Impostazioni della sicurezza globale

Utilizzare questa pagina per configurare la gestione e la politica di sicurezza dell'applicazione predefinita. Questa configurazione di sicurezza si applica alla politica di sicurezza per tutte le funzioni di gestione e viene utilizzata come una politica di sicurezza predefinita per le applicazioni utente. È possibile definire dei domini di sicurezza per sovrascrivere e personalizzare le politiche di sicurezza per le applicazioni utente.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza> Sicurezza globale.

La sicurezza [AIX Solaris HP-UX Linux Windows][IBM i]ha alcuni impatti sulle prestazioni delle applicazioni. Gli impatti sulle prestazioni possono variare in base alle caratteristiche del workload dell'applicazione. È necessario prima determinare che il livello di sicurezza necessario sia abilitato per le applicazioni, quindi misurare l'impatto della sicurezza sulle prestazioni delle applicazioni.

Quando la sicurezza è configurata, convalidare eventuali modifiche al registro utente o alle pagine del meccanismo di autenticazione. Fare clic su Applica per convalidare le impostazioni del registro utenti. Viene effettuato un tentativo di autenticare l'ID del server o di convalidare l'ID amministratore (se internalServerID viene utilizzato) nel registro utente configurato. La convalida delle impostazioni del Registro utenti dopo l'abilitazione della sicurezza amministrativa può evitare problemi quando si riavvia il server per la prima volta.

Configurazione guidata della sicurezza

Avvia una procedura guidata che consente di configurare le impostazioni di gestione di base e di sicurezza dell'applicazione. Questo processo limita le applicazioni e le attività di amministrazione agli utenti autorizzati.

Utilizzando questa procedura guidata, è possibile configurare la sicurezza dell'applicazione, la sicurezza della risorsa o la sicurezza Java™ 2 Connector (J2C) e un registro utenti. È possibile configurare un registro esistente e abilitare la sicurezza di gestione, dell'applicazione e delle risorse.

Quando si applicano le modifiche apportate utilizzando la procedura guidata di configurazione della sicurezza, la sicurezza amministrativa viene attivata per impostazione predefinita.

Report di configurazione della sicurezza

Avvia un report che raccoglie e visualizza le impostazioni di protezione correnti del server delle applicazioni. Le informazioni vengono raccolte sulle impostazioni di sicurezza principali, sugli utenti e sui gruppi amministrativi, sui ruoli di denominazione CORBA e sulla protezione dei cookie. Quando vengono configurati più domini di sicurezza, il report visualizza la configurazione di sicurezza associata a ciascun dominio.

Una limitazione corrente al report è che non visualizza le informazioni di sicurezza a livello applicazione. Il report inoltre non visualizza le informazioni sulla sicurezza JMS (Java Message Service), sulla sicurezza bus o sulla sicurezza dei servizi Web.

Abilita sicurezza di gestione

Specifica se abilitare la sicurezza di gestione per questo dominio del server delle applicazioni. La sicurezza amministrativa richiede l'autenticazione degli utenti prima di ottenere il controllo amministrativo del server delle applicazioni.

Per ulteriori informazioni, consultare i collegamenti correlati per i ruoli di gestione e l'autenticazione di gestione.

Quando si abilita la sicurezza, impostare la configurazione del meccanismo di autenticazione e specificare un ID utente e una password validi (o un ID amministratore valido quando internalServerID viene utilizzata la funzionalità) nella configurazione del registro selezionata.

Nota: c'è una differenza tra l'ID utente (che normalmente viene chiamato ID amministratore), che identifica gli amministratori che gestiscono l'ambiente, e un ID server, che viene utilizzato per la comunicazione server - to - server. Non è necessario immettere ID server e password quando si utilizza la funzione ID server interno. Tuttavia, facoltativamente, è possibile specificare un ID server e una password. Per specificare l'ID server e la password, completare la seguente procedura:
  1. Fare clic su Sicurezza> Sicurezza globale.
  2. In Repository account utente, selezionare il database e fare clic su Configura.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Specificare l'ID server e la password nella sezione Identità utente server.

[z/OS]È possibile specificare l'opzione z/OS attività avviata solo quando il registro utente è Sistema operativo locale.

