Impostazioni di sicurezza globaleUtilizzare questa pagina per configurare la sicurezza. Quando si abilita la sicurezza, le impostazioni di sicurezza vengono attivate a livello globale. Quando viene abilitata la sicurezza, le prestazioni di WebSphere Application Server aumentano dal 10 al 20%. Tuttavia, quando non è necessario, disabilitare la sicurezza.
Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Sicurezza globale.
Se si sta configurando la sicurezza per la prima volta, completare le fasi presenti in "Configurazione sicurezza globale", per evitare eventuali problemi. Una volta configurata la sicurezza, convalidare qualsiasi modifica apportata ai pannelli del registro o del meccanismo di autenticazione. Fare clic su Applica per convalidare le impostazioni del registro utenti. Viene effettuato un tentativo di autenticare l'ID server sul registro utenti configurato. La convalida delle impostazioni del registro utenti, dopo aver abilitato la sicurezza globale, può evitare dei problemi quando si riavvia il server per la prima volta.
Scheda Configurazione
Questo indicatore viene comunemente definito indicatore di sicurezza globale nelle informazioni su WebSphere Application Server. Se viene abilitata la sicurezza, impostare la configurazione del meccanismo di autenticazione e specificare un ID utente valido e la password nella configurazione del registro utenti valido.
| Tipo dati: | Valore booleano |
| Predefinito: | Disabilita |
Se Java 2 Security è attivata e se un'applicazione richiede più autorizzazioni di Java 2 Security di quelle concesse nella politica predefinita, l'applicazione potrebbe non funzionare correttamente fino a quando non vengono concesse tali autorizzazioni nel file app.policy o was.policy dell'applicazione. Le eccezioni AccessControl non sono concesse dalle applicazioni che non dispongono di tutte le autorizzazioni necessarie. Consultare InfoCenter e rivedere le sezioni Java 2 Security e Politica dinamica nel caso non si abbia molta dimestichezza con Java 2 Security.
Se il server non si riavvia dopo aver abilitato la sicurezza globale, è possibile disabilitare tale sicurezza. Andare alla directory $<root_installazione>\bin ed eseguire il comando wsadmin -conntype NONE. Sul prompt wsadmin>, immettere securityoff, quindi exit per ritornare al prompt dei comandi. Riavviare il server con la sicurezza disabilitata per verificare eventuali impostazioni non corrette nella console di gestione.
| Tipo dati: | Valore booleano |
| Predefinito: | Disabilitato |
| Intervallo: | Abilitato o disabilitato |
| Tipo dati: | Valore booleano |
| Predefinito: | Disabilitato |
| Intervallo: | Abilita o disabilita |
![[5.0 only]](v50x.gif)
Quando si specifica Utilizza i nomi utente qualificati del dominio
dal pannello di configurazione Sicurezza > Sicurezza globale, la chiamata di runtime a
getCallerPrincipal() da un bean enterprise restituisce il nome completo preceduto dal dominio
specificato due volte. Ad esempio, il formato restituito sarà realm/realm/user.
Quando si effettuano chiamate API, è possibile eliminare il primo dominio dal valore restituito.
L'API servlet getUserPrincipal() è correttamente operativa.
Se viene abilitata la sicurezza di WebSphere Application Server, il timeout di memorizzazione nella cache di sicurezza può influire sulle prestazioni. L'impostazione di timeout specifica la frequenza di aggiornamento delle cache relative alla sicurezza. Nella cache vengono memorizzate le informazioni di sicurezza relative ai bean, alle autorizzazioni e alle credenziali. Quando il timeout della cache scade, tutte le informazioni memorizzate nella cache non sono più valide. Le successive richieste di informazioni comportano una ricerca nel database. Talvolta, l'acquisizione delle informazioni richiede la chiamata ad una un'autenticazione nativa o collegata a LDAP (Lightweight Directory Access Protocol). Entrambe le chiamate rappresentano operazioni che rallentano notevolmente le prestazioni. Determinare il trade-off migliore per l'applicazione, facendo ricorso ai modelli di utilizzo e prendendo in considerazione i requisiti di sicurezza del sito.
