Mit 'PolicyTool' Richtliniendateien für die Java-2-Sicherheit verwenden

Verwenden Sie das Dienstprogramm PolicyTool, um Richtliniendateien zu aktualisieren.

Vorbereitungen

Die Java™ 2-Sicherheit verwendet mehrere Richtliniendateien zur Bestimmung der erteilten Berechtigung für jedes Java-Programm. Das Java Development Kit stellt das Tool PolicyTool zum Bearbeiten dieser Richtliniendateien bereit. Dieses Tool wird für das Editieren jeder Richtliniendatei empfohlen, um die Syntax des Dateiinhalts überprüft wird. Syntaxfehler in der Richtliniendatei führen beim Ausführen von Anwendungen, wozu auch das Starten des Servers gehört, zu einer Ausnahme des Typs AccessControlException. Die Ursache dieser Ausnahme zu ermitteln, kann schwierig sein, wenn der Benutzer nicht bestens mit den Ressourcen eines ungültigen Zugriffs vertraut ist. Gehen Sie beim Bearbeiten dieser Richtliniendateien sehr sorgfältig vor.

Eine Liste der verfügbaren Richtliniendateien finden Sie unter Java 2 security policy files .

[z/OS]Wählen Sie eine der folgenden beiden Optionen aus, wenn Sie das Dienstprogramm PolicyTool mit WebSphere® Application Server for z/OS®verwenden wollen:
  • Kopieren Sie die Richtliniendateien auf eine andere Plattform wie Microsoft Windows und ändern Sie die Dateien. Um diese Option zu nutzen, müssen Sie den FTP-Befehl zur Übertragung der Dateien auf die andere Plattform ausführen, das PolicyTool aufrufen und die aktualisierten Dateien im Binärmodus zurück auf das z/OS übertragen.
  • Rufen Sie das PolicyTool auf, das mit dem Software Development Kit (SDK) bereitgestellt wird, das auf Ihrem z/OS -System installiert ist.

[IBM i]Sie müssen die Client-oder Plug-in-Komponente von WebSphere Application Server auf einer Workstation installieren, um auf das PolicyToolzugreifen zu können. Es wird derzeit auf dem iSeries -Server nicht unterstützt.

Vorgehensweise

  1. [z/OS]Rufen Sie das PolicyTool auf, das mit dem Software Development Kit (SDK) bereitgestellt wird, das auf Ihrem z/OS -System installiert ist.
    1. Exportieren Sie die Anzeige auf eine Einheit mit Xwindows-Unterstützung.
      In Open MVS (OMVS) geben Sie zum Beispiel ' export DISPLAY=<IP_address_of_the_Xwindows_device>:0.0' ein
    2. Aktivieren Sie das z/OS -System für den Zugriff auf die Anzeige der Xwindows-fähigen Einheit.
      Geben Sie auf AIX® -Systemen beispielsweise xhost + address_of_the_MVS_systemein.
    3. Konvertieren Sie die Richtliniendatei im Format Extended Binary Coded Decimal Interchange Code (EBCDIC).
    4. Rufen Sie PolicyTool in OMVS auf, indem Sie $JAVA_HOME/policytooleingeben.
      Die Variable JAVA_HOME steht für das Verzeichnis, in dem das SDK installiert ist.
  2. [IBM i]Ordnen Sie dem Betriebssystem ein Laufwerk zu, um in der Verzeichnisstruktur zur Richtliniendatei zu navigieren.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Starten Sie PolicyTool.
    [Windows]Sie können beispielsweise den folgenden Befehl an einer Windows-Eingabeaufforderung eingeben:
    %{was.install.root}/java/jre/bin/policytool

    [AIX Solaris HP-UX Linux Windows]Das Fenster PolicyTool wird geöffnet. Das Tool sucht nach demjava.policyDatei in Ihrem Ausgangsverzeichnis. Wenn die Datei nicht vorhanden ist, wird eine Fehlernachricht angezeigt.

    Klicken Sie auf OK.

