websphere快速入门(22).txt

一个新的采集工具 一个新的采集工具 一个新的采集工具

l 单击页面底部“主许可权”字段旁的“添加”按钮。 
l 当显示“在 defaultRealm 中的 ACL sheepcontrol 添加许可权”框时，单击“文件与文件夹”。 
l 下一步，选择许可权选项为 bopeep。由于 bopeep 是一个用户，所以单击“用户”。在列表中选
择bopeep。（注意，如果选择的是“组”，则将看到“主名”列表中的组 mypeeps）。 
l 使用复选框赋予 bopeep具有 GET 和 PUT 许可权。 
l 单击“确定”按钮。 
l 通过查看“主许可权”框来验证 bopeep 具有正确的许可权。如果没有显示许可权，请单击 bopeep 
左边的加号。这时将显示一个列表，该列表显示了 bopeep 的许可权。
    2．选择认证方案和协议
首先讨论的是认证协议，即 HTTP 和 HTTPS。接下来将会讨论的是认证方案，即基本、摘要、定制和证书认证。最后讨论的是有关组合方案和协议的策略。
    (1) 关于认证协议
HTTPS 则是 HTTP 和 SSL 协议的组合。SSL（安全套接字层）是一个网络安全协议，它用来提供服务器和客户机之间必要的安全性。如果选择 HTTP，认证数据的接收无任何保护。如果选择 HTTPS，认证数据在每个 SSL 协议中加密。如果要使用证书认证，那么必须使用 HTTPS。
    (2) 关于认证方案
WebSphere应用服务器支持的认证方案包括基本认证、摘要认证、定制认证、证书认证。
l 基本认证：使用 HTTP 或 HTTPS 请求来自客户机的用户名和口令。 用普通文本将用于验证的
信息发送给服务器验证。所有浏览器都支持基本认证。如果一个用户标识符和口令提供了足够的认证，那么请考虑使用基本认证。
l 摘要认证：使用 HTTP 或 HTTPS 请求来自客户机的用户名和口令。将用于验证的用户名和口
令的加密形式（使用摘要）发送给服务器。并非所有浏览器都支持摘要认证。（当前仅 Sun HotJava 浏览器支持该认证方案）。如果浏览器不支持摘要认证，那么其用户将无法访问由该协议进行保护的资源。
l 定制认证：使用 HTTP 或 HTTPS 来请求使用 HTML 格式定制的客户机信息。由 CGI 和 
Servlet 将这些用于验证的信息用普通文本发送到服务器上。当需要除了标识符和口令之外的用户认证时，可使用定制认证。例如，可以请求一个社会安全号的用户认证。使用该协议，可建立 HTML 格式以询问用户数据。认证是由服务器端代码（CGI 和 Servlet）执行的，而不是由 IBM WebSphere应用服务器运行时应用程序执行的。如果使用定制认证，请使用 HTTPS 保护数据。
l 证书认证：使用 HTTPS 以请求一个客户机证书。必须启用 SSL 客户机认证选项。将用于验证
的信息发送给服务器。认证使用的数字证书具有很高的安全性，且证书认证通常对用户是透明的。系统或站点管理员会对客户机证书进行管理。通常这些任务是由证书权威服务器软件授权的，例如 IBM Vault Registry 产品。
    (3) 组合认证方案和协议
正如前述，除非是在一个与安全无关的环境中，否则 HTTPS 通常更为可取。对于不同的安全性要求可以对方案和协议进行组合，策略如下：
l 对于基本安全性要求，使用基本、摘要或 HTTP 上的定制认证。
l 对于较高安全性要求，使用基本、摘要或 HTTPS 上的定制认证。
l 对于最高安全性要求，使用 HTTPS 上的证书认证。
    3．使用目录服务
一个目录服务是信息仓库、存取法和相关服务的组合。信息仓库通常是用于存储位置信息和其它有关资源（例如用户、打印机、文件服务器和WebSphere应用服务器）的详细信息的数据库。存取法是指轻量级目录访问协议（LDAP）或其它可用来与目录服务组件进行通信的存取法。相关服务是指目录服务提供的用于查询、操纵和认证数据库中信息的设施。
对集中式安全性数据通常需要使用目录服务。目录服务可以为整个网络提供单个管理点。使用目录服务，可以一次定义用于所有应用程序（包括WebSphere应用服务器）的用户和组，而无需为每个应用程序分别定义用户和组。目录服务对于实现安全性很有帮助，即通过认证用户和控制对资源的访问。没有目录服务，可能必须为不同的软件产品（例如WebSphere应用服务器、Web 服务器和操作系统）重复定义相同的用户和组，这是因为这些软件产品不共享安全性数据。