In una verifica delle prestazioni di 20 minuti, l'impostazione del timeout della cache in modo tale che non si verifichi un timeout produce un aumento delle prestazioni del 40%.
| Tipo dati: | Numero intero |
| Unità: | Secondi |
| Predefinito: | 600 |
| Intervallo: | Superiore a 30 secondi |
Il prodotto WebSphere fornisce il supporto per la gestione dei file contenenti le politiche. In questo prodotto è presente un numero di file contenenti le politiche, alcune di queste sono statiche, altre dinamiche. Le politiche dinamiche rappresentano un modello di autorizzazioni per un tipo particolare di risorsa. Nessun code base definito o relativo viene utilizzato nel modello delle politiche dinamiche. Il code base reale viene creato in modo dinamico dai dati di configurazione e di run-time. Il file filter.policy contiene un elenco di autorizzazioni che le applicazioni non dovrebbero avere in base alla specifica J2EE 1.3. Per ulteriori informazioni sulle autorizzazioni, consultare la sezione Java 2 Security Policy Management in InfoCenter.
| Tipo dati: | Valore booleano |
| Predefinito: | Disabilitato |
| Intervallo: | Abilita o disabilita |
Un protocollo OMG (Object Management Group) definito CSIv2 (Common Secure Interoperability Version 2) supporta l'aumentata interoperabilità del fornitore e ulteriori funzioni. Se tutti i server, presenti nel dominio di sicurezza, sono della Versione 5, è meglio indicare CSI come protocollo. Se alcuni server sono server3.x o 4.x, specificare CSI e SAS.
| Tipo dati: | Stringa |
| Predefinito: | ENTRAMBI |
| Intervallo: | CSI e SAS, CSI |
WebSphere Application Server, Version 5 supporta i seguenti meccanismi di autenticazione: SWAM (Simple WebSphere Authentication Mechanism) e LTAP (Lightweight Third Party Authentication).
| Tipo dati: | Stringa |
| Predefinito: | SWAM (WebSphere Application Server) |
| Intervallo: | SWAM, LTPA |
È possibile configurare le impostazioni per uno dei seguenti registri utenti:
| Tipo dati: | Stringa |
| Predefinito: | OS locale |
| Intervallo: | OS, LDAP, Custom locali |
![[Fix Pack 5.0.2 e successive]](v502.gif)
Quando viene abilitato Utilizza FIPS, l'implementazione LTPA (Lightweight Third Party Authentication) utilizza IBMJCEFIPS. IBMJCEFIPS supporta l'algoritmo di cifratura approvato da FIPS (Federal Information Processing Standard) per DES, Triple DES e AES. Sebbene le chiavi LTPA siano compatibili con le precedenti release di WebSphere Application Server, il token LTAP non è compatibile con le release precedenti.
WebSphere Application Server fornisce un provider JSSE (Java Secure Socket Extension) approvato da FIPS, denominato IBMJSSEFIPS. Un JSSE approvato da FIPS richiede il protocollo TLS (Transport Layer Security) poiché non è compatibile con il protocollo SSL (Secure Sockets Layer). Se si seleziona la casella di controllo Utilizza FIPS prima di specificare un provider JSSE approvato da FIPS e un protocollo TLS, viene visualizzato il seguente messaggio di errore nella parte superiore del pannelloSicurezza globale:
La politica di sicurezza è impostata in modo che utilizzi solo gli algoritmi crittografici approvati da FIPS. Tuttavia, almeno una configurazione SSL potrebbe non utilizzare un provider JSSE approvato da FFIPS. Gli algoritmi crittografici approvati da FIPS non possono essere utilizzati in questi casi.Per risolvere questo problema, configurare il provider JSSE e il protocollo di sicurezza sul pannello Repertori di configurazione SSL, completando una delle seguenti attività: