全局安全性设置使用此页面配置安全性。当您启用安全性时,您正在全局级别上启用安全性设置。当禁用安全性时,WebSphere Application Server 性能增加 10%因此,考虑在不需要时禁用安全性。
要查看此管理控制台页面,单击安全性 > 全局安全性。
如果您是第一次配置安全性,那么请完成文档中“配置全局安全性”中的步骤来避免发生问题。一旦配置了安全性,确认对注册表或认证机制面板的所有更改。单击应用确认用户注册表设置。尝试对已配置的用户注册表进行服务器标识认证。在启用全局安全性之后确认用户注册表设置,可以在首次重新启动服务器时避免发生问题。
“配置”选项卡
此标志在 WebSphere Application Server 信息中通常指的是全局安全性标志。启用安全性时,设置认证机制配置并在所选的用户注册表配置中指定有效的用户标识和密码。
| 数据类型: | Boolean |
| 缺省: | 禁用 |
当启用了 Java 2 安全性并且如果应用程序需要更多然后在缺省策略中授予的 Java 2 安全性许可权,那么应用程序可能不能正确地运行,直到在应用程序的 app.policy 文件或 was.policy 文件中授予了必需的许可权为止。应用程序生成 AccessControl 异常,这是由于它们具有所有必需的许可权。查询信息中心和复查 Java2 安全性和动态策略部分,如果您不熟悉 Java 2 安全性的话。
如果在启用全局安全性后您的服务器不重新启动,那么您可以禁用安全性。转至 $<install_root>\bin 目录,并执行 wsadmin -conntype NONE 命令。在 wsadmin> 提示符下,输入 securityoff,然后输入 exit 返回到命令提示符。重新启动服务器,并禁用安全性,以通过管理控制台检查任何不正确的设置。
| 数据类型: | Boolean |
| 缺省: | 禁用的 |
| 范围: | 启用的或禁用的 |
| 数据类型: | Boolean |
| 缺省: | 禁用的 |
| 范围: | 启用或禁用 |
![[5.0 only]](v50x.gif)
当您从安全性 > 全局安全性面板指定使用域限定用户名时,从企业 bean 对 getCallerPrincipal() 的运行时调用返回限定名,附加域两次。例如,格式返回为 realm/realm/user。当进行 API 调用时,您可从返回的值剥去第一个域。servlet API getUserPrincipal() 正确工作。
如果启用 WebSphere Application Server 安全性,安全性高速缓存超时可影响性能。超时设置指定多久刷新与安全性相关的高速缓存一次。高速缓存与 bean、许可权和凭证相关的安全性信息。当高速缓存超时到期时,所有已高速缓存的信息变成无效。信息的后继请求导致数据库查找。有时,获取信息要求调用轻量级目录访问协议(LDAP)绑定或本机认证。两个调用对于性能都是相对花费较多的操作。通过查看站点的使用模式和安全性需要,确定应用程序的最好平衡。
在 20 分钟的性能测试中,设置高速缓存超时,以便超时不会发生,可改进性能 40%。
| 数据类型: | 整型 |
| 单位: | 秒 |
| 缺省: | 600 |
| 范围: | 大于 30 秒 |
WebSphere 产品提供策略文件管理支持。该产品中有许多策略文件,其中有些是静态的,有些是动态的。动态策略是特殊类型资源的许可权模板。 在动态策略模板中不使用定义的代码库或相对代码库。实际的代码库是从配置和运行时数据中动态创建的。filter.policy 文件包含根据 J2EE 1.3 规范应用程序不应该具有的许可权的列表。要获取更多有关许可权的信息,请参阅信息中心中的 Java 2 安全性策略管理章节。
| 数据类型: | Boolean |
| 缺省: | 禁用的 |
| 范围: | 启用或禁用 |
调用公共安全互操作性 V2(CSIv2)的对象管理组(OMG)支持增加的供应商互操作性和附加功能部件。如果安全性域中的所有服务器都是 V5 服务器,则指定 CSI 作为您的协议。如果有些服务器是 3.x 或 4.x 服务器,则指定 CSI 和 SAS。
| 数据类型: | String |
| 缺省: | BOTH |
| 范围: | CSI 和 SAS、CSI |
WebSphere Application Server V5 支持下列认证机制:简单 WebSphere 认证机制(SWAM)和轻量级第三方认证(LTPA)。
| 数据类型: | String |
| 缺省: | SWAM(WebSphere Application Server) |
| 范围: | SWAM、LTPA |
您可以为以下用户注册表的其中之一配置设置:
| 数据类型: | String |
| 缺省: | 本地 OS |
| 范围: | 本地 OS、LDAP、Custom |
![[Fix Pack 5.0.2 and later]](v502.gif)
当启用使用 FIPS 时,轻量级第三方认证(LTPA)实现使用 IBMJCEFIPS。IBMJCEFIPS 支持 DES、三重 DES 和 AES 的联邦信息处理标准(FIPS)核准的密码算法。尽管 LTPA 密钥是与以前发行版的 WebSphere Application Server 反向兼容的,但是 LTPA 令牌与以前发行版不兼容。
WebSphere Application Server 提供 FIPS 核准的 Java 安全套接字扩展(JSSE)提供程序,称为 IBMJSSEFIPS。当 FIPS 核准的 JSSE 与安全套接字层(SSL)协议不兼容时,它需要传输层安全性(TLS)协议,如果您在指定 FIPS 核准的 JSSE 提供程序和 TLS 协议前选择使用 FIPS 复选框,则全局安全性面板的顶部显示下列错误消息:
安全性策略设置为仅使用 FIPS 核准的密码算法。 但是,至少有一个 SSL 配置未使用 FIPS 核准的 JSSE 提供程序。 FIPS 核准的密码算法可能不在那些情况中使用。要改正此问题,在 SSL 配置库面板上,通过完成下列任务之一来配置 JSSE 提供程序和安全性协议: