< Zurück | Weiter >

Lerneinheit 2.2: Sicherheit des Katalogservers konfigurieren

Ein Katalogserver enthält zwei verschiedene Stufen von Sicherheitsinformationen: Die erste Stufe enthält die Sicherheitseigenschaften, für alle Server von WebSphere eXtreme Scale, einschließlich des Katalogservice und der Container-Server, gelten. Die zweite Stufe enthält die Sicherheitseigenschaften, die speziell für den Katalogserver gelten.

Die Sicherheitseigenschaften, die für die Katalogserver und Container-Server gelten, werden in der XML-Sicherheitsdeskriptordatei konfiguriert. Ein Beispiel für allgemeine Eigenschaften ist die Authentifikatorkonfiguration, die die Benutzerregistry und den Authentifizierungsmechanismus darstellt. Weitere Informationen zu den Sicherheitseigenschaften finden Sie unter XML-Sicherheitsdeskriptordatei.

Zum Konfigurieren der XML-Sicherheitsdeskriptordatei in einer Java-SE-Umgebung verwenden Sie die Option -clusterSecurityFile, wenn Sie den Befehl startOgServer ausführen. Geben Sie einen Wert in einem Dateiformat an, z. B. Ausgangsverzeichnis_für_Beispiele/security_extauth/security3.xml.

Datei security3.xml

In diesem Lernprogramm befindet sich die Datei security3.xml im Verzeichnis Ausgangsverzeichnis_für_Beispiele/security_extauth. Im Folgenden sehen Sie den Inhalt der Datei security3.xml, im dem die Kommentare entfernt wurden:
<securityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://ibm.com/ws/objectgrid/config/security ../objectGridSecurity.xsd"
	xmlns="http://ibm.com/ws/objectgrid/config/security">

	<security securityEnabled="true">
<authenticator className ="com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginAuthenticator">
		</authenticator>
	</security>
</securityConfig>
Die folgenden Eigenschaften sind in der Datei security3.xml definiert:
securityEnabled
Die Eigenschaft "securityEnabled" ist auf true gesetzt. Dies zeigt dem Katalogserver an, dass die globale Sicherheit von WebSphere eXtreme Scale aktiviert ist.
authenticator
Der Authentifikator ist als Klasse com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginAuthenticator konfiguriert. Bei dieser integrierten Implementierung des Authenticator-Plug-ins werden die Benutzer-ID und das Kennwort übergeben, um sicherzustellen, dass sie in der Keystore-Datei konfiguriert sind. Die Klasse KeyStoreLoginAuthenticator verwendet einen Alias für das KeyStoreLogin-Anmeldemodul. Deshalb ist eine JAAS-Anmeldekonfiguration (Java Authentication and Authorization Service) erforderlich.

Datei catServer3.props

In der Servereigenschaftendatei werden die serverspezifischen Eigenschaften gespeichert, zu denen auch die serverspezifischen Sicherheitseigenschaften gehören. Weitere Informationen finden Sie unter Servereigenschaftendatei. Sie können die Option -serverProps verwenden, um die Katalogservereigenschaft bei der Ausführung des Befehls startOgServer anzugeben. Für dieses Lernprogramm befindet sich eine Datei catServer3.props im Verzeichnis c. Im Folgenden sehen Sie den Inhalt der Datei catServer3.props, in dem die Kommentare entfernt wurden:
securityEnabled=true
credentialAuthentication=Required
transportType=TCP/IP
secureTokenManagerType=none
authenticationSecret=ObjectGridDefaultSecret
securityEnabled
Die Eigenschaft "securityEnabled" ist auf true gesetzt. Damit wird angezeigt, dass dieser Katalogserver ein sicherer Server ist.
credentialAuthentication
Die Eigenschaft "credentialAuthentication" wird auf Required gesetzt, so dass jeder Client, der eine Verbindung zum Server herstellt, einen Berechtigungsnachweis bereitstellen muss. In der Clienteigenschaftendatei ist die Eigenschaft "credentialAuthentication" auf den Wert Supported gesetzt, damit der Server die vom Client gesendeten Berechtigungsnachweise empfängt.
secureTokenManagerType
Die Eigenschaft "secureTokenManagerType" wird auf none gesetzt, um anzuzeigen, dass der geheime Schlüssel für die Authentifizierung nicht verschlüsselt ist, wenn die vorhandenen Server verbunden werden.
authenticationSecret
Die Eigenschaft "authenticationSecret" wird auf ObjectGridDefaultSecret gesetzt. Diese geheime Zeichenfolge wird für die Einbindung in den eXtreme-Scale-Server-Cluster verwendet. Wenn ein Server dem Datengrid beitritt, wird er aufgefordert, diese Shared-Secret-Zeichenfolge vorzulegen. Wenn die geheime Zeichenfolge des einzubindenden Servers mit der Zeichenfolge im Katalogserver übereinstimmt, wird der Server akzeptiert. Stimmen die Zeichenfolgen nicht überein, wird die Anforderung zur Einbindung des Servers zurückgewiesen.
transportType
Die Eigenschaft "transportType" wird zunächst auf TCP/IP gesetzt. Später in diesem Lernprogramm wird die Transportsicherheit aktiviert.