In caso di problemi, ad esempio se il server non viene avviato dopo l'abilitazione della sicurezza all'interno del dominio di sicurezza, risincronizzare tutti i file dalla cella a questo nodo. Per risincronizzare i file, eseguire il seguente comando dal nodo syncNode -username your_userid -password your_password. Questo comando si connette al gestore distribuzione e risincronizza tutti i file.

[z/OS][IBM i]Se il server non viene riavviato dopo aver abilitato la sicurezza amministrativa, è possibile disabilitare la sicurezza. Andare nella directory app_server_root/bin ed eseguire il comando wsadmin -conntype NONE . Alla richiesta wsadmin> , immetteresecurityoffe quindi digitareexitper tornare a una richiesta comandi. Riavviare il server con la sicurezza disabilitata per controllare eventuali impostazioni non corrette tramite la console di gestione.

[z/OS]Utenti del registro utenti del SO locale: quando si seleziona SO locale come registro utenti attivo, non è necessario fornire una password nella configurazione del registro utenti.

Informazioni Valore
Predefinito: Abilitato

Abilita sicurezza delle applicazioni

Abilita la sicurezza per le applicazioni nell'ambiente. Questo tipo di sicurezza fornisce l'isolamento dell'applicazione e i requisiti per l'autenticazione degli utenti dell'applicazione

Nelle release precedenti di WebSphere® Application Server, quando un utente abilitava la sicurezza globale, erano abilitate sia la sicurezza amministrativa che quella dell'applicazione. In WebSphere Application Server Versione 6.1, la nozione precedente di sicurezza globale è suddivisa in sicurezza amministrativa e sicurezza dell'applicazione, ciascuna delle quali è possibile abilitare separatamente.

Come risultato di questa suddivisione, i client WebSphere Application Server devono sapere se la sicurezza dell'applicazione è disabilitata sul server di destinazione. Per impostazione predefinita, la protezione amministrativa è abilitata. La sicurezza dell'applicazione è disabilitata per impostazione predefinita. Per abilitare la sicurezza dell'applicazione, è necessario abilitare la sicurezza amministrativa. La sicurezza dell'applicazione è attiva solo quando è abilitata la sicurezza di gestione.

Informazioni Valore
Predefinito: Disabilitato

Utilizza la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali

Specifica se abilitare o disabilitare il controllo delle autorizzazioni di sicurezza Java 2. Per impostazione predefinita, l'accesso alle risorse locali non è limitato. È possibile scegliere di disabilitare la sicurezza Java 2, anche quando è abilitata la sicurezza dell'applicazione.

Quando l'opzione Utilizza la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali è abilitata e se un'applicazione richiede più autorizzazioni di sicurezza Java 2 di quelle concesse nella politica predefinita, l'esecuzione dell'applicazione potrebbe non riuscire correttamente fino a quando le autorizzazioni richieste non vengono concesse nel file app.policy o nel file was.policy dell'applicazione. Le eccezioni AccessControl vengono generate dalle applicazioni che non hanno tutte le autorizzazioni richieste. Consultare i collegamenti correlati per ulteriori informazioni su Java 2 security.

Informazioni Valore
Predefinito: Disabilitato

Avvisa se le applicazioni dispongono di autorizzazioni personalizzate

Specifica che durante la distribuzione dell'applicazione e l'avvio dell'applicazione, il runtime di sicurezza emette un'avvertenza se alle applicazioni vengono concesse autorizzazioni personalizzate. Le autorizzazioni personalizzate sono autorizzazioni definite dalle applicazioni utente e non dalle autorizzazioni API Java. Le autorizzazioni API Java sono autorizzazioni nei package java.* e javax.* .

Il server delle applicazioni fornisce supporto per la gestione dei file delle politiche. In questo prodotto sono disponibili diversi file di politica, alcuni dei quali sono statici e altri dinamici. La politica dinamica è un template di autorizzazioni per un determinato tipo di risorsa. Non viene definito alcun codebase e non viene utilizzato alcun codebase relativo nel modello di politica dinamica. La base di codice reale viene creata dinamicamente dalla configurazione e dai dati di runtime. Il file filter.policy contiene un elenco di autorizzazioni che non si desidera che un'applicazione abbia in base alla specifica J2EE 1.4 . Per ulteriori informazioni sulle autorizzazioni, consultare il link correlato relativo ai file delle politiche di sicurezza Java 2.

