【IT168 专稿】

    WebSphere Application Server内置丰富的安全性特征，提供了端到端（end-to-end）的安全解决方案。在认证方面，WebSphere既可以采用基于userid/password进行认证，也可以采用基于X.509证书的认证（SSL）。WebSphere Application Server所带的Web服务器（IBM HTTP Server）和应用服务器都支持SSL，保证了数据传输的安全性。WebSphere Application Server还允许应用程序采用LDAP作为用户信息注册表，支持“单点登录，全网漫游”。本文主要介绍设置WAS全局性安全的详细步骤。

配置全局性安全具体步骤

    1. 启动WebSphere Application Server后，通过单击http://yourhost.domain:9060/ibm/console启动WebSphere Application Server管理控制台。
    2. 配置全局性安全之前，需要配置认证机制和用户注册表等，其配置顺序并不重要。
    3. 配置用户注册表。通过“全局安全性”面板上“用户注册表”下的链接配置，用户注册表有三种选择，包括本地操作系统、LDAP和定制用户注册表。
    （1）选择本地操作系统，则服务器用户标识中输入本地操作系统已经具有的用户，并且在服务密码中输入该用户的密码。
    （2）如果选择LDAP，请参考“内容配置轻量级目录访问协议用户注册表”一节。
    （3）选择定制用户注册表，请参考“配置定制用注册表”一节。
    4. 配置认证机制。WAS存在两个认证机制：第一，简单WebSphere认证机制（SWAM，单个服务器需求使用SWAM选项）；第二，轻量级第三方认证（LTPA，多服务器分布式需求使用LTPA选项）。配置认证机制可以从“全局安全选项”中根据环境进行选择。选择SWAM不需要设置什么参数；如果是分布式环境需要选择LTPA，点击“认证协议”->“LTPA”，输入密码后生成密钥文件，并将该文件导入到分布式环境涉及到的不同机器的WAS中。
    注：SWAM凭证不能转发到其他机器，由于这个原因，所以不会到期。LTPA的凭证可转发到其他机器，出于安全原因，所以它有到期限制，此截止时间是可配置的。
    5. 如果有需要，则配置来自Java客户机的特殊安全需求的认证协议。此任务需要选择协议Common Secure Interoperability V2（CSIv2）或安全认证服务（SAS）。SAS协议仍然提供与先前产品发行版的向后兼容，但是不推荐使用。要获得有关配置CSIv2或SAS的详细信息，请参阅“配置Common Secure Interoperability V2和安全性认证服务认证协议”一节。
    6. 单击“安全性”->“全局安全性”，配置安全设置的剩余部分，选中“启用全局安全性”，点击确定。
    7. 重启应用服务器，启动管理控制台。如果当前启用安全性，则使用预定义的管理标识和密码（这通常是您在配置用户注册表时指定的服务器用户标识）登录。到此，全局性安全已经启用。

