全局安全性设置

使用此页面来配置管理和缺省应用程序安全策略。 此安全配置适用于所有管理功能的安全策略,并用作用户应用程序的缺省安全策略。 可以定义安全域来覆盖和定制用户应用程序的安全策略。

要查看此管理控制台页面,请单击 安全性 > 全局安全性

[AIX Solaris HP-UX Linux Windows][IBM i]安全性会对应用程序产生一些性能影响。 性能影响随应用程序工作负载特征的不同而有所变化。 您首先必须确定已经对应用程序启用了所需的安全性级别,然后测量安全性对应用程序性能的影响程度。

配置安全性后,请验证对用户注册表页面或认证机制页面所作的任何更改。 单击应用以验证用户注册表设置。 将尝试向已配置的用户注册表认证服务器标识或验证管理标识(如果使用了 internalServerID 的话)。 启用管理安全性后,通过验证用户注册表设置,可以避免第一次重新启动服务器时发生问题。

安全性配置向导

启动一个向导,该向导使您能够配置基本管理安全性设置和应用程序安全性设置。 此过程只允许授权用户执行管理任务和应用程序。

通过使用此向导,您可以配置应用程序安全性,资源或 Java™ 2 连接器 (J2C) 安全性以及用户注册表。 可以配置现有的注册表并启用管理安全性、应用程序安全性和资源安全性。

在应用使用安全性配置向导所作的更改时,缺省情况下将启用管理安全性。

安全性配置报告

启动一个用于收集和显示应用程序服务器的当前安全性设置的报告。 将收集有关核心安全性设置、管理用户和组、CORBA 命名角色和 Cookie 保护的信息。 当配置了多个安全域时,该报告将显示与每个域相关联的安全性配置。

目前,该报告有一项限制,既未显示应用程序级安全性信息。 并且,该报告也未显示有关 Java 消息服务 (JMS) 安全性、总线安全性或 Web Service 安全性的信息。

启用管理安全性

指定是否对此应用程序服务器域启用管理安全性。 管理安全性要求用户先进行认证,然后才能获取应用程序服务器的管理控制权。

有关更多信息,请参阅管理角色和管理认证的相关链接。

启用安全性时,请设置认证机制配置并指定所选注册表配置中的有效用户标识和密码(或者,当使用了 internalServerID 功能时,指定有效的管理标识)。

注: 用于标识管理环境的管理员的用户标识 (通常称为管理员标识) 与用于服务器到服务器通信的服务器标识之间存在差异。 在使用内部服务器标识功能时,不需要输入服务器标识和密码。 但是,您可以选择指定服务器标识和密码。 要指定服务器标识和密码,请完成下列步骤:
  1. 单击 安全性 > 全局安全性
  2. 在“用户帐户存储库”下,选择存储库,然后单击配置
  3. [AIX Solaris HP-UX Linux Windows][IBM i]在 "服务器用户身份" 部分中指定服务器标识和密码。

[z/OS]仅当用户注册表为 本地操作系统时,才能指定 z/OS 启动式任务 选项。

如果遇到问题(例如在安全域中启用安全性后服务器无法启动),请使该节点上的所有文件重新与单元中的文件同步。 要再同步文件,请从节点运行以下命令: syncNode -username your_userid -password your_password。 此命令将连接到 Deployment Manager 并对所有文件进行再同步。

[z/OS][IBM i]如果在启用管理安全性后服务器未重新启动,那么可以禁用安全性。 转至 app_server_root/bin 目录并运行 wsadmin -conntype NONE 命令。 在 wsadmin> 提示处,输入 securityoff,然后输入 exit 以返回命令提示符。 在禁用了安全性的情况下重新启动服务器,以通过管理控制台检查任何不正确的设置。

[z/OS]本地操作系统用户注册表用户: 选择 本地操作系统 作为活动用户注册表时,无需在用户注册表配置中提供密码。

信息
缺省值: 已启用

启用应用程序安全性

在环境中对应用程序启用安全性。 这种类型的安全性将提供应用程序隔离以及认证应用程序用户的需求。

WebSphere® Application Server的先前发行版中,当用户启用了全局安全性时,同时启用了管理安全性和应用程序安全性。 在 WebSphere Application Server Version 6.1中,先前的全局安全性概念拆分为管理安全性和应用程序安全性,您可以单独启用每个管理安全性和应用程序安全性。

由于此拆分, WebSphere Application Server 客户机必须知道是否在目标服务器上禁用了应用程序安全性。 缺省情况下将启用管理安全性。 缺省情况下将禁用应用程序安全性。 要启用应用程序安全性,必须启用管理安全性。 仅当启用了管理安全性时应用程序安全性才有效。

信息
缺省值: 已禁用

使用 Java 2 安全性来限制应用程序访问本地资源

指定是启用还是禁用 Java 2 安全许可权检查。 缺省情况下,不限制对本地资源的访问。 即使启用了应用程序安全性,也可以选择禁用 Java 2 安全性。

如果已启用使用 Java 2 安全性来限制应用程序对本地资源的访问选项,并且应用程序需要的 Java 2 安全许可权超出缺省策略的授权,那么只有在应用程序的 app.policy 文件或 was.policy 文件中授予必需的许可权后,应用程序才能正常运行。 应用程序生成 AccessControl 异常,这是由于他们没有所有必需的许可权。 有关 Java 2 安全性的更多信息,请参阅相关链接。

信息
缺省值: 已禁用

对应用程序授予定制许可权时发出警告

指定在应用程序部署和应用程序启动时,如果应用程序被授予任何定制许可权,安全性运行时就发出警告。 定制许可权是用户应用程序定义的许可权,而不是 Java API 许可权。 Java API 许可权是 java.*javax.* 包中的许可权。

应用程序服务器支持管理策略文件。 本产品提供了许多策略文件,其中有些是静态的,有些是动态的。 动态策略是特定类型资源的许可权模板。 在动态策略模板中,未定义代码库,也未使用相对代码库。 实际的代码库是根据配置和运行时数据动态创建的。 filter.policy 文件包含根据 J2EE 1.4 规范而不想让应用程序拥有的许可权列表。 有关许可权的更多信息,请参阅有关 Java 2 安全策略文件的相关链接。

要点: 如果不启用 使用 Java 2 安全性来限制应用程序对本地资源的访问 选项,那么无法启用此选项。
信息
缺省值: 已禁用

限制对资源认证数据的访问

启用此选项以限制应用程序对敏感的 Java 连接器体系结构 (JCA) 映射认证数据的访问。

当下列两种情况都成立时,请考虑启用此选项:
  • 已强制启用 Java 2 安全性。
  • 企业应用程序归档 (EAR) 文件中的 was.policy 文件已将 accessRuntimeClasses WebSphereRuntimePermission 许可权授予应用程序代码。 例如,当 was.policy 文件包含下面这一行时,表示已将该许可权授予应用程序代码:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

限制对资源认证数据的访问选项将细颗粒度的 Java 2 安全许可权检查添加到 WSPrincipalMappingLoginModule 实现的缺省主体映射中。 当启用了使用 Java 2 安全性来限制应用程序对本地资源的访问限制对资源认证数据的访问选项时,对于在进行 Java 认证和授权服务 (JAAS) 登录时直接使用 WSPrincipalMappingLoginModule 实现的 Java 2 Platform, Enterprise Edition (J2EE) 应用程序,必须将显式的许可权授予这些应用程序。

信息
缺省值: 已禁用

当前域定义

指定活动用户资源库的当前设置。

此字段是只读字段。

可用的域定义

指定可用的用户帐户存储库。

下拉列表中出现的选项包括:
  • 本地操作系统
  • 独立 LDAP 注册表
  • 独立定制注册表
[z/OS][AIX Solaris HP-UX Linux Windows]