  4. Klicken Sie auf Datei > Öffnen.
  5. Navigieren Sie in der Verzeichnisbaumstruktur im Fenster Öffnen , um die Richtliniendatei zu übernehmen, die Sie aktualisieren müssen.
    Klicken Sie nach Auswahl der Richtliniendatei auf Open. Im Fenster werden die Einträge der Codebasis aufgelistet.
  6. Erstellen oder ändern Sie den Codebasiseintrag.
    1. Ändern Sie den vorhandenen Codebasiseintrag, indem Sie doppelt auf die Codebasis klicken, oder klicken Sie auf die Codebasis und anschließend auf Richtlinieneintrag bearbeiten.
      Daraufhin erscheint das Fenster "Policy Entry" mit der Liste der für die ausgewählte Codebasis definierten Berechtigungen.
    2. Erstellen Sie einen neuen Codebasiseintrag, indem Sie auf Richtlinieneintrag hinzufügenklicken.

      Daraufhin wird das Fenster "Policy Entry" geöffnet. Geben Sie in der Spalte mit der Codebasis die Codebasisinformation in Form einer URL an.

      [z/OS][AIX Solaris HP-UX Linux Windows]Sie können beispielsweise Folgendes eingeben:
      app_server_root/InstalledApps/testcase.ear
      Die Variable Stammverzeichnis_des_Anwendungsservers steht für das Installationsverzeichnis.
      [IBM i]Sie können beispielsweise Folgendes eingeben:
      profile_root/InstalledApps/testcase.ear
  7. Ändern oder fügen Sie die Berechtigungsspezifikation hinzu.
    1. Ändern Sie die Berechtigungsspezifikation, indem Sie doppelt auf den Eintrag klicken, den Sie ändern möchten, oder indem Sie die Berechtigung auswählen und auf Berechtigung bearbeitenklicken.
      Daraufhin erscheint das Fenster "Permissions" mit den Informationen zur ausgewählten Berechtigung.
    2. Fügen Sie eine neue Berechtigung hinzu, indem Sie auf Berechtigung hinzufügenklicken.
      Daraufhin erscheint das Fenster "Permissions". Das Fenster "Permissions" enthält vier Zeilen: Permission, Target Name, Actions und Signed By.
  8. Wählen Sie die Berechtigung in der Berechtigungsliste aus. Daraufhin wird die ausgewählte Berechtigung angezeigt. Nach Auswahl einer Berechtigung enthalten die Felder "Target Name", "Actions" und "Signed By" automatisch die gültigen Optionen oder ermöglichen die Eingabe von Text im Texteingabebereich.
    1. Wählen Sie in der Liste Zielname aus oder geben Sie den Zielnamen im Texteingabebereich ein.
    2. Wählen Sie Aktionen in der Liste aus.
    3. Eingabe Signiert von , falls erforderlich.
      Wichtig: Das Schlüsselwort 'Signed By' wird in den folgenden Richtliniendateien nicht unterstützt:app.policy,spi.policy,library.policy,was.policyundfilter.policyDateien. Das Schlüsselwort Signed By wird jedoch in den folgenden Richtliniendateien unterstützt:#java.policy,server.policyundclient.policyDateien. Der Java Authentication and Authorization Service (JAAS) wird in derapp.policy,spi.policy,library.policy,was.policyundfilter.policyDateien. Das Principal-Schlüsselwort JAAS wird jedoch in einer JAAS -Richtliniendatei unterstützt, wenn es mit der JVM-Systemeigenschaft java.security.auth.policy angegeben wird.
  9. Klicken Sie auf OK , um das Fenster 'Berechtigungen' zu schließen.
    Es werden die geänderten Berechtigungen für die angegebene Codebasis angezeigt.
  10. Klicken Sie auf Fertig , um das Fenster zu schließen. Daraufhin werden die geänderten Codebasiseinträge aufgelistet. Wiederholen Sie die vorherigen Schritte, bis Sie alle gewünschten Einträge bearbeitet haben.
  11. Klicken Sie auf Datei > Speichern , nachdem Sie die Datei bearbeitet haben.
  12. [z/OS]Konvertieren Sie die Richtliniendatei zurück aus dem EBCDIC-Format in das ASCII-Format.

Ergebnisse

Sie haben eine Richtliniendatei aktualisiert. Verwenden Sie zum Editieren von Richtliniendateien stets das Tool PolicyTool. Editieren Sie Richtliniendateien nicht manuell. Syntaxfehler in der Richtliniendatei können dazu führen, dass Anwendungsserver oder Unternehmensanwendungen nicht gestartet werden oder nicht ordnungsgemäß funktionieren. Damit die Änderungen in der aktualisierten Richtliniendatei wirksam werden, starten Sie die Java-Prozesse erneut.