Definições de Segurança Global

Utilize essa página para configurar a segurança. Ao ativar a segurança, você estará ativando as definições de segurança em um nível global. Quando a segurança é desativada, o desempenho do WebSphere Application Server aumenta entre 10% a 20%. Portanto, considere a possibilidade de desativar a segurança quando não for necessária.

Para exibir esta página do console administrativo, clique em Segurança > Segurança Global.

Se estiver configurando a segurança pela primeira vez, conclua as etapas em "Configurando a Segurança Global" na documentação para evitar problemas. Depois de configurar a segurança, valide as alterações nos painéis de registro ou de mecanismos de autenticação. Clique em Aplicar para validar as definições do registro do usuário. Será feita uma tentativa de autenticar o ID do servidor para o registro de usuário configurado. A validação das definições do registro do usuário após a ativação da segurança global pode evitar problemas ao reiniciar o servidor pela primeira vez.

Guia Configuração

Ativado
Especifica que o servidor deve ativar subsistemas de segurança.

Esse sinalizador é comumente chamado de sinalizador de segurança global nas informações sobre o WebSphere Application Server. Quando ativar a segurança, defina a configuração do mecanismo de autenticação e especifique um ID do usuário e senha válidos na configuração do registro do usuário selecionado.

Tipo de dados: Booleano
Padrão: Desativado
Reforçar Segurança Java 2
Especifica se a verificação de permissão de segurança Java 2 deve ser ativada ou desativada. Por padrão, a segurança Java 2 está desativada. No entanto, a ativação da segurança global automaticamente ativa a segurança Java 2. Você pode optar pode desativar a segurança Java 2 mesmo quando a segurança global for ativada.

Quando a segurança Java 2 for ativada e se um aplicativo precisar de mais permissões de segurança Java 2 do que as concedidas no critério padrão, o aplicativo poderá não ser executado corretamente até que as permissões requeridas sejam concedidas no arquivo app.policy ou was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que possuem todas as permissões requeridas. Consulte a documentação do WebSphere Application Server e revise as seções Segurança Java 2 e Política Dinâmica se não estiver familiarizado com a segurança Java 2.

Se o servidor não iniciar novamente depois da segurança global ser ativada, você poderá desativar a segurança. Vá para o diretório $<raiz_da_instalação>\bin e execute o comando wsadmin -conntype NONE. No prompt wsadmin>, digite securityoff e, em seguida, exit para voltar a um prompt de comando. Inicie novamente o servidor com a segurança desativada para verificar as definições incorretas através do console administrativo.

Tipo de dados: Booleano
Padrão: Desativado
Variação: Ativado ou Desativado
Utilizar Nomes de Usuários Qualificados de Domínio
Especifica os nomes de usuário a serem qualificados com o domínio de segurança no qual eles residem.
Tipo de dados: Booleano
Padrão: Desativado
Variação: Ativado ou Desativado

[5.0 only]Ao especificar Utilizar Nomes de Usuário Qualificados pelo Domínio no painel de configuração Segurança > Segurança Global, a chamada do tempo de execução para a API getCallerPrincipal() de um bean corporativo retorna o nome qualificado com a região pré-anexada duas vezes. Por exemplo, o formato retornado é realm/realm/user. Você pode retirar a primeira região do valor retornado ao fazer chamadas de API. A API do servlet getUserPrincipal() funciona corretamente.

Tempo Limite da Cache
Especifica o valor de tempo limite, em segundos, para a cache de segurança. Esse valor é um tempo limite relativo.

Se a segurança do WebSphere Application Server estiver ativada, o tempo limite do cache de segurança poderá influenciar no desempenho. A definição do tempo limite especifica com que freqüência os caches relacionados à segurança devem ser atualizados. As informações de segurança referentes a beans, permissões e credenciais são armazenadas em cache. Quando o tempo limite de cache for atingido, todas as informações armazenadas em cache serão invalidadas. Os pedidos subseqüentes de informações resultam em uma consulta no banco de dados. Às vezes, a aquisição de informações requer chamar uma autenticação nativa ou de ligação LDAP (Lightweight Directory Access Protocol). As duas chamadas são relativamente dispendiosas para o desempenho. Determine a melhor compensação para o aplicativo, consultando padrões de uso e necessidades de segurança do site.

Em um teste de desempenho de 20 minutos, a definição do tempo limite do cache para que um tempo limite não ocorra fornece uma melhora de 40% no desempenho.

