[Fix Pack 5.0.2 e successive]Impostazioni di sicurezza globale

Utilizzare questa pagina per configurare la sicurezza. Quando si abilita la sicurezza, le impostazioni di sicurezza vengono attivate a livello globale. Quando viene abilitata la sicurezza, le prestazioni di WebSphere Application Server aumentano dal 10 al 20%. Tuttavia, quando non è necessario, disabilitare la sicurezza.

Per visualizzare questa pagina della console di gestione, fare clic su Sicurezza > Sicurezza globale.

Se si sta configurando la sicurezza per la prima volta, completare le fasi presenti in "Configurazione sicurezza globale", per evitare eventuali problemi. Una volta configurata la sicurezza, convalidare qualsiasi modifica apportata ai pannelli del registro o del meccanismo di autenticazione. Fare clic su Applica per convalidare le impostazioni del registro utenti. Viene effettuato un tentativo di autenticare l'ID server sul registro utenti configurato. La convalida delle impostazioni del registro utenti, dopo aver abilitato la sicurezza globale, può evitare dei problemi quando si riavvia il server per la prima volta.

Scheda Configurazione

Abilitato
Specifica per il server che consente di abilitare i sottosistemi di sicurezza.

Questo indicatore viene comunemente definito indicatore di sicurezza globale nelle informazioni su WebSphere Application Server. Se viene abilitata la sicurezza, impostare la configurazione del meccanismo di autenticazione e specificare un ID utente valido e la password nella configurazione del registro utenti valido.

Tipo dati: Valore booleano
Predefinito: Disabilita
Applicazione di Java 2 Security
Specifica se abilitare o disabilitare il controllo delle autorizzazioni di sicurezza Java 2. Per impostazione predefinita, Java 2 Security è disabilitata. Tuttavia, abilitando la sicurezza globale, si abilita automaticamente la sicurezza Java 2. Si può scegliere di disattivare Java 2 Security anche quando è attivata la sicurezza globale.

Se Java 2 Security è attivata e se un'applicazione richiede più autorizzazioni di Java 2 Security di quelle concesse nella politica predefinita, l'applicazione potrebbe non funzionare correttamente fino a quando non vengono concesse tali autorizzazioni nel file app.policy o was.policy dell'applicazione. Le eccezioni AccessControl non sono concesse dalle applicazioni che non dispongono di tutte le autorizzazioni necessarie. Consultare InfoCenter e rivedere le sezioni Java 2 Security e Politica dinamica nel caso non si abbia molta dimestichezza con Java 2 Security.

Se il server non si riavvia dopo aver abilitato la sicurezza globale, è possibile disabilitare tale sicurezza. Andare alla directory $<root_installazione>\bin ed eseguire il comando wsadmin -conntype NONE. Sul prompt wsadmin>, immettere securityoff, quindi exit per ritornare al prompt dei comandi. Riavviare il server con la sicurezza disabilitata per verificare eventuali impostazioni non corrette nella console di gestione.

Tipo dati: Valore booleano
Predefinito: Disabilitato
Intervallo: Abilitato o disabilitato
Utilizzare i nomi utente qualificati del dominio
Specifica i nomi utenti da qualificare con il dominio di sicurezza in cui risiedono.
Tipo dati: Valore booleano
Predefinito: Disabilitato
Intervallo: Abilita o disabilita

[5.0 only][Fix Pack 5.0.1]Quando si specifica Utilizza i nomi utente qualificati del dominio dal pannello di configurazione Sicurezza > Sicurezza globale, la chiamata di runtime a getCallerPrincipal() da un bean enterprise restituisce il nome completo preceduto dal dominio specificato due volte. Ad esempio, il formato restituito sarà realm/realm/user. Quando si effettuano chiamate API, è possibile eliminare il primo dominio dal valore restituito. L'API servlet getUserPrincipal() è correttamente operativa.

Timeout cache
Specifica il valore di timeout in secondi della cache di sicurezza. Questo valore è un timeout relativo.

Se viene abilitata la sicurezza di WebSphere Application Server, il timeout di memorizzazione nella cache di sicurezza può influire sulle prestazioni. L'impostazione di timeout specifica la frequenza di aggiornamento delle cache relative alla sicurezza. Nella cache vengono memorizzate le informazioni di sicurezza relative ai bean, alle autorizzazioni e alle credenziali. Quando il timeout della cache scade, tutte le informazioni memorizzate nella cache non sono più valide. Le successive richieste di informazioni comportano una ricerca nel database. Talvolta, l'acquisizione delle informazioni richiede la chiamata ad una un'autenticazione nativa o collegata a LDAP (Lightweight Directory Access Protocol). Entrambe le chiamate rappresentano operazioni che rallentano notevolmente le prestazioni. Determinare il trade-off migliore per l'applicazione, facendo ricorso ai modelli di utilizzo e prendendo in considerazione i requisiti di sicurezza del sito.

In una verifica delle prestazioni di 20 minuti, l'impostazione del timeout della cache in modo tale che non si verifichi un timeout produce un aumento delle prestazioni del 40%.