Importante: non è possibile abilitare questa opzione senza abilitare l'opzione Utilizza Java 2 security per limitare l'accesso dell'applicazione alle risorse locali .
Informazioni Valore
Predefinito: Disabilitato

Limita accesso ai dati di autenticazione della risorsa

Abilitare questa opzione per limitare l'accesso dell'applicazione ai dati di autenticazione di associazione JCA (Java Connector Architecture) sensibili.

Abilitare questa opzione quando si verificano entrambe le seguenti condizioni:
  • Viene applicata la sicurezza Java 2.
  • Al codice dell'applicazione viene concesso il accessRuntimeClasses WebSphereRuntimePermission permesso nelwas.policy file trovato nel file EAR (Enterprise Application Archive). Ad esempio, al codice dell'applicazione viene concessa l'autorizzazione quando si trova la riga seguente nel file was.policy :
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

IL Limitare l'accesso ai dati di autenticazione delle risorse L'opzione aggiunge il controllo approfondito delle autorizzazioni di sicurezza Java 2 alla mappatura principale predefinita di WSPrincipalMappingLoginModule implementazione. È necessario concedere l'autorizzazione esplicita alla piattaforma Java 2, Enterprise Edition ( J2EE ) applicazioni che utilizzano il file WSPrincipalMappingLoginModule implementazione direttamente nel servizio di autenticazione e autorizzazione Java ( JAAS ) accedi quando Utilizzare la sicurezza Java 2 per limitare l'accesso dell'applicazione alle risorse locali e il Limitare l'accesso ai dati di autenticazione delle risorse le opzioni sono abilitate.

Informazioni Valore
Predefinito: Disabilitato

Definizione di realm corrente

Specifica l'impostazione corrente per il repository utente attivo.

Questo campo è di sola lettura.

Definizioni di realm disponibili

Specifica i repository di account utente disponibili.

Le selezioni vengono visualizzate in un elenco a discesa contenente:
  • Sistema operativo locale
  • Registro LDAP autonomo
  • Registro personalizzato autonomo
[AIX Solaris HP-UX Linux Windows][z/OS]

Imposta come corrente

Abilita il repository utente una volta configurato.

È possibile configurare le impostazioni per uno dei seguenti repository utente:
Repository federati
Specificare questa impostazione per gestire i profili in più repository in un singolo realm. Il realm può essere costituito da identità in:
  • Il repository basato su file creato nel sistema
  • Uno o più repository esterni
  • Sia il repository integrato basato su file che in uno o più repository esterni
Nota: solo un utente con privilegi di amministratore può visualizzare la configurazione dei repository federati.
Sistema operativo locale

[z/OS]Specifica questa impostazione se vuoi che sia configurato Resource Access Control Facility ( RACF® ) o un server di sicurezza compatibile con System Authorization Facility (SAF) utilizzato come registro utente del server delle applicazioni.

[AIX Solaris HP-UX Linux Windows][IBM i]Non è possibile utilizzare localOS in più nodi o durante l'esecuzione come non root su una piattaforma UNIX.

[AIX Solaris HP-UX Linux Windows]Il registro del sistema operativo locale è valido solo quando si utilizza un controller di dominio o quando la cella WebSphere Application Server Network Deployment si trova su una singola macchina. Nel caso successivo, non è possibile distribuire più nodi in una cella su più macchine poiché questa configurazione, utilizzando il registro utenti del SO locale, non è valida.

Registro LDAP autonomo

Specificare questa opzione per utilizzare le impostazioni del registro LDAP autonomo quando utenti e gruppi risiedono in una directory LDAP esterna. Quando la sicurezza è abilitata e una di queste proprietà cambia, andare alla pagina Sicurezza> Sicurezza globale e fare clic su Applica o OK per convalidare le modifiche.

Nota: poiché sono supportati più server LDAP, questa impostazione non implica un registro LDAP.
Registro personalizzato autonomo
Specificare questa impostazione per implementare il proprio registro personalizzato autonomo che implementa com.ibm.websphere.security.UserRegistry UserRegistry. Quando la sicurezza è abilitata e una qualsiasi di queste proprietà cambia, andare alla pagina Sicurezza globale e fare clic su Applica o OK per convalidare le modifiche.
Informazioni Valore
Predefinito: Disabilitato

Configura...

Selezionare per configurare le impostazioni di sicurezza globale.

