文件路径,可在不同的安全域中管理概要文件数据,而不会造成冲突或运行时问题。

Avoid trouble: 设置为使用全局模式的应用程序域共享管理域的相同模式。 因此,如果在一个域中扩展应用程序的模式,必须考虑此操作可能会以何种方式影响其他域的应用程序,因为这些应用程序也由相同模式绑定。例如,添加一个应用程序的必需属性可能会造成其他应用程序失败。

有关更多信息,请参阅此主题中的多安全域环境中的模式装入过程和模式扩展setIdMgrUseGlobalSchemaForModel wsadmin 命令和IdMgrConfig command group for the AdminTask 对象。

如果应用程序以本地方式调用 virtual member manager API,必须在客户机 JVM 上设置以下系统属性:
org.eclipse.emf.ecore.EPackage.Registry.INSTANCE=com.ibm.ws.wim.util.VMMEMFGlobalDelegatorRegistry
有关更多信息,请参阅“编程先决条件”主题中的“获取虚拟成员服务和其他通用方法”部分。

有关 EMF 的故障诊断问题的信息,请参阅主题中的“启用 EMF 类的跟踪”,日志和跟踪,以及解决模式注册表损坏或模式违例错误

用户注册表

如果为每个安全域配置了文件存储库,那么会为每个安全域创建特定于域的文件注册表。

可在指定名称空间创建数据库、属性扩展和条目映射存储库,以在单一数据库实例中允许多个此类存储库。如果没有指定名称空间,那么会在缺省名称空间(通常为当前数据库用户的名称空间)中设置存储库。

Avoid trouble: 请勿在不同域之间对数据库、属性扩展或条目映射存储库使用相同名称空间,因为这可能会引起数据不一致。

有关更多信息,请参阅 Setting up an entry mapping repository, a property extension repository, or a custom registry database repository using wsadmin commandsIdMgrRepositoryConfig command group for the AdminTask objectManually setting up the property extension repository for federated repositories in the WebSphere Application Server information center

特定于域的配置和用户和组管理

Wsadmin 命令提供可选 securityDomainName 参数,在特定域中配置 virtual member manager 和管理用户和组时可使用此参数。如果未指定此参数,缺省情况下会使用管理域。

通过 EJB 部署 virtual member manager

在应用程序部署环境中,可为特定域通过 EJB 调用 virtual member manager API。Virtual member manager 提供基于 SDO 的 EJB API,可用于管理 virtual member manager 实体。这些 EJB 接口由无状态会话 EJB 实施,此 EJB 将调用指定给 virtual member manager 服务提供程序。

如果特定域需要远程访问,必须作为用户应用程序部署与每个 virtual member manager 特定于域的实例的不同部署描述符相同的 virtual member manager EJB 实施。遵循安装 virtual member manager主题中描述的步骤。

Limitation: 如果在受管节点上部署 virtual member manager EJB,它会造成配置、模式或文件注册表更新操作失败。

迁移和与先前版本兼容

不需要更新即可在多安全域环境中运行现有 virtual member manager 应用程序。

WebSphere Application Server 支持从 V6.1 和 V7.0 升级到 V8.0,virtual member manager 也支持此升级。升级过程中,保留现有配置和数据模型扩展。在多安全域环境中,支持针对 WebSphere Application Server 7.0 中创建的现有域,将 virtual member manager 配置为用户注册表。升级过程中,新建的和更新的模式和配置文件复制到其各自的位置。

多安全域环境中的 virtual member manager 配置文件

在 WebSphere Application Server 8.0 中创建安全域时,会为该域创建所有 virtual member manager 配置文件,而与 virtual member manager 是否配置为活动用户注册表无关。

WebSphere Application Server 提供选项,通过将所选域从域集合复制创建域。基于创建域时指定的选项,从所选域、管理安全域或缺省概要文件模板位置复制 virtual member manager 文件。如果文件存储库存在于源域中,那么此过程可能还包括复制文件存储库。有关更多信息,请参阅 WebSphere Application Server 信息中心中的 Creating new multiple security domainsConfiguring multiple security domainsConfiguring multiple security domains using scripting

特定于域的 virtual member manager 文件位于 app_server_root/profiles/$ProfileName/config/waspolicies/$PolicyName/securitydomains/$DomainName 目录下。

有关 virtual member manager 配置和数据模型模式的文件在下表中列出。

在表中使用以下目录约定:

表 1. Virtual member manager 配置文件
描述 级别 目录 文件名
Virtual member manager 配置模式文件 整个系统的一个全局副本 app_server_root/etc/wim/schema/config wimconfig.xsd
Virtual member manager 配置文件 全局级别 cell_vmm_root/config wimconfig.xml
域级别 domain_vmm_root/config
Argus 文件 全局级别 cell_vmm_root/config/authz  
域级别 domain_vmm_root/config/authz
包含盒外文件存储库的用户和组的文件注册表 全局级别 profile_root/config/cells/$CellName fileRegistry.xml
注: 仅当源域包含 fileRegistry.xml 文件时,才会为新域复制此文件。
  域级别 profile_root/config/waspolicies/$PolicyName/securitydomains/$DomainName
Virtual member manager 现成数据模型模式文件。 整个系统的一个全局副本 app_server_root/etc/wim/schema/model
注: 相同文件还会复制到 cell_vmm_root/model,因为迁移时需要这些文件。

wimdatagraph.xsd
wimdomain.xsd
wimschema.xsd
xml.xsd

Virtual member manager 数据模型扩展文件 全局级别 cell_vmm_root/model

wimxmlextension.xml
custom xsd

域级别 domain_vmm_root/model

wimxmlextension.xml
custom xsd

在多安全域中配置 virtual member manager

要在多安全域中配置 virtual member manager,请遵循下述步骤。

  1. 使用主题中所述步骤创建安全域 Creating new multiple security domainsCopying multiple security domains
  2. 使用 configureAdminWIMUserRegistryconfigureAppWIMUserRegistryunconfigureUserRegistry 命令将 virtual member manager 作为此域的用户注册表配置。配置时,还可指定此领域的新领域名。 此领域名在特定于域的 wimconfig.xml 中设置,且在 virtual member manager 实例中唯一。
    示例:
    $AdminTask configureAppWIMUserRegistry {–securityDomainName testDomain –realmName testRealm}
  3. 如果配置了文件存储库,且 fileRegistry.xml 文件不存在,请为用户创建 fileRegistry.xml 文件,并使用 securityDomainName 参数指定域名。 如果 fileRegistry.xml 文件不存在,此步骤仅将用户添加到注册表。
    $AdminTask addFileRegistryAccount {-userId user_name -password my_password –securityDomainName testDomain}
  4. 保存配置更改。
    $AdminConfig save


使用条款 | 反馈