启用安全性
以下内容提供了有关在创建 WebSphere® Application Sever 概要文件期间未启用安全性时如何配置安全性的信息。
准备工作
在安装 WebSphere Application Server时,建议您在启用安全性的情况下进行安装。 根据设计,此选项确保正确配置所有设置。 通过启用安全性防止未经授权的用户访问您的服务器,从而可以将应用程序隔离并要求对应用程序用户进行认证。
从基础结构立场理解安全性是很有帮助的,这样您就可以了解不同认证机制、用户注册表和认证协议等等的优点。 在配置安全性时,需要选择正确的安全性组件以满足需求。 下列部分有助于您进行这些决策。
了解安全性组件后,可以继续在 WebSphere Application Server中配置安全性。
![[z/OS]](../images/ngzos.svg)
注意: 启用安全性需要一些安全性定制任务。 它们的任务需要更新安全服务器,例如 Resource Access Control Facility (RACF®)。 您可能需要在此过程中包含安全管理员。过程
- 配置用户帐户存储库。有关更多信息,请参阅 选择注册表或存储库。 在“全局安全性”面板上,可以配置用户帐户存储库,例如,联合存储库、本地操作系统、独立轻量级目录访问协议 (LDAP) 注册表以及独立定制注册表。注: 您可以选择指定用于互操作性的服务器标识和密码,或者启用 WebSphere Application Server 安装以自动生成内部服务器标识。 有关自动生成服务器标识的更多信息,请参阅 本地操作系统设置。
所有用户注册表或存储库的其中一项公共详细信息是主管理用户名。 此标识是所选存储库的成员,但在 WebSphere Application Server中也具有特殊特权。 与管理角色标识相关联的特权与此标识的特权是相同的。 主管理用户名能够访问所有受保护的管理方法。
![[Windows]](../images/ngwin.svg)
此标识不能与系统的机器名相同,这是因为,在查询同名的用户时,存储库有时会返回特定于机器的信息。在独立 LDAP 注册表中,验证主管理用户名是存储库的成员,而不仅仅是 LDAP 管理角色标识。 条目必须可搜索。
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
![[IBM i]](../images/ngibmi.svg)
主管理用户名 不 运行 WebSphere Application Server 进程。 相反,进程标识会运行 WebSphere Application Server 进程。 进程标识 由进程启动方式确定。 例如,如果您使用命令行启动进程,那么登录系统的用户标识是进程标识。 如果作为服务运行,那么登录到系统的用户标识是运行服务的用户标识。 如果选择本地操作系统注册表,进程标识就需要拥有调用操作系统 API 所需的特权。 进程标识必须拥有下列特定于平台的特权:- 充当操作系统的一部分 特权
![[AIX HP-UX Solaris]](../images/unix.gif)
Root 特权
在缺省配置中, WebSphere Application Server 进程在 QEJBSVR 系统提供的用户概要文件下运行。在 WebSphere Application Server for z/OS®上使用独立本地操作系统注册表时,不会使用管理控制台设置服务器的用户标识,而是通过 z/OS 中的 STARTED 类进行设置 操作系统。 - 可选: 您可以配置外部授权提供程序并将其更改为 WebSphere 授权,系统授权工具 (SAF) 授权或外部 JACC 提供程序。 有关更多信息,请参阅 z/OS 系统授权工具授权 和 启用外部 JACC 提供程序。 要更改授权提供程序,请单击安全性 > 全局安全性。
- 配置认证机制。
配置轻量级第三方认证 (LTPA) 或 Kerberos,这是此 WebSphere Application Server发行版在认证机制和到期下的新增功能。 LTPA 凭证可以转发到其他机器。 为了确保安全,凭证会到期;但是,您可以在控制台上配置截止日期。 LTPA 凭证使浏览器能够访问不同的产品服务器,这意味着您不必进行多次认证。