设置为当前

在配置用户资源库后将其启用。

可以为下列其中一个用户资源库配置设置:
联合存储库
指定此设置以便在单一领域之下的多个存储库中管理概要文件。 领域可以由下列标识组成:
  • 包含在基于文件的系统内置存储库中的标识
  • 包含在一个或多个外部存储库中的标识
  • 既包含在基于文件的内置存储库中也包含在一个或多个外部存储库中的标识
注: 只有具有管理员特权的用户才能查看联合存储库配置。
本地操作系统

[z/OS]如果要将配置的 Resource Access Control Facility (RACF®) 或符合系统授权设施 (SAF) 的安全服务器用作应用程序服务器用户注册表,请指定此设置。

[AIX Solaris HP-UX Linux Windows][IBM i]不能在多节点中或在 UNIX 平台上以非 root 用户身份运行时使用 localOS 。

[AIX Solaris HP-UX Linux Windows]仅当您使用域控制器或 WebSphere Application Server Network Deployment 单元驻留在单台机器上时,本地操作系统注册表才有效。 在后一种情况中,不能将单元中的多个节点分布在多台机器上,在使用本地操作系统用户注册表时,这种配置是无效的。

独立 LDAP 注册表

当用户和组在外部 LDAP 目录中时,指定此设置以使用独立 LDAP 注册表设置。 启用安全性并且这些属性中的任何属性发生更改时,请转至 安全 > 全局安全性 页面,然后单击 应用好的 以验证这些更改。

注: 由于支持多个 LDAP 服务器,因此此设置并不意味着一个 LDAP 注册表。
独立定制注册表
指定此设置以实现您自己的独立定制注册表,该注册表需实现 com.ibm.websphere.security.UserRegistry 接口。 如果已启用安全性,在更改任何这些属性后,请转至“全局安全性”页面并单击应用确定以验证更改。
信息
缺省值: 已禁用

配置...

选择此项以配置全局安全性设置。

Web 和 SIP 安全性

在“认证”下,展开“Web 和 SIP 安全性”以查看与下列各项的链接:

  • 常规设置
  • 单点登录 (SSO)
  • SPNEGO Web 认证
  • 信任关联

常规设置

选择此项以指定 Web 认证的设置。

单点登录 (SSO)

选择此项以指定单点登录 (SSO) 的配置值。

有了 SSO 支持,网络用户在访问 "WebSphere Application Server资源(如 HTML、"JavaServer页面 (JSP) 文件、servlets、企业 bean)和 "Lotus Domino资源时,只需进行一次身份验证。

SPNEGO Web 认证

简单且受保护的 GSS-API 协商机制 (SPNEGO) 为 Web 客户机和服务器提供了一种方法来协商用于允许通信的 Web 认证协议。

信任关联

选择此项以指定信任关联的设置。 信任关联用于将逆向代理服务器连接到应用程序服务器。

您可以使用全局安全性设置或者定制某个域的设置。

注: 现在不推荐使用信任关联拦截器 (TAI) 进行 SPNEGO 认证。 现在,通过 SPNEGO Web 认证页面更容易配置 SPNEGO。

RMI/IIOP 安全性

在“认证”下,展开 RMI/IIOP 安全性以查看与下列各项的链接:

  • CSIv2 入站通信
  • CSIv2 出站通信

CSIv2 入站通信

选择此项以指定接收到的请求的认证设置和此服务器使用对象管理组 (OMG) 公共安全互操作性 (CSI) 认证协议接受的连接的传输设置。

认证功能部件包括您可以同时使用的三层认证:
  • CSIv2 属性层。 属性层可包含身份令牌,该身份令牌是已认证的上游服务器的标识。 属性层的优先级最高,消息层次之,传输层最低。 如果客户机发送所有三个层,那么只使用标识层。 如果请求期间提供的信息只有 SSL 客户机证书,才将此证书用作标识。 客户机从名称空间中检取可互操作的对象引用 (IOR),并且从加标记的组件读取值,以确定需要为安全性使用哪台服务器。
  • CSIv2 传输层。 传输层(这是最低的一层),可包含作为标识的安全套接字层 (SSL) 客户机证书。
  • [AIX Solaris HP-UX Linux Windows][IBM i]CSIv2 消息层。 消息层可包含用户标识和密码或者有截止日期的已认证令牌。