Sicurezza Web e SIP

In Autenticazione, espandere la sicurezza Web e SIP per visualizzare i collegamenti a:

  • Impostazioni generali
  • SSO (Single Sign-On)
  • Autenticazione Web SPNEGO
  • Associazione trust

Impostazioni generali

Selezionare per specificare le impostazioni per l'autenticazione Web.

SSO (Single Sign-On)

Selezionare per specificare i valori di configurazione per SSO (single sign - on).

Con il supporto SSO, gli utenti web possono autenticarsi una sola volta quando accedono a entrambe le risorse di WebSphere Application Server, come HTML, file JavaServer Pages (JSP), servlet, enterprise beans e risorse Lotus Domino.

Autenticazione Web SPNEGO

SPNEGO (Simple and Protected GSS - API Negotiation) consente ai client Web e al server di negoziare il protocollo di autenticazione Web utilizzato per consentire le comunicazioni.

Associazione trust

Selezionare per specificare le impostazioni per l'associazione trust. L'associazione trust viene utilizzata per collegare i server proxy inversi ai server delle applicazioni.

È possibile utilizzare le impostazioni di sicurezza globale o personalizzarle per un dominio.

Nota: l'utilizzo di TAI (trust association interceptor) per l'autenticazione SPNEGO è ora obsoleto. Le pagine di autenticazione Web SPNEGO ora forniscono un modo molto più semplice per configurare SPNEGO.

Sicurezza RMI/IIOP

In Autenticazione, espandere la sicurezza RMI/IIOP per visualizzare i collegamenti a:

  • Comunicazioni in entrata CSIv2
  • Comunicazioni in uscita CSIv2

Comunicazioni in entrata CSIv2

Selezionare per specificare le impostazioni di autenticazione per le richieste ricevute e le impostazioni di trasporto per connessioni accettate da questo server utilizzando il protocollo di autenticazione CSI (Common Secure Interoperability) OMG (Object Management Group).

Le funzioni di autenticazione includono tre livelli di autenticazione che è possibile utilizzare contemporaneamente:
  • Livello attributoCSIv2. Il livello attributo potrebbe contenere un token di identità, che è un'identità da un server upstream già autenticato. Il livello di identità ha la priorità più alta, seguito dal livello di messaggio e quindi dal livello di trasporto. Se un client invia tutti e tre, viene utilizzato solo il livello di identità. L'unico modo per utilizzare il certificato client SSL come identità è se si tratta delle uniche informazioni presentate durante la richiesta. Il client prende lo IOR (Interoperable Object Reference) dallo spazio dei nomi e legge i valori dal componente con tag per determinare di cosa ha bisogno il server per la sicurezza.
  • Livello di trasportoCSIv2. Il livello di trasporto, che è il livello più basso, potrebbe contenere un certificato client SSL (Secure Sockets Layer) come identità.
  • [AIX Solaris HP-UX Linux Windows][IBM i]CSIv2 livello messaggio. Il livello del messaggio potrebbe contenere un ID utente e una password o un token autenticato con una scadenza.

Comunicazioni in uscita CSIv2

Selezionare per specificare le impostazioni di autenticazione per le richieste inviate e le impostazioni di trasporto per le connessioni avviate dal server mediante il protocollo di autenticazione CSI (Common Secure Interoperability) OMG (Object Management Group).

Le funzioni di autenticazione includono tre livelli di autenticazione che è possibile utilizzare contemporaneamente:
  • Livello attributoCSIv2. Il livello attributo potrebbe contenere un token di identità, che è un'identità da un server upstream già autenticato. Il livello di identità ha la priorità più alta, seguito dal livello di messaggio e quindi dal livello di trasporto. Se un client invia tutti e tre, viene utilizzato solo il livello di identità. L'unico modo per utilizzare il certificato client SSL come identità è se si tratta delle uniche informazioni presentate durante la richiesta. Il client prende lo IOR (Interoperable Object Reference) dallo spazio dei nomi e legge i valori dal componente con tag per determinare di cosa ha bisogno il server per la sicurezza.
  • Livello di trasportoCSIv2. Il livello di trasporto, che è il livello più basso, potrebbe contenere un certificato client SSL (Secure Sockets Layer) come identità.
  • [AIX Solaris HP-UX Linux Windows][IBM i]CSIv2 livello messaggio. Il livello del messaggio potrebbe contenere un ID utente e una password o un token autenticato con una scadenza.