Tipo de dados: Inteiro
Unidades : Segundos
Padrão: 600
Variação: Maior que 30 segundos
Emitir Aviso de Permissão
Especifica que quando a opção Emitir Aviso de Permissão estiver ativada durante a implementação do aplicativo e o aplicativo for iniciado, o tempo de execução da segurança emitirá um aviso se os aplicativos tiverem alguma permissão personalizada. Permissões personalizadas são aquelas definidas pelos aplicativos do usuário, não permissões de API Java. As permissões de API Java são aquelas no pacote java.* e javax.*.

O produto WebSphere fornece suporte para o gerenciamento de arquivos de política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um gabarito de permissões para um tipo específico de recurso. Não há nenhuma base de código definida ou base de código relativa utilizada no gabarito de critério dinâmico. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que um aplicativo não deve ter de acordo com as especificações do J2EE 1.3. Para obter informações adicionais sobre as permissões, consulte o artigo de gerenciamento da política de Segurança Java 2.

Tipo de dados: Booleano
Padrão: Desativado
Variação: Ativado ou Desativado
Protocolo Ativo
Especifica o protocolo de autenticação ativo para pedidos RMI IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol) quando a segurança está ativada. Nos releases anteriores o protocolo SAS (Security Authentication Service) era o único disponível.

Um protocolo OMG (Grupo de Gerenciamento de Objetos) chamado CSIv2 (Common Secure Interoperability Versão 2) suporta maior interoperabilidade do fornecedor e recursos adicionais. Se todos os servidores de seu domínio de segurança forem servidores Versão 5, especifique CSI como seu protocolo. Se alguns servidores forem 3.x ou 4.x, especifique CSI e SAS.

Tipo de dados: String
Padrão: AMBOS
Variação: CSI e SAS, CSI
Mecanismo de Autenticação Ativo
Especifica o mecanismo de autenticação ativo quando a segurança for ativada.

O WebSphere Application Server, Versão 5 suporta os seguintes mecanismos de autenticação: SWAM (Simple WebSphere Authentication Mechanism) e LTPA (Lightweight Third Party Authentication).

Tipo de dados: String
Padrão: SWAM (WebSphere Application Server)
Variação: SWAM, LTPA
Registro de Usuário Ativo
Especifica o registro do usuário ativo, quando a segurança é ativada.

Você pode configurar definições para um dos seguintes registros de usuário:

  • Sistema operacional local.
  • Registro do usuário LDAP. As definições do registro de usuário LDAP são utilizadas quando usuários e grupos residem em um diretório LDAP externo. Quando a segurança estiver ativada e alguma destas propriedades for alterada, vá para o painel Segurança Global e clique em Aplicar ou em OK para validar as alterações.
  • Personalizar registro do usuário

Tipo de dados: String
Padrão: SO Local
Variação: S.O. Local, LDAP, Personalizado
Utilizar FIPS  
Ativa a utilização de algoritmos criptográficos aprovados pelo FIPS (Federal Information Processing Standard).

Quando Usar FIPS está ativado, a implementação LTPA (Lightweight Third Party Authentication) utiliza IBMJCEFIPS. IBMJCEFIPS oferece suporte aos algoritmos criptográficos aprovados pelo FIPS (Federal Information Processing Standard) para DES, Triple DES e AES. Apesar das chaves LTPA terem compatibilidade reversa com releases anteriores do WebSphere Application Server, o token LTPA não é compatível com releases anteriores.

Nota: Os módulos IBMJSSEFIPS e IBMJCEFIPS estão no processo de certificação.

O WebSphere Application Server fornece um provedor JSSE (Java Secure Socket Extension) aprovado pelo FIPS, denominado IBMJSSEFIPS. Um JSSE aprovado pelo FIPS requer o protocolo TLS (Transport Layer Security), já que não é compatível com o protocolo SSL (Secure Sockets Layer). Se você selecionar a caixa de opções Utilizar FIPS antes de especificar um provedor JSSE aprovado pelo FIPS e um protocolo TLS, a seguinte mensagem de erro será exibida na parte superior do painel Segurança Global:

O critério de segurança está definido para utilizar somente algoritmos criptográficos aprovados pelo FIPS.
No entanto, pelo menos uma configuração SSL pode não estar utilizando um provedor JSSE aprovado pelo FIPS.
Os algoritmos criptográficos aprovados pelo FIPS não podem ser utilizados nesses casos.

Para corrigir esse problema, configure o provedor JSSE e o protocolo de segurança no painel Repertórios de Configuração de SSL executando uma das tarefas a seguir:
  • Clique em Segurança > SSL e modifique uma configuração existente
  • Clique em Novo e crie uma nova configuração

Informações relacionadas

Botões do console administrativo
Recursos de páginas do console administrativo
Definições de escopos do console administrativo
Definições de filtros do console administrativo
Definições de preferências do console administrativo