配置轻量级目录访问协议用户注册表

    1. 在管理控制台中，单击“安全性”->“全局安全性”。
    2. 在“用户注册表”下，单击LDAP。
    3. 在“服务器用户标识”字段中输入有效用户名。根据“高级LDAP”设置面板中的“用户过滤器”定义，您可以输入用户的完整专有名称（DN）或用户的短名。例如，为Netscape输入用户标识。
    4. 在“服务器用户密码”字段中输入用户的密码。
    5. 从“类型”列表中选择使用的LDAP服务器类型。LDAP服务器的类型确定WebSphere Application Server所使用的缺省过滤器。这些缺省过滤器将类型字段更改为定制，它表明使用定制过滤器。单击“高级LDAP”设置面板中的确定或应用后，将发生此操作。从列表选择定制，如果需要，修改用户和组过滤器，以使用其他LDAP服务器。如果选择IBM Directory Server或iPlanet Directory Server，则还需要选择“忽略大小写”字段。
    6. 在“主机”字段中输入LDAP服务器的标准主机名。
    7. 在“端口”字段中输入LDAP服务器端口号。主机名和端口号表示WebSphere Application Server单元中此LDAP服务器的域。因此，如果不同单元中的服务器使用轻量级第三方认证（LTPA）标记互相通信，则这些域必须在所有单元中完全匹配。
    8. 在“基本专有名称”字段中输入基本专有名称（DN）。基本DN表明在此LDAP目录服务器中用于搜索的开始点。例如，对于DN为cn=John Doe, ou=Rochester, o=IBM, c=US的用户，将基本DN指定为以下任一选项（假定后缀为c=us）：ou=Rochester, o=IBM, c=us或o=IBM c=us或c=us。此字段区分大小写，与您目录服务器中的大小写匹配。此字段是除Domino Directory外所有LDAP目录所必需的。“基本DN”字段对于Domino服务器来说是可选的。
    9. 必要的话，在“绑定专有名称”字段中输入绑定DN名。如果在LDAP服务器上不可能执行匿名绑定，则需要绑定DN来获取用户和组信息。如果 LDAP服务器设置为使用匿名绑定，则保留此字段为空白。
    10. 必要的话，在“绑定密码”字段中输入相应于绑定DN的密码。
    11. 如果需要，修改“搜索超时”值。此超时值是LDAP服务器在放弃请求前等待发送响应到产品客户机的最大时间量。缺省值是120秒。
    12. 仅当使用路由器将请求发送到多个LDAP服务器时，如果路由器不支持亲缘关系，则取消选择重用连接选项。
    13. 如果需要，选择忽略权限的大小写选项。启用此标志后，授权检查不区分大小写。通常，授权检测涉及检查用户的完整DN（其在LDAP服务器中是唯一的），并区分大小写。然而，当使用IBM Directory Server或iPlanet Directory Server LDAP服务器时，此标志需要启用。这是因为从LDAP服务器获取的组信息在大小写方面不一致。此不一致仅影响授权检查。
    14. 如果与LDAP服务器的通信是通过SSL的，则启用安全套接字层（SSL）。
    15. 如果要将安全套接字层通信与LDAP服务器协同使用，则选择启用SSL选项。 如果选择启用SSL选项，则从“SSL 配置”字段中的列表选择适当的SSL别名配置。
    16. 单击确定。此面板中不发生用户、密码和设置的验证。仅当您在全局安全性面板中单击确定或应用时才进行验证。如果您是第一次启用安全性，完成剩余的步骤，并转至全局安全性面板。选择LDAP作为活动用户注册表。如果安全性已启用，但此面板上的信息已更改，则转至全局安全性面板，并单击确定或应用验证您的更改。如果您的更改未验证，服务器可能无法启动。

配置定制用注册表

    1. 单击“安全”->“全局安全性”。
    2. 在“用户注册表”下单击“定制”。
    3. 在“服务器用户标识”字段中输入有效用户名。
    4. 在“服务器用户密码”字段中输入用户的密码。
    5. 以点分隔的文件名格式输入定制注册表类名字段中实施类文件的位置全名。该文件名的样本是com.ibm.websphere.security.FileRegistrySample。该文件存在于WebSphere Application Server类路径中（最好是install_root/lib/ext目录中）。该文件存在于所有产品进程中，因此，如果您正在Network Deployment环境中操作，则该文件存在于单元类路径和所有节点类路径中。
    6. 选择授权的“忽略授权的大小写”选项来执行不区分大小写检查。仅当您的注册表不区分大小写，并且在查询用户和组未提供一致的大小写时，启用此选项。
    7. 如果您有任何其他要输入的注册表初始化属性，单击“应用”。否则，单击“确定”，并完成所需的步骤以打开安全性。
    8. 如果您需要输入其他属性以初始化您的实施，单击“定制属性”->“新建”，输入属性名和值，最后单击“确定”。重复此步骤以添加其他属性。为样本输入以下两个属性。假设users.props和groups.props文件在产品安装目录下的customer_sample目录中，您可以将这些属性放入任何您通过定制属性选择和引用其位置的目录中。然而，需要确保该目录有适当的访问许可权。

 
    9. 可以在 users.props 文件 和 groups.props 文件 文章中获得这两个属性的样本。
    10. 不使用描述、所需和验证表达式字段，您可以将其保留为空。
    注：在多个WebSphere Application Server 进程（单元和不同机器中的多个节点）存在的Network Deployment环境中，这些属性可用于每个进程。由于该名称扩展到产品安装目录，使用相关名称USER_INSTALL_ROOT以找到任何文件。如果不使用该名称，确保文件存在于所有节点的相同位置中。