安全第一-WebSphere启用全局安全性
记得小时候有一次出去春游,带队的老师一直喜欢唠叨《方世玉》里李国邦的“安全第一”,那时候不怎么看得起这个懦弱胆小、明哲保身的胖男人,“安全第一”的口头禅也成了我调侃的对象。但是如今回想起他为信守承诺挺身而出并付出生命的镜头,却觉得他是电影里最贴近我们的普通人。
跑题了那么多,为的是说明WebSphere中启用管理安全性的必要性——否则谁都可以进入你的控制台修改配置,就算开发阶段没有安全要求,但是WebSphere没有Weblogic的那种锁定模式,所以当两个人同时修改配置并保存时,往往会发生操作丢失和冲突的问题。所以接下来介绍针对控制台的安全性设置,当然最直接的就是在安装profile的时候就启用管理安全性。
在管理控制台-安全中启用“全局安全性”,并把“应用程序安全性”、“执行Java 2安全性”选项前的勾去掉——我们今天只考虑控制台的安全性。
接下来对于“用户注册表”的选择,有三种方法:
最简单的——配置本地操作系统用户
-
- 单击安全性 > 全局安全性。
- 在“用户注册表”下,单击本地操作系统。
- 在服务器用户标识字段中输入有效用户名。
- 在服务器用户密码字段中输入用户密码。
- 可选: 选中授权时忽略大小写选项以使 WebSphere Application Server 在您使用缺省授权时能够执行不区分大小写的授权检查。
- 单击确定。
这里的用户标识和密码,是指操作系统的用户和密码。就是说Windows环境下,你需要先在计算机管理的“本地用户和组”里设置一个帐号,类Unix环境需要先user add一个帐号并设置密码。优点是简单明了,缺点则是引入了另一层不安全——你的系统管理员帐号公开出来了,原因见引用。虽说一般都是使用WebSphere的安装运行帐号作为这里所设置的帐号(又有一个问题,如果是域环境中搭建Windows故障转移集群,那么这个帐号还必须是域管理员帐号),WebSphere管理员原本就知道这个帐号的,但往往开发人员也需要知道控制台的登录密码进行应用发布,这就造成了权限控制的不便。而且有些项目的安全策略需要定期修改系统密码,那更会造成种种不便。所以更常用的,是第二种“用户注册表”今天想了想,用的最多的其实是“联合存储库”,WAS建立Profiles启用安全性默认就是用这种模式。
在非 admin 用户(Windows 平台)或非 root 用户(Unix 平台)的环境中,如何为 WAS 设置安全特性?
答:在非admin用户(Windows平台)/非root用户(Unix平台)环境中运行WAS时,在全局安全(global security)特性被启用的前提下,用户的注册表(registry)必须是LDAP或一个特定的注册表(自定义注册表)。
如果想使用本地操作系统的注册表,运行WAS的用户必须有管理员/root用户的权限来调用本地系统的认证或收集用户/组信息的API。
最及时的声音