存档

‘安全’ 分类的存档

WebSphere为应用程序设置访问认证

2009年11月24日 hashei 没有评论

《WAS启用IHS的SSL》一文中,我给出了两个PDF,详细描述了如何在IBM Http Server上启用SSL,为用户提供安全的传输通道。但有些应用不仅要实现加密传输,还需要认证功能,比如使用数字证书,或者实体的USB Key。本文就是讲述在这种环境下如何配置,为单独的WAS服务器,没有结合IHS。参考文档《IBM WebSphere Application Server V6.1 Security Handbook》(sg246316)

 

步骤一:配置“密钥库和证书”

注意:配置前请先将密钥文件放置在对应profile的etc目录下

websphere ssl key management
在管理控制台的“安全性”——“SSL证书和密钥管理”里,点击最右边的“密钥库和证书”。

会看到已经有三个默认的密钥库存在,点击新建:

阅读全文…

分类: Websphere系列, 安全 标签: , ,

配置WebSphere使用LDAP实现安全性

2009年6月13日 hashei 没有评论

上文中所介绍的启用安全性的方法可以使用在简单的、非分布式的和独立应用服务器类型的运行时环境中,但是如果面对企业应用中如下的情况: 需要同其他使用 LDAP 的应用程序的互操作、需要集成原有的ACL来集中管理……这时候就要配置原有的LDAP服务器作为WebSphere安全性的认证方式(Authentication)。

要达成的任务:本例是在建立profile过程中就启用了管理控制台安全性,用户名和密码都为wasadmin,现在添加LDAP作为认证方式的补充。

一个典型的拓扑环境如下图:

websphere with ldap

操作过程

在“安全性”中点击“安全管理、应用程序和基础结构”,在用户帐户存储库中选用“联合存储库”,点击“设置为当前”。

点击配置,在“域中的存储库”里点击“将基本条目添加至域”,点击“添加存储库”

“存储库标识”填写便于记忆和管理的名字,这里写成“LDAP”;“目录类型”选择为“定制”,主机名填写LDAP服务器的主机名或IP地址,端口默认389;故障转移主机视实际情况填写。点击应用。

此时“组属性定义”由灰变可选,点击之。在“组成员属性名称”里填写“guid”,点击保存配置。

此时进入到“存储库应用”页面,刚才添加到存储库已经出现,在“用于在域中唯一标识这组条目的基本条目的专有名称”中输入刚才设置的存储库标识“LDAP”。此存储库中基本条目的专有名称则是LDAP域名的名称,例如“dc=ibm,dc=com”,点击应用。

在安全性首页面点击应用,勾选管理安全性,去掉应用程序安全性和Java 2安全性,点击应用,保存配置。

重启应用服务器,此时在“用户和组”的“管理用户”中,可以搜索到LDAP服务器中的用户。接下来你可以在管理用户角色中为某些用户分配was管理员、操作员、配置员、监视员等角色,或者为应用程序组件启用认证机制,这样访问应用时需要输入LDAP中的用户名密码。

分类: Websphere系列, 安全 标签: , ,

安全第一-WebSphere启用全局安全性

2009年6月11日 hashei 3 条评论

记得小时候有一次出去春游,带队的老师一直喜欢唠叨《方世玉》里李国邦的“安全第一”,那时候不怎么看得起这个懦弱胆小、明哲保身的胖男人,“安全第一”的口头禅也成了我调侃的对象。但是如今回想起他为信守承诺挺身而出并付出生命的镜头,却觉得他是电影里最贴近我们的普通人。

跑题了那么多,为的是说明WebSphere中启用管理安全性的必要性——否则谁都可以进入你的控制台修改配置,就算开发阶段没有安全要求,但是WebSphere没有Weblogic的那种锁定模式,所以当两个人同时修改配置并保存时,往往会发生操作丢失和冲突的问题。所以接下来介绍针对控制台的安全性设置,当然最直接的就是在安装profile的时候就启用管理安全性。

在管理控制台-安全中启用“全局安全性”,并把“应用程序安全性”、“执行Java 2安全性”选项前的勾去掉——我们今天只考虑控制台的安全性。

接下来对于“用户注册表”的选择,有三种方法:

最简单的——配置本地操作系统用户

    1. 单击安全性 > 全局安全性
    2. 在“用户注册表”下,单击本地操作系统
    3. 服务器用户标识字段中输入有效用户名。
    4. 服务器用户密码字段中输入用户密码。
    5. 可选: 选中授权时忽略大小写选项以使 WebSphere Application Server 在您使用缺省授权时能够执行不区分大小写的授权检查。
    6. 单击确定

这里的用户标识和密码,是指操作系统的用户和密码。就是说Windows环境下,你需要先在计算机管理的“本地用户和组”里设置一个帐号,类Unix环境需要先user add一个帐号并设置密码。优点是简单明了,缺点则是引入了另一层不安全——你的系统管理员帐号公开出来了,原因见引用。虽说一般都是使用WebSphere的安装运行帐号作为这里所设置的帐号(又有一个问题,如果是域环境中搭建Windows故障转移集群,那么这个帐号还必须是域管理员帐号),WebSphere管理员原本就知道这个帐号的,但往往开发人员也需要知道控制台的登录密码进行应用发布,这就造成了权限控制的不便。而且有些项目的安全策略需要定期修改系统密码,那更会造成种种不便。所以更常用的,是第二种“用户注册表”今天想了想,用的最多的其实是“联合存储库”,WAS建立Profiles启用安全性默认就是用这种模式

在非 admin 用户(Windows 平台)或非 root 用户(Unix 平台)的环境中,如何为 WAS 设置安全特性?

答:在非admin用户(Windows平台)/非root用户(Unix平台)环境中运行WAS时,在全局安全(global security)特性被启用的前提下,用户的注册表(registry)必须是LDAP或一个特定的注册表(自定义注册表)。

如果想使用本地操作系统的注册表,运行WAS的用户必须有管理员/root用户的权限来调用本地系统的认证或收集用户/组信息的API。

阅读全文…

分类: Websphere系列, 安全 标签: ,