< Zurück | Weiter >

Lerneinheit 2.3: Sicherheit des Container-Servers konfigurieren

Wenn ein Container-Server eine Verbindung zum Katalogservice herstellt, ruft der Container-Server alle Sicherheitskonfigurationen ab, die in der ObjectGrid-XML-Sicherheitsdatei konfiguriert sind. Die ObjectGrid-XML-Sicherheitsdatei definiert die Authentifikatorkonfiguration, das Zeitlimit für Anmeldesitzungen und weitere Konfigurationsinformationen. Außerdem hat ein Container-Server eigene serverspezifische Sicherheitseigenschaften in der Servereigenschaftendatei.

Konfigurieren Sie die Servereigenschaftendatei mit der JVM-Eigenschaft "-Dobjectgrid.server.props". Der Dateiname, der mit dieser Eigenschaft angegeben wird, ist ein absoluter Dateipfad, wie z. B. Ausgangsverzeichnis_für_Beispiele/security_extauth/server3.props.

In diesem Lernprogramm sind die Container-Server in den Servern xs1 und xs2 im Cluster xsCluster gehostet.

Datei server3.props

Die Datei server3.props befindet sich im Verzeichnis Ausgangsverzeichnis_für_Beispiele/security_extauth/. Im Folgenden sehen Sie den Inhalt der Datei server3.props:

securityEnabled=true
credentialAuthentication=Required
secureTokenManagerType=none
authenticationSecret=ObjectGridDefaultSecret
securityEnabled
Die Eigenschaft "securityEnabled" wird auf true gesetzt, um Container-Server als sicheren Server zu kennzeichnen.
credentialAuthentication
Die Eigenschaft "credentialAuthentication" wird auf Required gesetzt, so dass jeder Client, der eine Verbindung zum Server herstellt, einen Berechtigungsnachweis bereitstellen muss. In der Clienteigenschaftendatei wird die Eigenschaft "credentialAuthentication" auf Supported gesetzt, damit der Server den vom Client gesendeten Berechtigungsnachweis empfängt.
secureTokenManagerType
Die Eigenschaft "secureTokenManagerType" wird auf none gesetzt, um anzuzeigen, dass der geheime Schlüssel für die Authentifizierung nicht verschlüsselt ist, wenn die vorhandenen Server verbunden werden.
authenticationSecret
Die Eigenschaft "authenticationSecret" wird auf ObjectGridDefaultSecret gesetzt. Diese geheime Zeichenfolge wird für die Einbindung in den eXtreme-Scale-Server-Cluster verwendet. Wenn ein Server in das Datengrid eingebunden wird, wird er aufgefordert, diese Shared-Secret-Zeichenfolge vorzulegen. Wenn die geheime Zeichenfolge des einzubindenden Servers mit der Zeichenfolge im Katalogserver übereinstimmt, wird der Server akzeptiert. Stimmen die Zeichenfolgen nicht überein, wird die Anforderung zur Einbindung des Servers zurückgewiesen.

Servereigenschaftendatei mit JVM-Eigenschaften definieren

Definieren Sie die Servereigenschaftendatei in den Servern "xs1" und "xs2". Wenn Sie die Topologie für dieses Lernprogramm nicht verwenden, definieren Sie die Servereigenschaftendatei in allen Anwendungsservern, die Sie zum Hosten von Container-Servern verwenden.

  1. Öffnen Sie die Seite "Java Virtual Machine" für den Server. Klicken Sie auf Server > WebSphere-Anwendungsserver > Servername > Java- und Prozessverwaltung > Prozessdefinition > Java Virtual Machine.
  2. Fügen Sie das folgende generische JVM-Argument hinzu:
    -Dobjectgrid.server.props=Ausgangsverzeichnis_für_Beispiele/security_extauth/server3.props
  3. Klicken Sie auf OK, und speichern Sie Ihre Änderungen.

Angepasstes Anmeldemodul hinzufügen

Der Container-Server verwendet dieselbe KeyStoreAuthenticator-Implementierung wie der Katalogserver. Die KeyStoreAuthenticator-Implementierung verwendet einen KeyStoreLogin-Anmeldemodulalias. Deshalb müssen Sie den Modelleinträgen für die Anwendungsanmeldung ein angepasstes Anmeldemodul hinzufügen.

  1. Klicken Sie in der Administrationskonsole von WebSphere Application Server auf Sicherheit > Globale Sicherheit > Java Authentication and Authorization Service.
  2. Klicken Sie auf Anwendungsanmeldungen.
  3. Klicken Sie auf Neu, und fügen Sie einen KeyStoreLogin-Alias hinzu. Klicken Sie auf Anwenden.
  4. Klicken Sie unter JAAS-Anmeldemodule auf Neu.
  5. Geben Sie com.ibm.websphere.objectgrid.security.plugins.builtins.KeyStoreLoginModule als Modulklassennamen ein, und wählen Sie SUFFICIENT als Authentifizierungsstrategie aus. Klicken Sie auf Anwenden.
  6. Fügen Sie die angepasste Eigenschaft keyStoreFile mit dem Wert Ausgangsverzeichnis_für_Beispiele/security_extauth/sampleKS.jks hinzu.
  7. Optional: Fügen Sie die angepasste Eigenschaft debug mit dem Wert true hinzu.
  8. Speichern Sie die Konfiguration.

Prüfpunkt der Lerneinheit

Jetzt ist die Serverauthentifizierung von WebSphere eXtreme Scale gesichert. Wenn Sie diese Sicherheit konfigurieren, müssen alle Anwendungen, die versuchen, eine Verbindung zu Servern von WebSphere eXtreme Scale herzustellen, einen Berechtigungsnachweis bereitstellen. In diesem Lernprogramm ist KeyStoreLoginAuthenticator der Authentifikator. Deshalb muss der Client einen Benutzernamen und ein Kennwort angeben.

< Zurück | Weiter >