Abilitazione della sicurezza

Quanto segue fornisce informazioni su come configurare la sicurezza quando la sicurezza non è stata abilitata durante la creazione del profilo WebSphere® Application Sever.

Prima di iniziare

Quando si installa WebSphere Application Server, si consiglia di installare con la sicurezza abilitata. Per impostazione predefinita, questa opzione garantisce che tutto sia stato correttamente configurato. Abilitando la sicurezza, si protegge il server da utenti non autorizzati e si è quindi in grado di fornire l'isolamento dell'applicazione e i requisiti per l'autenticazione degli utenti dell'applicazione.

È utile comprendere la sicurezza da una prospettiva di infrastruttura in modo da conoscere i vantaggi di diversi meccanismi di autenticazione, registri utente, protocolli di autenticazione e così via. La scelta dei componenti di sicurezza corretti per soddisfare le proprie esigenze fa parte della configurazione della sicurezza. Le seguenti sezioni consentono di prendere queste decisioni.

Dopo aver compreso i componenti di sicurezza, è possibile procedere con la configurazione della protezione in WebSphere Application Server.

[z/OS]Attenzione: ci sono alcune attività di personalizzazione della sicurezza richieste per abilitare la sicurezza. Le loro attività richiedono aggiornamenti al server di sicurezza, come Resource Access Control Facility (RACF®). Potrebbe essere necessario includere l'amministratore della sicurezza in questo processo.

Procedura

  1. Avviare la console di gestione di WebSphere Application Server .

    Avviare il gestore distribuzione e, nel browser, immettere l'indirizzo del server WebSphere Application Server Network Deployment . Per impostazione predefinita, la console si trova inhttp://your_host.your_domain:9060/ibm/console.

    Se la sicurezza è disabilitata, viene richiesto un ID utente. Accedere con qualsiasi ID utente. Tuttavia, se la sicurezza è abilitata, viene richiesto sia un ID utente che una password. Accedere con un ID utente e password di gestione predefiniti.

  2. Fare clic su Sicurezza> Sicurezza globale.

    Utilizzare la procedura guidata di configurazione della sicurezza oppure configurare la sicurezza manualmente. L'ordine di configurazione non è importante.

    Evitare problemi: è necessario abilitare separatamente la sicurezza di gestione e la sicurezza dell'applicazione. A causa di questa suddivisione, i client WebSphere Application Server devono sapere se la sicurezza dell'applicazione è disabilitata sul server di destinazione. Per impostazione predefinita, la protezione amministrativa è abilitata. La sicurezza dell'applicazione è disabilitata per impostazione predefinita. Prima di tentare di abilitare la sicurezza dell'applicazione sul server di destinazione, verificare che la sicurezza di gestione sia abilitata su tale server. La sicurezza dell'applicazione può essere attiva solo quando è abilitata la sicurezza di gestione.

    Per ulteriori informazioni sulla configurazione manuale, consultare Autenticazione degli utenti.

  3. Configurare il repository di account utente.
    Per ulteriori informazioni, consultare Selezione di un registro o di un repository. Nel pannello Sicurezza globale, è possibile configurare repository di account utente come repository federati, sistema operativo locale, registro LDAP (Lightweight Directory Access Protocol) autonomo e registro personalizzato autonomo.
    Nota: è possibile scegliere di specificare un ID server e una password per l'interoperabilità oppure abilitare un'istallazione di WebSphere Application Server per generare automaticamente un ID server interno. Per ulteriori informazioni sulla generazione automatica degli ID server, consultare Impostazioni del sistema operativo locale.

    Uno dei dettagli comuni a tutti i registri utente o repository è il Nome utente di gestione primario. Questo è un membro del repository scelto, ma dispone anche di privilegi speciali in WebSphere Application Server. I privilegi per questo ID e i privilegi associati all'ID ruolo di amministrazione sono gli stessi. Il nome utente di gestione primario può accedere a tutti i metodi di gestione protetti.

    [ Windows]L'ID non deve essere lo stesso nome della macchina del sistema poiché il repository a volte restituisce informazioni specifiche della macchina quando si interroga un utente con lo stesso nome.

    Nei registri LDAP autonomi, verificare che il nome utente di gestione primario sia un membro del repository e non solo l'ID del ruolo di gestione LDAP. La voce deve essere ricercabile.