JAAS (Java Authentication and Authorization Service)

In Autenticazione, espandere il servizio di autenticazione e autorizzazione Java per visualizzare i collegamenti a:

  • Login delle applicazioni
  • Login di sistema
  • Dati di autenticazione J2C

Login delle applicazioni

Selezionare questa opzione per definire le configurazioni di login utilizzate da JAAS.

Non rimuovere il ClientContainer, DefaultPrincipalMapping, e le configurazioni di accesso WSLogin perché altre applicazioni potrebbero utilizzarle. Se queste configurazioni vengono rimosse, altre applicazioni potrebbero avere esito negativo.

Login di sistema

Selezionare per definire le configurazioni di login JAAS utilizzate dalle risorse di sistema, incluso il meccanismo di autenticazione, l'associazione principal e l'associazione credenziali.

Dati di autenticazione J2C

Selezionare questa opzione per specificare le impostazioni per i dati di autenticazione JAAS (Java Authentication and Authorization Service) (JAAS) Java 2 Connector (J2C).

È possibile utilizzare le impostazioni di sicurezza globale o personalizzarle per un dominio.

LTPA

Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server a un altro in maniera sicura.

La codifica delle informazioni di autenticazione scambiate tra i server implica il meccanismo LTPA (Lightweight Third-Party Authentication).

Kerberos e LTPA

Selezionare per codificare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server a un altro in maniera sicura.

La codifica delle informazioni di autenticazione che vengono scambiate tra server comprende il meccanismo Kerberos.
Nota: Kerberos deve essere configurato prima di poter selezionare questa opzione.

Configurazione Kerberos

Selezionare per crittografare le informazioni di autenticazione in modo che il server delle applicazioni possa inviare i dati da un server ad un altro in modo sicuro.

La codifica delle informazioni di autenticazione scambiate tra i server coinvolge KRB5 del meccanismo LTPA.

Impostazioni cache di autenticazione

Selezionare per impostare le impostazioni della cache di autenticazione.

Abilita JASPI (Java Authentication SPI)

Selezionare per abilitare l'utilizzo dell'autenticazione JASPI (Java Authentication SPI).

È quindi possibile fare clic su Provider per creare o modificare un provider di autenticazione JASPI e i moduli di autenticazione associati nella configurazione della sicurezza globale.

Utilizza i nomi utente qualificati del realm

Specifica quali nomi utente restituiti dai metodi, ad esempio dal metodo getUserPrincipal() verranno qualificati con il realm di sicurezza in cui risiedono.

Ad esempio,
  • Se Utilizzare nomi utente qualificati per il realm È non controllato(per impostazione predefinita), quindi getUserPrincipal() ritornawasadmin .
  • Se Utilizzare nomi utente qualificati per il realm È controllato, Poi getUserPrincipal() ritornadefaultWIMFileBasedRealm/wsadmin .

Domini di sicurezza

Utilizzare il link Dominio di sicurezza per configurare ulteriori configurazioni di sicurezza per le applicazioni utente.

Ad esempio, se si desidera utilizzare un registro utente diverso per una serie di applicazioni utente rispetto a quello utilizzato a livello globale, è possibile creare una configurazione di sicurezza con tale registro utente e associarla a tale serie di applicazioni. Queste configurazioni di sicurezza aggiuntive possono essere associate a vari ambiti (cella, cluster / server, SIBus). Una volta che le configurazioni di sicurezza sono state associate ad un ambito, tutte le applicazioni utente in tale ambito utilizzano questa configurazione di sicurezza.

Per ciascun attributo di sicurezza, è possibile utilizzare le impostazioni di sicurezza globale o personalizzare le impostazioni per il dominio.

Provider di autorizzazioni esterni

Selezionare per specificare se utilizzare la configurazione di autorizzazione predefinita o un provider di autorizzazione esterno.

i provider esterni devono essere basati sulla specifica JACC (Java Authorization Contract for Containers) per gestire l'autorizzazione Java Platform, Enterprise Edition (Java EE). Non modificare le impostazioni nelle pagine del fornitore di autorizzazione a meno che non sia stato configurato un fornitore di sicurezza esterno come fornitore di autorizzazione JACC.

Proprietà personalizzate

Selezionare questa opzione per specificare le coppie nome - valore dei dati, dove il nome è una chiave proprietà e il valore è una stringa.