WebSphere应用服务器版本 2.0 支持使用轻量级目录访问协议（LDAP）V2 的目录服务。这些目录服务包括 Domino Directory 版本 4.6.x 和 Netscape Directory Server 版本 3.x。WebSphere应用服务器版本 2.02 （本地语言版本）也支持 IBM Suites（不包括 IBM Suites 版本 1.0）的 eNetwork Directory 组件。使用目录服务的基本步骤如下：
(1) 设置目录服务，或使用一个现有的目录服务。 
(2) 使用WebSphere应用服务器的管理器界面的“目录管理” 页面，以标识至WebSphere应用服务
器的目录服务，并指定基本设置。 
(3) 查看管理器中的目录服务用户和组信息。 
(4) 在WebSphere应用服务器中定义存取控制表（或已有的 ACL），以利用目录服务用户和组信息。 
(5) 用 ACL 保护WebSphere应用服务器资源。 
    使用“目录管理” 页面指定目录服务的步骤如下：
l 查看“设置” -> “目录管理”页面。 
l 在“配置”标签中，请在“是否启用目录?”字段中单击“是” 
l 使用下拉列表选择目录类型。选择： 
¾“netscape”使用 Netscape Directory Server；
¾ “domino4.6”使用 Domino Server；
¾ “enetworkibmsuite”使用 IBM Suite 的 eNetwork Directory Server 组件。
l 输入驻留目录服务的计算机主机名。 
l 输入服务的端口号。 
l 输入将作为目录服务的 LDAP 搜索起始点的基本分辨名（Base DN）。例如，o=raleigh.ibm.com. 
l 可选功能。输入联编分辨名和联编口令。这些字段空白表示WebSphere应用服务器匿名联编目录
服务。如果指定了联编分辨名和口令，则请确认将目录服务配置成使用同一分辨名和口令来认证WebSphere应用服务器，否则认证将告失败。
    当使用“目录管理”指定目录服务时，管理器将提供的功能有： 
l 动态地建立、初始化和维护与 LDAP 目录服务相关联的 ldapRealm。 
l 使用管理器的“安全性”页面关联WebSphere应用服务器资源和 ldapRealm。 
l 将WebSphere应用服务器存取控制表（ACL）与 ldapRealm 的资源关联起来。
    IdapRealm 是一个包含已定义在目录服务中的用户和组的WebSphere应用服务器安全性领域。可以使用WebSphere应用服务器的管理器界面的“安全性”页面，以建立存取控制表和 IdapRealm 之间的关联。 ldapRealm 对资源进行保护，并且存取控制表允许属于该领域的用户和组（在这种情况下，用户和组在目录服务中）访问资源。 
ldapRealm 使用非 SSL LDAP V2 协议来与目录服务进行通信，并根据在“目录管理”页面中指定的设置进行联编。当受 IdapRealm 保护的WebSphere应用服务器资源需要认证时，将根据IdapRealm 来验证客户机的用户标识符和口令。该过程如下： 
l 客户机向WebSphere应用服务器发出 Servlet 请求。 
l WebSphere应用服务器确定请求的资源是否受 ACL 保护。 
l 因此WebSphere应用服务器将一个认证要求发送给客户机。 
l 客户机输入用户标识符和口令。 
l 目录服务验证用户标识符和口令与保护资源的 IdapRealm 是否相符合：目录服务发出 LDAP 查
找，以查找与指定用户标识符相符的人。为该用户创建一个分辨名（DN）。 
l 目录服务使用该用户分辨名和口令执行一个 LDAP 连接。 
l 当目录服务认证用户后，WebSphere应用服务器Java 引擎将调用 Servlet 以处理与客户机获得的
许可权一致的客户机请求。 
可以通过访问ldap://act:389/o=raleigh.ibm.com来测试目录服务是否正在运行，其中：act 是运行目录服务的机器的主机名，389 是服务的端口号，o=raleigh.ibm.com 是基本分辨名，它还代表了目录服务中的搜索起始点。