    [AIX Solaris HP-UX Linux Windows][IBM i]Il nome utente di gestione principale non esegue i processi diWebSphere Application Server . Piuttosto, l'ID processo esegue i processi di WebSphere Application Server .

    [AIX Solaris HP-UX Linux Windows]Il ID processo è determinato dal modo in cui viene avviato il processo. Ad esempio, se si utilizza una riga comandi per avviare i processi, l'ID utente collegato al sistema è l'ID processo. Se in esecuzione come servizio, l'ID utente collegato al sistema è l'ID utente che esegue il servizio. Se si sceglie il registro del sistema operativo locale, l'ID processo richiede privilegi speciali per richiamare le API del sistema operativo. L'ID processo deve avere i seguenti privilegi specifici della piattaforma:
    • Privilegi [ Windows]Agisci come parte del sistema operativo
    • Privilegi [AIX HP-UX Solaris]Root

    [IBM i]Nella configurazione predefinita, i processi di WebSphere Application Server vengono eseguiti nel profilo utente QEJBSVR fornito dal sistema.

    [z/OS]Quando si utilizza il registro del sistema operativo locale autonomo su WebSphere Application Server per z/OS®, l'ID utente per il server non viene impostato utilizzando la console di gestione, ma viene impostato mediante la classe STARTED nel sistema operativo z/OS .

  4. Selezionare l'opzione Imposta come corrente dopo aver configurato il repository di account utente.
    Quando si fa clic su Applica e l'opzione Abilita sicurezza di gestione è impostata, si verifica se un ID utente di gestione è stato configurato ed è presente nel registro utenti attivo. L'ID utente di gestione può essere specificato nel pannello del registro utenti attivo o dal collegamento degli utenti della console. Se non si configura un ID di gestione per il registro utente attivo, la convalida ha esito negativo.
    Nota: quando si passa da un registro utente all'altro,admin-authz.xmldevono essere eliminati gli ID di gestione e i nomi delle applicazioni esistenti. Si verificheranno delle eccezioni nei log per gli ID che esistono neladmin-authz.xmlma non esistono nel registro utente corrente.
  5. [z/OS]Facoltativo: è possibile configurare e modificare il provider di autorizzazione esterno per l'autorizzazione WebSphere , per l'autorizzazione SAF (System Authorization Facility) o per un provider JACC esterno. Per ulteriori informazioni, consultare z/OS System Authorization Facility authorization e Abilitazione di un provider JACC esterno. Per modificare il provider di autorizzazione, fare clic su Sicurezza> Sicurezza globale.
  6. Configurare il meccanismo di autenticazione

    Configurare LTPA (Lightweight Third Party Authentication) o Kerberos, che è una novità di questa release di WebSphere Application Server, in Meccanismi di autenticazione e scadenza. Le credenziali LTPA possono essere inoltrate ad altre macchine. Per motivi di sicurezza, la credenziale scade; tuttavia, è possibile configurare la data di scadenza sulla console. Le credenziali LTPA consentono ai browser di visitare diversi server del prodotto, il che significa che non è necessario autenticarsi più volte. Per ulteriori informazioni, consultare Configurazione del meccanismo LTPA

    [z/OS]Nota: è possibile configurare SWAM (Simple WebSphere Authentication Mechanism) come meccanismo di autenticazione. Tuttavia, SWAM è obsoleto in WebSphere Application Server Versione 8.5 e verrà rimosso in una release futura. Le credenziali SWAM non sono inoltrabili ad altre macchine e per questo motivo non scadono.

    Se si desidera il supporto SSO (single sign - on), che consente ai browser di visitare diversi server del prodotto senza dover autenticarsi più volte, consultare Configurazione di SSO (single sign - on). Per l'accesso basato su modulo, è necessario configurare SSO quando si utilizza LTPA.

  7. Facoltativo: importare ed esportare le chiavi LTPA per SSO (single sign - on) tra celle.
    Per ulteriori informazioni, consultare i seguenti articoli:
    Evitare problemi: se una delle celle a cui ci si connette risiede su un sistema della versione 6.0.x , consultare l'argomento Configurazione delle chiavi LTPA (Lightweight Third Party Authentication) nella documentazione della versione 6.0.x per ulteriori informazioni.
  8. Configurare il protocollo di autenticazione per requisiti di sicurezza speciali dai client Java™ , se necessario.