CSIv2 出站通信

选择此项以指定发送的请求的认证设置和此服务器使用对象管理组 (OMG) 公共安全互操作性 (CSI) 认证协议启动的连接的传输设置。

认证功能部件包括您可以同时使用的三层认证:
  • CSIv2 属性层。 属性层可包含身份令牌,该身份令牌是已认证的上游服务器的标识。 属性层的优先级最高,消息层次之,传输层最低。 如果客户机发送所有三个层,那么只使用标识层。 如果请求期间提供的信息只有 SSL 客户机证书,才将此证书用作标识。 客户机从名称空间中检取可互操作的对象引用 (IOR),并且从加标记的组件读取值,以确定需要为安全性使用哪台服务器。
  • CSIv2 传输层。 传输层(这是最低的一层),可包含作为标识的安全套接字层 (SSL) 客户机证书。
  • [AIX Solaris HP-UX Linux Windows][IBM i]CSIv2 消息层。 消息层可包含用户标识和密码或者有截止日期的已认证令牌。

Java 认证和授权服务

在“认证”下,展开 Java 认证和授权服务以查看与下列各项的链接:

  • 应用程序登录
  • 系统登录
  • J2C 认证数据

应用程序登录

选择此项以定义供 JAAS 使用的登录配置。

请不要移除 ClientContainer、DefaultPrincipalMapping 和 WSLogin 这些登录配置,因为其他应用程序可能在使用他们。 如果移除了这些配置,那么其他应用程序可能会失败。

系统登录

选择此项以定义供系统资源使用的 JAAS 登录配置,其中包括认证机制、主体映射和凭证映射。

J2C 认证数据

选择此项以指定 Java 认证和授权服务 (JAAS) Java 2 连接器 (J2C) 认证数据的设置。

您可以使用全局安全性设置或者定制某个域的设置。

LTPA

选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。

对于在服务器之间交换的认证信息进行加密涉及到轻量级第三方认证 (LTPA) 机制。

Kerberos 和 LTPA

选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。

在服务器之间交换的认证信息的加密涉及 Kerberos 机制。
注: 必须先配置 Kerberos ,然后才能选择此选项。

Kerberos 配置

选择此项以对认证信息进行加密,以便应用程序服务器可以安全地将数据从一台服务器发送到另一台服务器。

对于在服务器之间交换的认证信息进行加密涉及到 KRB5 的 LTPA 机制。

认证高速缓存设置

选择此项以设置认证高速缓存设置。

启用 Java 认证 SPI (JASPI)

选择此项以启用 Java 认证 SPI (JASPI) 认证。

然后可以单击提供程序,以在全局安全性配置中创建或编辑 JASPI 认证提供程序和相关联的认证模块。

使用域限定的用户名

指定方法(例如 getUserPrincipal() 方法)返回的用户名由它们所在的安全性域限定。

例如
  • 如果未选中 "使用域限定的用户名"(默认情况),则getUserPrincipal() 返回 "wasadmin
  • 如果选中"使用域限定的用户名",则getUserPrincipal() 返回 "defaultWIMFileBasedRealm/wsadmin

安全域

使用“安全域”链接来配置用户应用程序的其他安全性配置。

例如,如果您希望对一组用户应用程序使用的用户注册表与全局级别使用的用户注册表不同,那么可以创建具有该用户注册表的安全性配置,并使此配置与该组应用程序相关联。 这些附加的安全性配置可以与各种作用域(单元、集群/服务器和 SIBus)相关联。 一旦安全性配置与作用域相关联,该作用域中的所有用户应用程序都将使用此安全性配置

对于每个安全性属性,可以使用全局安全性设置或者定制此域的设置。

外部授权提供程序

选择此项以指定是使用缺省授权配置还是使用外部授权提供程序。

外部提供程序必须根据 Java Authorization Contract for Containers (JACC) 规范来处理 Java 2 Platform, Enterprise Edition (Java EE) 授权。 除非已将外部安全提供程序配置为 JACC 授权提供程序,否则请不要修改授权提供程序页面上的任何设置。