一、概述Websphere6.1增强了安全性,提供管理安全性、应用程序安全性、Java2安全性。根据港中旅的需求此次我们只考虑管理安全性。二、管理安全性启用WAS6.1针对用户帐户存储库提供了四种方式,分别为联合存储库、本地操作系统、独立LDAP注册表、独立定制注册表。本文档针对最长用的三种方式(联合存储库、本地操作系统、独立定制注册表)做一下配置说明:1、最简单的——配置本地操作系统用户过程1.单击安全性>安全管理、应用程序和基础结构。2.在“用户帐户存储库”下,选择本地操作系统,然后单击配置。3.在主管理用户名字段中输入有效用户名。此值是注册表中定义的拥有管理特权的用户的名称。此用户名用来访问管理控制台,wsadmin也需要使用此用户名。4.单击应用。5.选择自动生成的服务器标识或存储在存储库中的服务器标识选项。如果选择存储在存储库中的服务器标识选项,那么输入以下信息:V6.0.x节点上的服务器用户标识或管理用户指定在第二步中选择的帐户的短名称。服务器用户密码指定在第二步中选择的帐户的密码。6.单击确定。仅当您在“安全管理、应用程序和基础结构”面板上单击确定或应用时,才会进行验证用户标识和密码7.为了使此更改生效,需要保存更改,停止并启动所有产品服务器(包括节点和应用程序服务器)。如果启动服务器时未发生任何问题,那么表示设置正确。说明:这里的用户标识和密码,是指操作系统的用户和密码。Windows环境下,需要先在计算机管理的“本地用户和组”里设置一个帐号,Unix环境需要先useradd一个帐号并设置密码。优点是简单明了,缺点则是引入了另一层不安全。注意:在非admin用户(Windows平台)/非root用户(Unix平台)环境中运行WAS时,在全局安全(globalsecurity)特性被启用的前提下,用户的注册表(registry)必须是LDAP或一个特定的注册表(自定义注册表)。如果想使用本地操作系统的注册表,运行WAS的用户必须有管理员/root用户的权限来调用本地系统的认证或收集用户/组信息的API。2、最常用的——“联合存储库”过程单击安全性>安全管理、应用程序和基础结构。在“用户帐户存储库”下,单击联合存储库,选择设置为当前。点击“配置”,常规属性的“域名”中已经填好defaultWIMFileBasedRealm,在“主要管理用户名”中填入一个自己希望使用的名称,勾选“自动生成的服务器标识”,点击应用。出来设置密码的界面,输入密码,点击确认。保存配置,重启应用服务器。说明:WAS6.1建立Profiles启用安全性默认就是用这种模式3、生产环境常用的方式——配置定制用注册表过程1.单击安全性>安全管理、应用程序和基础结构。2.在“用户帐户存储库”下,选择独立定制注册表,然后单击配置。3.在“主管理用户名”字段中输入有效用户名。此标识是仅用于WebSphereApplicationServer安全性的安全性服务器标识,与运行服务器的系统进程无关。服务器调用本地操作系统注册表来认证和获取有关用户的特权信息(通过调用该特定注册表中的本机API)。4.在“定制注册表类名”字段中,输入实现了com.ibm.websphere.security.UserRegistry接口的以点分隔的类名的完整位置。对于样本来说,该文件名是com.ibm.websphere.security.FileRegistrySample。5.可选:选择授权时忽略大小写选项以执行不区分大小写的检查。仅当用户注册表不区分大小写并且在用户和组查询期间不提供一致的大小写时,才有必要启用此选项。6.如果要输入任何其他用于初始化注册表的属性,请单击应用。7.输入其他属性以初始化实现。a.单击定制属性>新建。b.输入属性名和属性值。对于样本,输入下面这两个属性。假定users.props文件和groups.props文件在产品安装目录下的customer_sample目录中。可以将这些属性放在您选择的任何目录中并通过定制属性来引用它们的位置。但是,确保该目录有适当的访问许可权。属性名属性值usersFile${USER_INSTALL_ROOT}/customer_sample/users.propsgroupsFile${USER_INSTALL_ROOT}/customer_sample/groups.propsUsers.props示例#5639-D57,5630-A36,5630-A37,5724-D18#(C)COPYRIGHTInternationalBusinessMachinesCorp.1997,2005#AllRightsReserved*LicensedMaterials-PropertyofIBM##Format:#name:passwd:uid:gids:displayname#wherename=userId/userNameoftheuser#passwd=passwordoftheuser#uid=uniqueIdoftheuser#gid=groupIdsofthegroupsthattheuserbelongsto#displayname=a(optional)displaynamefortheuser.bob:bob1:123:567:bobdave:dave1:234:678:jay:jay1:345:678,789:Jay-Jayted:ted1:456:678:TeddyGjeff:jeff1:222:789:Jeffvikas:vikas1:333:789:vikasbobby:bobby1:444:789:groups.props示例#5639-D57,5630-A36,5630-A37,5724-D18#(C)COPYRIGHTInternationalBusinessMachinesCorp.1997,2005#AllRightsReserved*LicensedMaterials-PropertyofIBM##Format:#name:gid:users:displayname#wherename=groupIdofthegroup#gid=uniqueIdofthegroup#users=listofalltheuserIdsthatthegroupcontains#displayname=a(optional)displaynameforthegroup.admins:567:bob:Administrativegroupoperators:678:jay,ted,dave:Operatorsgroupusers:789:jay,jeff,vikas,bobby:c.单击应用。d.重复此步骤以添加其他属性。8.单击安全性>安全管理、应用程序和基础结构。9.在“用户帐户存储库”下,单击可用的域定义下拉列表,选择独立定制注册表,然后单击配置。10.选择自动生成的服务器标识或存储在存储库中的服务器标识选项。如果选择存储在存储库中的服务器标识选项,那么输入以下信息:V6.0.x节点上的服务器用户标识或管理用户指定在第二步中选择的帐户的短名称。服务器用户密码指定在第二步中选择的帐户的密码。11.单击确定并完成必需的步骤以打开安全性。