Datei xsjaas3.config

Da die KeyStoreLoginAuthenticator-Implementierung ein Anmeldemodul verwendet, müssen Sie das Anmeldemodell mit einer Anmeldekonfigurationsdatei für die JAAS-Authentifizierung konfigurieren. Im Folgenden sehen Sie den Inhalt der Datei xsjaas3.config:

KeyStoreLogin{
com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginModule required
     keyStoreFile="Ausgangsverzeichnis_für_Beispiele/security_extauth/sampleKS3.jks" debug = true;
};
Wenn Sie für Ausgangsverzeichnis_für_Beispiele eine andere Position als /wxs_samples/ verwendet haben, müssen Sie die Position der Keystore-Datei aktualisieren. Diese Anmeldekonfiguration zeigt an, dass das Modul "com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginModule" als Anmeldemodul verwendet wird. Als Keystore-Datei ist die Datei sampleKS3.jks definiert.

In der Beispiel-Keystore-Datei sampleKS3.jks sind zwei Benutzer-IDs und die zugehörigen Kennwörter gespeichert: manager/manager1 und cashier/cashier1.

Sie können die folgenden keytool-Befehle verwenden, um diesen Keystore zu erstellen:
  • keytool -genkey -v -keystore ./sampleKS3.jks -storepass sampleKS1 
    -alias manager -keypass manager1 -dname CN=manager,O=acme,OU=OGSample 
    -validity 10000
  • keytool -genkey -v -keystore ./sampleKS3.jks -storepass sampleKS1 
    -alias operator -keypass operator1 -dname CN=operator,O=acme,OU=OGSample 
    -validity 10000

Katalogserver mit aktivierter Sicherheit starten

Zum Starten des Katalogservers setzen Sie den Befehl startOgServer mit den Parametern -clusterFile und -serverProps ab, um die Sicherheitseigenschaften zu übergeben.

Verwenden Sie eine eigenständige Installation von WebSphere eXtreme Scale, um den Katalogserver auszuführen. Wenn Sie das eigenständige Installationsimage verwenden, müssen Sie das IBM SDK verwenden. Sie können das mit WebSphere Application Server bereitgestellte SDK verwenden, indem Sie die Variable JAVA_HOME so setzen, dass sie auf das IBM SDK verweist, z. B. set JAVA_HOME=WAS-Stammverzeichnis/IBM/WebSphere/AppServer/java/.
  1. Wechseln Sie in das Verzeichnis bin.
    cd WXS-Ausgangsverzeichnis/bin
  2. Führen Sie den Befehl startOgServer aus.
    [Linux][Unix]
    ./startOgServer.sh cs1 -listenerPort 16809 -JMXServicePort 16099 -catalogServiceEndPoints
    cs1:[HOST_NAME]:16601:16602 -clusterSecurityFile Ausgangsverzeichnis_für_Beispiele/security_extauth/security3.xml
    -serverProps Ausgangsverzeichnis_für_Beispiele/security_extauth/catServer3.props -jvmArgs 
    -Djava.security.auth.login.config="Ausgangsverzeichnis_für_Beispiele/security_extauth/xsjaas3.config"
    [Windows]
    startOgServer.bat cs1 -listenerPort 16809 -JMXServicePort 16099 -catalogServiceEndPoints
    cs1:[HOST_NAME]:16601:16602 -clusterSecurityFile Ausgangsverzeichnis_für_Beispiele/security_extauth/security3.xml
    -serverProps Ausgangsverzeichnis_für_Beispiele/security_extauth/catServer3.props -jvmArgs 
    -Djava.security.auth.login.config="Ausgangsverzeichnis_für_Beispiele/security_extauth/xsjaas3.config"
Nach der Ausführung des Befehls startOgServer wird ein sicherer Server mit dem Listener-Port 16809, dem Client-Port 16601, dem Peer-Port 16602 und dem JMX-Port 16099 gestartet. Wenn ein Portkonflikt vorliegt, ändern Sie die Portnummer in eine Portnummer, die nicht im Gebrauch ist.

Katalogserver stoppen, in dem die Sicherheit aktiviert ist

Sie können den Befehl stopOgServer verwenden, um den Katalogserver zu stoppen.

  1. Wechseln Sie in das Verzeichnis bin.
    cd WXS-Ausgangsverzeichnis/bin
  2. Führen Sie den Befehl stopOgServer aus. [Linux][Unix]
    stopOgServer.sh cs1 -catalogServiceEndPoints localhost:16809 -clientSecurityFile 
    Ausgangsverzeichnis_für_Beispiele/security_extauth/client3.props


    [Windows]
    stopOgServer.bat cs1 -catalogServiceEndPoints localhost:16809 -clientSecurityFile 
    Ausgangsverzeichnis_für_Beispiele/security_extauth/client3.props

Prüfpunkt der Lerneinheit

Sie haben die Sicherheit des Katalogservers konfiguriert, indem Sie dem Katalogservice die Dateien security3.xml, catServer3.props und xsjaas3.config zugeordnet haben.

< Zurück | Weiter >