    [AIX Solaris HP-UX Linux Windows][IBM i]È possibile configurare CSIv2 (Common Secure Interoperability Versione 2) (CSIv2) tramite i link sul pannello Sicurezza globale. Il protocollo SAS (Security Authentication Service) è fornito per la compatibilità con le versioni precedenti del prodotto, ma è obsoleto. I link ai pannelli del protocollo SAS vengono visualizzati sul pannello Sicurezza globale se il proprio ambiente contiene server che utilizzano le versioni precedenti di WebSphere Application Server e supportano il protocollo SAS. Per i dettagli sulla configurazione di CSIv2 o SAS, consultare l'articolo, Configuring Common Secure Interoperability Version 2 (CSIV2) inbound and outbound communication settings.

    [z/OS]È possibile configurare CSIv2 (Common Secure Interoperability Versione 2) (CSIv2) tramite i collegamenti sul pannello Sicurezza globale. Il protocollo z/SAS ( z/OS Security Authentication Service) è fornito per la compatibilità con le versioni precedenti del prodotto, ma è obsoleto. I collegamenti ai pannelli del protocollo z/SAS vengono visualizzati nel pannello Sicurezza globale se il proprio ambiente contiene server che utilizzano le versioni precedenti di WebSphere Application Server e supportano il protocollo SAS. Per i dettagli sulla configurazione di CSIv2 o z/SAS, consultare l'articolo, Configuring Common Secure Interoperability Version 2 (CSIV2) inbound and outbound communication settings.
    Importante: z/SAS è supportato solo tra la Versione 6.0.x e i server della versione precedente che sono stati federati in una cella Versione 6.1 .
    [AIX Solaris HP-UX Linux Windows][IBM i]Attenzione: IBM® non fornisce più o supporta il protocollo di sicurezza IIOP SAS (Secure Authentication Service). Si consiglia di utilizzare il protocollo CSIv2 (CSIv2).
    [z/OS]Attenzione: IBM non fornisce più o supporta il protocollo di sicurezza IIOP z/SAS ( z/OS Secure Authentication Service). Si consiglia di utilizzare il protocollo CSIv2 (CSIv2). CSIv2 interagirà con versioni precedenti di WebSphere Application Server ad eccezione del client Versione 4.
  9. [AIX Solaris HP-UX Linux Windows][IBM i]SSL (Secure Socket Layers) è preconfigurato per impostazione predefinita, le modifiche non sono necessarie a meno che non si disponga di requisiti SSL personalizzati.
    È possibile modificare o creare una nuova configurazione SSL. Questa azione protegge l'integrità dei messaggi inviati su Internet. Il prodotto fornisce un'ubicazione centralizzata per configurare le configurazioni SSL che le diverse funzioni WebSphere Application Server che utilizzano SSL possono utilizzare, incluso il registro LDAP, il contenitore Web e il protocollo di autenticazione RMI/IIOP (CSIv2). Per ulteriori informazioni, consultare Creazione di una configurazione SSL (Secure Sockets Layer). Dopo aver modificato una configurazione o creato una nuova configurazione, specificarla nel pannello Configurazioni SSL . Per visualizzare il riquadro delle configurazioni SSL, completare la procedura riportata di seguito:
    1. Fare clic su Sicurezza> Certificato SSL e gestione chiavi.
    2. In Impostazioni di configurazione, fare clic su Gestisci configurazioni di sicurezza dell'endpoint> nome_configurazione.
    3. In Elementi correlati per ciascun ambito (ad esempio, nodo, cluster, server), selezionare uno dei numerosi link di configurazione che possono essere indirizzati alla risorsa che si sta visitando.

    È possibile modificare il file DefaultSSLConfig o creare una nuova configurazione SSL con un nuovo nome alias. Se si crea un nuovo nome alias per i nuovi file keystore e truststore, modificare ogni ubicazione che fa riferimento all'alias di configurazione SSL DefaultSSLConfig . Il seguente elenco specifica le ubicazioni in cui gli alias del repertorio di configurazione SSL vengono utilizzati nella configurazione di WebSphere Application Server .