Tipo dati: Numero intero
Unità: Secondi
Predefinito: 600
Intervallo: Superiore a 30 secondi
Emetti avvertenza di autorizzazione
Indica che quando l'opzione Emetti avvertenza di autorizzazione è abilitata, durante la distribuzione e l'avvio di un'applicazione, il runtime di sicurezza emette un'avvertenza nel caso in cui vengano concesse delle autorizzazioni personalizzate alle applicazioni. Tali autorizzazioni sono definite dalle applicazioni dell'utente e non dalle autorizzazioni JDK. Queste ultime si trovano nel pacchetto java.* e javax.*.

Il prodotto WebSphere fornisce il supporto per la gestione dei file contenenti le politiche. In questo prodotto è presente un numero di file contenenti le politiche, alcune di queste sono statiche, altre dinamiche. Le politiche dinamiche rappresentano un modello di autorizzazioni per un tipo particolare di risorsa. Nessun code base definito o relativo viene utilizzato nel modello delle politiche dinamiche. Il code base reale viene creato in modo dinamico dai dati di configurazione e di run-time. Il file filter.policy contiene un elenco di autorizzazioni che le applicazioni non dovrebbero avere in base alla specifica J2EE 1.3. Per ulteriori informazioni sulle autorizzazioni, consultare la sezione Java 2 Security Policy Management in InfoCenter.

Tipo dati: Valore booleano
Predefinito: Disabilitato
Intervallo: Abilita o disabilita
Protocollo attivo
Specifica il protocollo di autenticazione attivo per le richieste RMI IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol) quando la sicurezza è abilitata. Nelle release precedenti il protocollo SAS (Security Authentication Service) era l'unico protocollo disponibile.

Un protocollo OMG (Object Management Group) definito CSIv2 (Common Secure Interoperability Version 2) supporta l'aumentata interoperabilità del fornitore e ulteriori funzioni. Se tutti i server, presenti nel dominio di sicurezza, sono della Versione 5, è meglio indicare CSI come protocollo. Se alcuni server sono server3.x o 4.x, specificare CSI e SAS.

Tipo dati: Stringa
Predefinito: ENTRAMBI
Intervallo: CSI e SAS, CSI
Meccanismo di autenticazione attivo
Specifica il meccanismo di autenticazione attivo quando viene abilitata la sicurezza.

WebSphere Application Server, Version 5 supporta i seguenti meccanismi di autenticazione: SWAM (Simple WebSphere Authentication Mechanism) e LTAP (Lightweight Third Party Authentication).

Tipo dati: Stringa
Predefinito: SWAM (WebSphere Application Server)
Intervallo: SWAM, LTPA
Registro utenti attivo
Specifica il registro utenti attivo quando viene abilitata la sicurezza.

È possibile configurare le impostazioni per uno dei seguenti registri utenti:

  • Sistema operativo locale
  • Registro utenti LDAP. Le impostazioni del registro utenti LDAP vengono utilizzate quando gli utenti e i gruppi si trovano in una directory LDAP esterna. Quando la sicurezza viene abilitata e una qualsiasi di queste proprietà viene modificata, andare al pannello Sicurezza globale e fare clic su Applica o OK per convalidare le modifiche.
  • Registro utenti personalizzato

Tipo dati: Stringa
Predefinito: OS locale
Intervallo: OS, LDAP, Custom locali
Utilizzo di FIPS   [Fix Pack 5.0.2 e successive]
Abilita l'uso di algoritmi crittografici approvati da FIPS (Federal Information Processing Standard).

Quando viene abilitato Utilizza FIPS, l'implementazione LTPA (Lightweight Third Party Authentication) utilizza IBMJCEFIPS. IBMJCEFIPS supporta l'algoritmo di cifratura approvato da FIPS (Federal Information Processing Standard) per DES, Triple DES e AES. Sebbene le chiavi LTPA siano compatibili con le precedenti release di WebSphere Application Server, il token LTAP non è compatibile con le release precedenti.

WebSphere Application Server fornisce un provider JSSE (Java Secure Socket Extension) approvato da FIPS, denominato IBMJSSEFIPS. Un JSSE approvato da FIPS richiede il protocollo TLS (Transport Layer Security) poiché non è compatibile con il protocollo SSL (Secure Sockets Layer). Se si seleziona la casella di controllo Utilizza FIPS prima di specificare un provider JSSE approvato da FIPS e un protocollo TLS, viene visualizzato il seguente messaggio di errore nella parte superiore del pannelloSicurezza globale:

La politica di sicurezza è impostata in modo che utilizzi solo gli algoritmi crittografici approvati da FIPS. 
Tuttavia, almeno una configurazione SSL potrebbe non utilizzare un provider JSSE approvato da FFIPS. 
Gli algoritmi crittografici approvati da FIPS non possono essere utilizzati in questi casi.

Per risolvere questo problema, configurare il provider JSSE e il protocollo di sicurezza sul pannello Repertori di configurazione SSL, completando una delle seguenti attività:
  • facendo clic su Sicurezza > SSL e modificando la configurazione esistente
  • facendo clic su Nuovo e creando una nuova configurazione

Informazioni correlate

Pulsanti della console di gestione
Funzioni della pagina della console di gestione
Impostazioni ambito della console di gestione
Impostazioni di filtro della console di gestione
Impostazioni delle preferenze della console di gestione