注: 您可以将简单 WebSphere 认证机制 (SWAM) 配置为认证机制。 但是,在 WebSphere Application Server V 9.0 中不推荐使用 SWAM ,将在将来的发行版中除去。 SWAM 凭证不能转发到其他机器,而且由于这个原因,所以不会到期。如果您需要单点登录 (SSO) 支持,这使浏览器能够访问不同的产品服务器而不必进行多次认证,请参阅 实现单点登录以最小化 Web 用户认证。 对于基于表单的登录,当使用 LTPA 时您必须配置 SSO。
- 配置认证协议以满足来自 Java™ 客户机的特殊安全需求 (如果需要)。您可以通过 "全局安全性" 面板上的链接 配置公共安全互操作性版本 2 (CSIv2) 。 提供了安全性认证服务 (SAS) 协议以向后兼容先前产品发行版,但建议不要使用此服务。 如果您的环境包含使用先前版本的 WebSphere Application Server 并支持 SAS 协议的服务器,那么指向 SAS 协议面板的链接将显示在 "全局安全性" 面板上。您可以通过 "全局安全性" 面板上的链接 配置公共安全互操作性版本 2 (CSIv2) 。 提供 z/OS 安全认证服务 (z/SAS) 协议是为了向后兼容先前的产品发行版,但不推荐使用。 如果您的环境包含使用先前版本的 WebSphere Application Server 并支持 SAS 协议的服务器,那么指向 z/SAS 协议面板的链接将显示在 "全局安全性" 面板上。重要信息: z/SAS 仅在 V 6.0.x 和已在 V 6.1 单元中联合的先前版本服务器之间受支持。注意: IBM® 不再提供或支持安全认证服务 (SAS) IIOP 安全协议。 建议您使用公共安全互操作性 V2 (CSIv2) 协议。注意: IBM 不再提供或支持 z/OS 安全认证服务 (z/SAS) IIOP 安全协议。 建议您使用公共安全互操作性 V2 (CSIv2) 协议。 CSIv2 将与先前版本的 WebSphere Application Server (版本 4 客户机除外) 进行互操作。
- 缺省情况下已预先配置安全套接字层 (SSL) ,除非您具有定制 SSL 需求,否则不需要进行更改。您可以修改或 创建新的 SSL 配置。 此操作保护通过因特网发送的消息的完整性。 该产品提供了一个集中位置,用于配置使用 SSL 的各种 WebSphere Application Server 功能部件可以使用的 SSL 配置,包括 LDAP 注册表, Web 容器和 RMI/IIOP 认证协议 (CSIv2)。 在修改配置或创建新配置后,请在 SSL 配置面板上指定该配置。 要转至 SSL 配置面板,请完成以下步骤:
- 单击安全性 > SSL 证书和密钥管理。
- 在“配置设置”下,单击管理端点安全配置 > configuration_name。
- 在每个作用域(例如节点、集群或服务器)的“相关项”下,选择其中一个可以将作用域限定为所访问资源的配置链接。
您可编辑 DefaultSSLConfig 文件,或使用新的别名创建一个新的 SSL 配置。 如果您为新密钥库文件和信任库文件创建新的别名,请更改每一个引用了 DefaultSSLConfig SSL 配置别名的位置。 以下列表指定在 WebSphere Application Server 配置中使用 SSL 配置指令表别名的位置。
对于使用新的网络输入/输出通道链 (包括 HTTP 和 Java 消息服务 (JMS)) 的任何传输,可以修改每个服务器的以下位置中的 SSL 配置指令表别名:- 单击服务器 > 应用程序服务器 > server_name。 在“通信”下面,单击端口。 找到已启用 SSL 的传输链,然后单击查看关联传输。 单击 transport_channel_name。 在“传输通道”下,单击 SSL 入站通道 (SSL_2)。
- 单击系统管理 > Deployment Manager。 在“其他属性”下,单击端口。 找到已启用 SSL 的传输链,然后单击查看关联传输。 单击 transport_channel_name。 在“传输通道”下,单击 SSL 入站通道 (SSL_2)。
- 单击系统管理 > Node Agent > node_agent_name。 在“其他属性”下,单击端口。 找到已启用 SSL 的传输链,然后单击查看关联传输。 单击 transport_channel_name。 在“传输通道”下,单击 SSL 入站通道 (SSL_2)。
对于对象请求代理 (ORB) SSL 传输,您可以在下列位置修改 SSL 配置指令表别名。 这些配置适用于 WebSphere Application Server 的服务器级别和 WebSphere Application Server Network Deployment的单元级别。- 单击 安全性> 全局安全性。 在“RMI/IIOP 安全性”中,单击 CSIv2 入站通信。
- 单击 安全性> 全局安全性。 在“RMI/IIOP 安全性”下,单击 CSIv2 出站通信。
对于轻量级目录访问协议 (LDAP) SSL 传输,可通过单击安全性 > 全局安全性来修改 SSL 配置指令表别名。 在“用户帐户存储库”下,单击可用的领域定义下拉列表,然后选择独立 LDAP 注册表。
- 设置授权。 如果您选择在定制期间使用 z/OS 安全性产品,那么缺省情况下,授权设置为使用系统授权工具 (SAF) 授权 (EJBROLE 概要文件)。 否则,缺省值为 WebSphere Application Server 授权。(可选) 您可以设置 Java Authorization Contract for Containers (JACC) 外部授权。 请参阅 使用 SAF 授权来控制对命名角色的访问的特殊注意事项 或 授权提供程序。
- 验证供 WebSphere Application Server 使用的安全套接字层 (SSL) 指令表。 由 WebSphere z/OS Profile Management Tool 或 zpmt 命令生成的样本定制作业将生成样本作业,以创建在 RACF 是安全服务器时可用的 SSL 密钥环。 这些作业使用此认证中心签署的一组服务器证书为您的安装创建唯一的 RACF 认证中心证书。 应用程序服务器控制器启动的任务标识有一个包含这些证书的
SAF 密钥环。 同样,在 WebSphere Application Server Network Deployment 环境中,将创建由 Deployment Manager 用户标识和 Node Agent 用户标识拥有的 RACF 密钥环。
一个RACF密钥环的唯一标识来自于剧目中的密钥环名称和服务器控制器进程的 MVS 用户 ID。 如果不同的 WebSphere Application Server 控制器进程具有唯一的 MVS 用户标识,那么必须确保生成 RACF 密钥环和专用密钥,即使它们共享相同的指令表也是如此。
存在两类可配置的 SSL 指令表:- 系统 SSL 指令表用于 HTTPS 和因特网 ORB 间协议 (IIOP) 通信,并且由本机传输使用。 如果要在启用安全性后使用管理控制台,那么必须为 HTTP 定义并选择系统 SSL 类型指令表。 必须定义一个系统 SSL 指令表并选择 IIOP 安全性是否需要或支持 SSL 传输,或者是否选择安全远程方法调用 (RMI) 连接器以用于管理请求。
- Java 安全套接字扩展 (JSSE) 指令表用于基于 Java 的 SSL 通信。
用户必须将系统 SSL 指令表配置为使用 HTTP 或 IIOP 协议,并且必须将 Java 管理扩展 (JMX) 连接器配置为使用 SSL。 如果选择 SOAP HTTP 连接器,那么必须为管理子系统选择 JSSE 指令表。 在 WebSphere Application Server Network Deployment 环境中,单击 系统管理> Deployment Manager> 管理服务> JMX 连接器> SOAP 连接器> 定制属性> sslConfig。
一组 SSL 指令表由 z/OS 安装对话框设置。 这些对话框配置为在生成 RACF 命令时引用 SAF 密钥环以及由定制过程填充的文件。表 1. SSL repertoires 设置 z/OS 安装对话框。 此表列出了由 z/OS 安装对话框设置的 SSL 指令表。
指令表名 类型 缺省使用 NodeDefaultSSLSettingsJSSE(仅适用于 Base)SOAP JMX 连接器、SOAP 客户机和 Web 容器 HTTP 传输的配置CellDefaultSSLSettingsJSSE(仅限网络部署)用于 SOAP JMX 连接器、SOAP 客户端、网络容器 HTTP 传输的配置DefaultIIOPSSLSSSL仅当启用了 DAEMON SSL 时使用如果对您的要求来说这些设置已足够,那么不需要其他操作。 如果要创建或修改这些设置,那么必须确保已创建它们所引用的密钥库文件。