    Per tutti i trasporti che utilizzano le nuove catene di canali di input/output di rete, compresi HTTP e Java Message Service (JMS), è possibile modificare gli alias del repertorio di configurazione SSL nelle seguenti posizioni per ciascun server:
    • Fare clic su Server> Server delle applicazioni> nome_server. In Comunicazioni, fare clic su Porte. Individuare una catena di trasporto in cui SSL è abilitato e fare clic su Visualizza trasporti associati. Fare clic su transport_channel_name. In Canali di trasporto, selezionare Canale in entrata SSL (SSL_2).
    • Fare clic su Amministrazione di sistema> Gestore distribuzione. In Proprietà aggiuntive, fare clic su Porte. Individuare una catena di trasporto in cui SSL è abilitato e fare clic su Visualizza trasporti associati. Fare clic su transport_channel_name. In Canali di trasporto, selezionare Canale in entrata SSL (SSL_2).
    • Fare clic su Amministrazione di sistema> Agenti nodo> nome_agent_nodo. In Proprietà aggiuntive, fare clic su Porte. Individuare una catena di trasporto in cui SSL è abilitato e fare clic su Visualizza trasporti associati. Fare clic su transport_channel_name. In Canali di trasporto, selezionare Canale in entrata SSL (SSL_2).
    Per i trasporti SSL ORB (Object Request Broker), è possibile modificare gli alias del repertorio di configurazione SSL nelle seguenti ubicazioni. Queste configurazioni riguardano il livello server per WebSphere Application Server e WebSphere Application Server Express e il livello cella per WebSphere Application Server Network Deployment.
    • Fare clic su Sicurezza> Sicurezza globale. In Sicurezza RMI/IIOP, fare clic su CSIv2 comunicazioni in entrata.
    • Fare clic su Sicurezza> Sicurezza globale. In Sicurezza RMI/IIOP, fare clic su CSIv2 comunicazioni in uscita.

    Per il trasporto SSL di LDAP (Lightweight Directory Access Protocol), è possibile modificare gli alias del repertorio di configurazioni SSL facendo clic su Sicurezza> Sicurezza globale. In Repository account utente, fare clic sull'elenco a discesa Definizioni realm disponibili e selezionare Registro LDAP autonomo.

  10. [z/OS]Impostare l'autorizzazione. Se si sceglie di utilizzare un prodotto di sicurezza z/OS durante la personalizzazione, l'autorizzazione è per impostazione predefinita impostata per utilizzare l'autorizzazione SAF (System Authorization Facility) (profili EJBROLE). Altrimenti, il valore predefinito è l'autorizzazione di WebSphere Application Server .
    Facoltativamente, è possibile impostare un'autorizzazione esterna JACC (Java Authorization Contract for Containers). Consultare Considerazioni speciali per il controllo dell'accesso ai ruoli di denominazione utilizzando l'autorizzazione SAF o i provider di autorizzazioni.
  11. [z/OS]Verificare i repertori SSL (Secure Sockets Layer) per WebSphere Application Server da utilizzare. I lavori di personalizzazione di esempio generati da WebSphere z/OS Profile Management Tool o dal comando zpmt generano lavori di esempio per creare file di chiavi SSL utilizzabili se RACF è il server di sicurezza. Questi lavori creano un certificato CA RACF univoco per l'installazione con una serie di certificati server firmati da questa autorità di certificazione. L'ID attività avviata dal controller del server delle applicazioni ha un keyring SAF che include questi certificati. Allo stesso modo, in un ambiente WebSphere Application Server Network Deployment , vengono creati i file di chiavi RACF di proprietà dell'ID utente del gestore distribuzione e gli ID utente dell'agente nodo.

    Un anello chiave RACF è identificato in modo univoco sia dal nome dell'anello chiave nel repertorio sia dall'ID utente MVS del processo di controllo del server. Se i diversi processi del controller WebSphere Application Server hanno ID utente MVS univoci, è necessario assicurarsi che vengano creati un keyring RACF e una chiave privata, anche se condividono lo stesso repertorio.

    Esistono due tipi di repertori SSL configurabili:
    • Il repertorio SSL di sistema è utilizzato per le comunicazioni HTTPS e Internet InterORB Protocol (IIOP) e viene utilizzato dai trasporti nativi. Se si desidera utilizzare la console amministrativa dopo aver abilitato la sicurezza, è necessario definire e selezionare un repertorio di tipi SSL di sistema per HTTP. È necessario definire un repertorio SSL di sistema e selezionare se la sicurezza IIOP richiede o supporta il trasporto SSL o se un connettore RMI (Remote Method Invocation) sicuro è selezionato per le richieste di gestione.
    • Il repertorio JSSE (Java Secure Socket Extension) è per le comunicazioni SSL basate su Java.

