Utilize essa página para configurar a segurança. Ao ativar a segurança, você estará ativando as definições de segurança em um nível global. Quando a segurança é desativada, o desempenho do WebSphere Application Server aumenta entre 10% a 20%. Portanto, considere a possibilidade de desativar a segurança quando não for necessária.
Para exibir esta página do console administrativo, clique em Segurança > Segurança Global.
Se estiver configurando a segurança pela primeira vez, conclua as etapas em "Configurando a Segurança Global" na documentação para evitar problemas. Depois de configurar a segurança, valide as alterações nos painéis de registro ou de mecanismos de autenticação. Clique em Aplicar para validar as definições do registro do usuário. Será feita uma tentativa de autenticar o ID do servidor para o registro de usuário configurado. A validação das definições do registro do usuário após a ativação da segurança global pode evitar problemas ao reiniciar o servidor pela primeira vez.
Guia Configuração
Esse sinalizador é comumente chamado de sinalizador de segurança global nas informações sobre o WebSphere Application Server. Quando ativar a segurança, defina a configuração do mecanismo de autenticação e especifique um ID do usuário e senha válidos na configuração do registro do usuário selecionado.
| Tipo de dados: | Booleano |
| Padrão: | Desativado |
Quando a segurança Java 2 for ativada e se um aplicativo precisar de mais permissões de segurança Java 2 do que as concedidas no critério padrão, o aplicativo poderá não ser executado corretamente até que as permissões requeridas sejam concedidas no arquivo app.policy ou was.policy do aplicativo. Exceções AccessControl são geradas pelos aplicativos que possuem todas as permissões requeridas. Consulte a documentação do WebSphere Application Server e revise as seções Segurança Java 2 e Política Dinâmica se não estiver familiarizado com a segurança Java 2.
Se o servidor não iniciar novamente depois da segurança global ser ativada, você poderá desativar a segurança. Vá para o diretório $<raiz_da_instalação>\bin e execute o comando wsadmin -conntype NONE. No prompt wsadmin>, digite securityoff e, em seguida, exit para voltar a um prompt de comando. Inicie novamente o servidor com a segurança desativada para verificar as definições incorretas através do console administrativo.
| Tipo de dados: | Booleano |
| Padrão: | Desativado |
| Variação: | Ativado ou Desativado |
| Tipo de dados: | Booleano |
| Padrão: | Desativado |
| Variação: | Ativado ou Desativado |
Ao especificar Utilizar Nomes de Usuário
Qualificados pelo Domínio no painel de configuração Segurança
> Segurança Global, a chamada do tempo de execução para a API
getCallerPrincipal() de um bean corporativo retorna o nome
qualificado com a região pré-anexada duas vezes.
Por exemplo, o formato retornado é realm/realm/user.
Você pode retirar a primeira região
do valor retornado ao fazer chamadas de API. A API do servlet getUserPrincipal() funciona corretamente.
Se a segurança do WebSphere Application Server estiver ativada, o tempo limite do cache de segurança poderá influenciar no desempenho. A definição do tempo limite especifica com que freqüência os caches relacionados à segurança devem ser atualizados. As informações de segurança referentes a beans, permissões e credenciais são armazenadas em cache. Quando o tempo limite de cache for atingido, todas as informações armazenadas em cache serão invalidadas. Os pedidos subseqüentes de informações resultam em uma consulta no banco de dados. Às vezes, a aquisição de informações requer chamar uma autenticação nativa ou de ligação LDAP (Lightweight Directory Access Protocol). As duas chamadas são relativamente dispendiosas para o desempenho. Determine a melhor compensação para o aplicativo, consultando padrões de uso e necessidades de segurança do site.
Em um teste de desempenho de 20 minutos, a definição do tempo limite do cache para que um tempo limite não ocorra fornece uma melhora de 40% no desempenho.
| Tipo de dados: | Inteiro |
| Unidades : | Segundos |
| Padrão: | 600 |
| Variação: | Maior que 30 segundos |
O produto WebSphere fornece suporte para o gerenciamento de arquivos de política. Vários arquivos de política estão disponíveis neste produto, alguns deles são estáticos e alguns deles são dinâmicos. A política dinâmica é um gabarito de permissões para um tipo específico de recurso. Não há nenhuma base de código definida ou base de código relativa utilizada no gabarito de critério dinâmico. A base de código real é criada dinamicamente a partir dos dados de configuração e do tempo de execução. O arquivo filter.policy contém uma lista de permissões que um aplicativo não deve ter de acordo com as especificações do J2EE 1.3. Para obter informações adicionais sobre as permissões, consulte o artigo de gerenciamento da política de Segurança Java 2.
| Tipo de dados: | Booleano |
| Padrão: | Desativado |
| Variação: | Ativado ou Desativado |
Um protocolo OMG (Grupo de Gerenciamento de Objetos) chamado CSIv2 (Common Secure Interoperability Versão 2) suporta maior interoperabilidade do fornecedor e recursos adicionais. Se todos os servidores de seu domínio de segurança forem servidores Versão 5, especifique CSI como seu protocolo. Se alguns servidores forem 3.x ou 4.x, especifique CSI e SAS.
| Tipo de dados: | String |
| Padrão: | AMBOS |
| Variação: | CSI e SAS, CSI |
O WebSphere Application Server, Versão 5 suporta os seguintes mecanismos de autenticação: SWAM (Simple WebSphere Authentication Mechanism) e LTPA (Lightweight Third Party Authentication).
| Tipo de dados: | String |
| Padrão: | SWAM (WebSphere Application Server) |
| Variação: | SWAM, LTPA |
Você pode configurar definições para um dos seguintes registros de usuário:
| Tipo de dados: | String |
| Padrão: | SO Local |
| Variação: | S.O. Local, LDAP, Personalizado |
Quando Usar FIPS está ativado, a implementação LTPA (Lightweight Third Party Authentication) utiliza IBMJCEFIPS. IBMJCEFIPS oferece suporte aos algoritmos criptográficos aprovados pelo FIPS (Federal Information Processing Standard) para DES, Triple DES e AES. Apesar das chaves LTPA terem compatibilidade reversa com releases anteriores do WebSphere Application Server, o token LTPA não é compatível com releases anteriores.
Nota: Os módulos IBMJSSEFIPS e IBMJCEFIPS estão no processo de certificação.
O WebSphere Application Server fornece um provedor JSSE (Java Secure Socket Extension) aprovado pelo FIPS, denominado IBMJSSEFIPS. Um JSSE aprovado pelo FIPS requer o protocolo TLS (Transport Layer Security), já que não é compatível com o protocolo SSL (Secure Sockets Layer). Se você selecionar a caixa de opções Utilizar FIPS antes de especificar um provedor JSSE aprovado pelo FIPS e um protocolo TLS, a seguinte mensagem de erro será exibida na parte superior do painel Segurança Global:
O critério de segurança está definido para utilizar somente algoritmos criptográficos aprovados pelo FIPS. No entanto, pelo menos uma configuração SSL pode não estar utilizando um provedor JSSE aprovado pelo FIPS. Os algoritmos criptográficos aprovados pelo FIPS não podem ser utilizados nesses casos.Para corrigir esse problema, configure o provedor JSSE e o protocolo de segurança no painel Repertórios de Configuração de SSL executando uma das tarefas a seguir: