Use um arquivo XML descritor de segurança do ObjectGrid para configurar uma topologia de
implementação do eXtreme Scale com
a segurança ativada. Os elementos presentes nesse arquivo podem ser usados para configurar diferentes aspectos de segurança.
Elemento securityConfig
O
elemento securityConfig é o elemento de nível superior do arquivo XML de segurança do
ObjectGrid. Este elemento configura o espaço de nomes do arquivo e o local do esquema.
O esquema está definido no arquivo
objectGridSecurity.xsd.
- Número de ocorrências: Uma
- Elementos filho : segurança
Elemento security
Utilize o elemento
security para definir uma segurança do ObjectGrid.
- Número de ocorrências: Uma
- Elementos-filho: authenticator, adminAuthorization e systemCredentialGenerator
Atributos- securityEnabled
- Ativa a segurança para a grade quando configurado para true. O valor padrão é false. Se o valor for configurado como false, a segurança no escopo da grade será desativada.
Para
obter informações adicionais, consulte
Segurança da Grade de Dados.
(Opcional)
- singleSignOnEnabled
- Permite que um cliente se conecte a qualquer servidor depois que ele for autenticado com um dos servidores quando o valor for configurado para true.
Caso contrário,
um cliente deverá se autenticar com cada servidor antes de poder se
conectar. O valor padrão é false. (Opcional)
- loginSessionExpirationTime
- Especifica a quantidade de tempo, em segundos, antes de a sessão de login expirar. Se a sessão de login expirar, o cliente precisa autenticar-se novamente. (Opcional)
- adminAuthorizationEnabled
- Ativa a autorização administrativa. Se o valor for configurado para true, todas as tarefas administrativas
precisarão de autorização. O mecanismo de autorização usado é especificado pelo valor do atributo adminAuthorizationMechanism.
O valor padrão é false. (Opcional)
- adminAuthorizationMechanism
- Indica qual mecanismo de autorização deve ser usado. O WebSphere eXtreme
Scale suporta dois mecanismos de autorização, JAAS (Java Authentication
and Authorization Service) e autorização personalizada. O mecanismo de autorização JAAS utiliza a abordagem baseada em política JAAS
padrão.
Para especificar JAAS como o mecanismo de autorização, configure o
valor como AUTHORIZATION_MECHANISM_JAAS.
O mecanismo de autorização customizado
utiliza uma implementação de AdminAuthorization conectada pelo usuário. Para especificar um
mecanismo de autorização customizado, configure o valor como AUTHORIZATION_MECHANISM_CUSTOM. Para obter informações adicionais sobre como estes dois mecanismos são utilizados, consulte Autorização do Aplicativo Cliente. (Opcional)
O seguinte arquivo security.xml é uma configurações de amostra para ativar a segurança da grade de dados.
security.xml
<?xml version="1.0" encoding="UTF-8"?>
<securityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://ibm.com/ws/objectgrid/config/security ../objectGridSecurity.xsd"
xmlns="http://ibm.com/ws/objectgrid/config/security">
<security securityEnabled="true" singleSignOnEnabled="true"
loginSessionExpirationTime="20"
adminAuthorizationEnabled="true"
adminAuthorizationMechanism="AUTHORIZATION_MECHANISM_JAAS" >
<authenticator className ="com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator">
</authenticator>
<systemCredentialGenerator className ="com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator">
<property name="properties" type="java.lang.String" value="runAs" description="Using runAs subject" />
</systemCredentialGenerator>
</security>
</securityConfig>
Elemento authenticator
Autentica clientes aos servidores eXtreme Scale na grade de dados. A classe que é especificada pelo atributo className deve implementar a interface
com.ibm.websphere.objectgrid.security.plugins.Authenticator.
O
autenticador pode utilizar propriedades para chamar métodos na
classe que é especificada pelo atributo className. Consulte o
elemento de propriedade para obter mais informações sobre como
utilizar as propriedades.
No exemplo
do arquivo security.xml anterior, a classe com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator
é especificada como o autenticador. Esta classe implementa a interface com.ibm.websphere.objectgrid.security.plugins.Authenticator.
- Número de ocorrências: zero ou uma
- Elemento filho: propriedade
Atributos- className
- Especifica a classe que implementa a interface com.ibm.websphere.objectgrid.security.plugins.Authenticator.
Use esta classe para autenticar clientes para os servidores na grade do eXtreme Scale.
(Obrigatório)
Elemento adminAuthorization
Use o elemento adminAuthorization para configurar o acesso administrativo para a grade de dados.
- Número de ocorrências: zero ou uma
- Elemento filho: propriedade
Atributos- className
- Especifica a classe que implementa a interface com.ibm.websphere.objectgrid.security.plugins.AdminAuthorization.
(Obrigatório)
Elemento systemCredentialGenerator
Utilize um elemento
systemCredentialGenerator para configurar um gerador de credenciais do sistema. Este elemento
é aplicável apenas a um ambiente dinâmico. No modelo de configuração dinâmica, o servidor de contêineres dinâmicos se conecta ao servidor de catálogos como um cliente do
eXtreme Scale e o servidor de catálogos pode se conectar ao servidor de contêineres do eXtreme Scale como um cliente também. O gerador de credenciais do sistema é utilizado para representar um
depósito de informações para a credencial do sistema.
- Número de ocorrências: zero ou uma
- Elemento filho: propriedade
Atributos- className
- Especifica a classe que implementa a interface com.ibm.websphere.objectgrid.security.plugins.CredentialGenerator. (Obrigatório)
Consulte o anterior no arquivo security.xml para obter um exemplo de como usar uma classe systemCredentialGenerator.
Neste exemplo, o gerador de credenciais do sistema é uma classe com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator, que recupera o objeto RunAs Subject a partir do encadeamento.
Elemento property
Chama o método
set no autenticador e as classes
adminAuthorization.
O nome da propriedade corresponde a um método set no atributo
className do elemento authenticator ou adminAuthorization.
- Número de ocorrências: zero ou mais
- Elemento filho: propriedade
Atributos- name
- Especifica o nome da propriedade. O valor atribuído a esse atributo deve corresponder
a um método set na classe que é fornecida como atributo className no bean
que contém o atributo. Por exemplo, se o atributo className do bean for
configurado como com.ibm.MyPlugin e o nome da propriedade que é fornecido
for size, então, a classe com.ibm.MyPlugin deve ter um método setSize. (Obrigatório)
- type
- Especifica o tipo da propriedade. O tipo do parâmetro é transmitido ao
método set identificado pelo atributo name.
Os valores válidos são as primitivas Java, suas partes java.lang e java.lang.String. Os
atributos name e type devem corresponder a uma assinatura de método no
atributo className do bean. Por exemplo, se o nome for size e o tipo
for int, então, deve existir um método setSize(int) na classe que é
especificada como o atributo className para o bean. (Obrigatório)
- value
- Especifica o valor da propriedade. Este valor
é convertido no tipo especificado pelo atributo type e, em seguida,
é utilizado como um parâmetro na chamada para o método set identificado
pelos atributos name e type. O valor deste atributo não é validado de nenhuma
maneira. O implementador do plug-in deve verificar se o valor transmitido é
válido. (Obrigatório)
- description
- Fornece uma descrição da propriedade (Opcional)
Consulte Arquivo objectGridSecurity.xsd
para obter mais informações.