    Gli utenti devono configurare un repertorio SSL di sistema per utilizzare i protocolli HTTP o IIOP e un connettore Java Management Extensions (JMX) deve essere configurato per utilizzare SSL. Se si sceglie il connettore SOAP HTTP, è necessario selezionare un repertorio JSSE per il sottosistema amministrativo. In un ambiente WebSphere Application Server Network Deployment, fate clic su Amministrazione di sistema > Deployment Manager > Servizi di amministrazione > Connettori JMX > Connettore SOAP > Proprietà personalizzate > sslConfig.

    Una serie di repertori SSL sono impostati dalle finestre di dialogo di installazione di z/OS . Queste finestre di dialogo sono configurate per fare riferimento ai keyring SAF e ai file popolati dal processo di personalizzazione, quando si generano i comandi RACF .
    Tabella 1. I repertori SSL impostano il file z/OS finestre di dialogo di installazione .

    Questa tabella elenca i repertori SSL configurati dalle finestre di dialogo di installazione di z/OS .
    Nome repertorio Tipo Utilizzo predefinito
    [z/OS]NodeDefaultSSLSettings [z/OS]JSSE [z/OS](solo base) configurazione per connettore SOAP JMX, client SOAP, contenitore web Trasporto HTTP
    [z/OS]CellDefaultSSLSettings [z/OS]JSSE [z/OS](solo per l'implementazione in rete) configurazione per connettore SOAP JMX, client SOAP, contenitore web Trasporto HTTP
    [z/OS]DefaultIIOPSSL SSSL [z/OS] [z/OS]Utilizzato solo se DAEMON SSL è abilitato

    Non è richiesta alcuna azione aggiuntiva se queste impostazioni sono sufficienti per le proprie esigenze. Se si desidera creare o modificare queste impostazioni, è necessario assicurarsi che i file keystore a cui fanno riferimento vengano creati.

  12. Fare clic su Sicurezza> Sicurezza globale per configurare le restanti impostazioni di sicurezza e abilitare la sicurezza.
    Per informazioni su queste impostazioni, consultare Impostazioni di sicurezza globali.

    Per ulteriori informazioni, consultare Sicurezza di gestione e server.

  13. Convalidare la configurazione di sicurezza completata facendo clic su OK o su Applica. Se si verificano dei problemi, vengono visualizzati in rosso.
  14. Se non si verificano problemi di convalida, fare clic su Salva per salvare le impostazioni in un file utilizzato dal server al riavvio.
    Il salvataggio scrive le impostazioni nel repository di configurazione.
    Importante: se non si fa clic su Applica o OK nel pannello Sicurezza globale prima di fare clic su Salva, le modifiche non vengono scritte nel repository. Il server deve essere riavviato per rendere effettive le modifiche quando si avvia la console di gestione.

    L'azione di salvataggio consente al gestore distribuzione di utilizzare le impostazioni modificate dopo il riavvio di WebSphere Application Server . Per ulteriori informazioni, consultare Abilitazione della sicurezza per il realm. Una configurazione del gestore distribuzione differisce da un server delle applicazioni di base autonomo. La configurazione viene memorizzata temporaneamente in Deployment Manager finché non viene sincronizzata con tutti gli agent del nodo.

    Inoltre, verificare che tutti gli agent del nodo siano attivi e in esecuzione nel dominio. Arrestare tutti i server delle applicazioni durante questo processo. Se uno degli agent del nodo è inattivo, eseguire un programma di utilità di sincronizzazione file manuale dalla macchina dell'agent del nodo per sincronizzare la configurazione della sicurezza dal gestore distribuzione. In caso contrario, l'agent del nodo malfunzionante non comunica con il gestore distribuzione una volta abilitata la sicurezza sul gestore distribuzione.

  15. Avviare la console di gestione di WebSphere Application Server .

    Avviare il gestore distribuzione e, nel browser, immettere l'indirizzo del server WebSphere Application Server Network Deployment . Per impostazione predefinita, la console si trova inhttp://your_host.your_domain:9060/ibm/console.

    Se la sicurezza è attualmente disabilitata, accedere con qualsiasi ID utente. Se la sicurezza è attualmente abilitata, accedere con un ID di gestione e una password predefiniti. Questo ID è generalmente l'ID utente server specificato quando è stato configurato il registro utenti.