Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
По необходимости пришлось создать кастомный репозиторий пользователей, основанный на бд. Сделал, как написано в редбуке - отдельный jar, который выбирает юзеров, пароли и группы из базы (юзер может находится в нескольких группах). Появилась такая проблема: при добавлении юзера в новую группу, приложение, задеплоенное на вебсфере, не цепляет эту связь (юзер -> новая группа). Для того, чтобы зацепилось, надо рестартить вебсферу. Есть ли какой-нить способ обойтись без рестарта was? зы. структуру базы менять нельзя, ибо приложение полностью работает на ней. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.08.2009, 19:16 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
gabbeer Для того, чтобы зацепилось, надо рестартить вебсферу. а релогин чтоли не помогает, обязательно рестарт? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 09:06 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
хм.. сегодня проверил, новая роль добавилась, но непонятно почему так долго. Ладно, сегодня еще потестю, попробую время добавления определить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 10:02 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
gabbeer, WAS по умолчанию кеширует данные авторизации, в том числе и членство в группах. Таймаут кеша настраивается. Параметр Authentication cache timeout. . Значение по умолчанию 10 минут. Справочник: Authentication mechanisms and expiration . Еще можно через JACL принудительно почистить кеш : Описание 1: Clearing WebSphere Security Cache Описание 2: How to clear the WebSphere Application Server security cache ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 10:27 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Евгений Хабаров, спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.08.2009, 11:08 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Не стал создавать ещё одну тему. Подскажите возможно ли настроить авторизацию в WAS 6.1(Win2K3) по домену, но работал чтобы от одного пользователя(как в IIS) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2009, 06:18 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyПодскажите возможно ли настроить авторизацию в WAS 6.1(Win2K3) по домену, но работал чтобы от одного пользователя(как в IIS) Если машина, на которой установлен WAS, находится в этом же домене, то при настройке безопасности можно указать использование реестра операционной системы. И также указать пользователя, который будет администратором вебсферы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2009, 16:41 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyНе стал создавать ещё одну тему. Подскажите возможно ли настроить авторизацию в WAS 6.1(Win2K3) по домену, но работал чтобы от одного пользователя(как в IIS) А что именно нужно получить на выходе? Теоретически (т.к. сам не пробовал) варианты такие: 1. Как уже сказали использовать Local OS User Registry, ОС должна быть в домене. 2. Использовать LDAP User Registry для доступа к MS Active Directory по протоколу LDAP. 3. Использовать SPNEGO для"прозрачной" авторизации Creating a single sign-on for HTTP requests using the SPNEGO TAI ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2009, 17:04 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Если конкретней, дело обстоит так. Конкретный пользователь по доменной политике привязан к конкретной машине. Другими словами залогинится на серваке WAS используя реестр локальной операционной системы не получается. В IIS есть возможность фильтрации учётных записей пользователей, а также указать одного анонимного локального пользователя от которого собственно и будет всё работать на стороне сервера. С WAS работаю не давно, потому может и не смог найти. Есть соображения как такое настроить? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.09.2009, 02:22 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, Не сказал бы что стало понятнее. 1. Сам WAS запускается как сервис, сервису пользователь прописывается стандартными для Windows средствами. 2. При обращении к внешним ресурсам (JDBC, JMS и т.д.) можно указать данные авторизации именно для этого ресурса. Тогда при обращении к этому ресурсу будут использованы эти данные авторизации. 3. Для авторизации пользователей в приложениях (в том числе и в админ.консоли) как раз и используется реестр пользователей. Если использовать SPNEGO, то пользователь, который авторизовался в домене, при обращении к приложению из браузера, будет автоматически авторизован в этом приложении (т.е. ему не придется вводить логин/пароль еще раз). От браузера требуется поддержка такого метода авторизации. Подробнее читать документ по ссылке. Сам такого не настраивал, поэтому сказать насколько это работает не могу. 4. Если в приложении не указано, что для доступа к нему (или к его части) нужна авторизация, то соответственно и запрос на авторизацию выдаваться не будет (как раз анонимный доступ к приложению). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.09.2009, 10:07 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Ладно, попробую по-другому. Где в настройках WAS можно указать имя пользователя, которым будут выполнятся какие либо операции на сервере пускай он даже будет локальным? То есть при запросе WEB - приложением формы авторизации, пользователь вводит к примеру пользователь-user пароль-pass. И дальнейший вход на сервер и остальные операции на нём совершались не связкой user/pass, а заранее прописанным локальным анонимным пользователем anonymous. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2009, 04:43 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, Какие именно операции имеются в виду? Все что происходит внутри J2EE приложения описано в разделе Security в J2EE Tutorial например. В зависимости от того, о каких операциях идет речь, есть разные варианты. Если речь идет именно о веб-приложении, то если доступ к ресурсу веб-приложения (URL-маска) защищен, то будет выдано предложение авторизоваться. Дальнейший доступ к ресурсам этого-же приложения будет происходить под указанным логином. Но вот обращение к внешним (по отношению к веб-приложению) ресурсам (EJB, сервисы, файлы и т.п.) может происходить с другими данными авторизации. Смотрите что такое RunAs в разделе J2EE Security. Например здесь Propagating Security Identity или здесь Configuring a Component’s Propagated Security Identity Постановка задачи на самом деле непонятна. Если пользователя нужно авторизовать для доступа к веб-приложению, то зачем в дальнейшем анонимизировать доступ в пределах этого же сервера приложений? Смысл этого действия? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2009, 10:17 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Смысл в том, чтобы ограничить доступ к приложению только для конкретных учётных записей домена. Поскольку учётки привязаны к определённому рабочему месту, приходится вводить в работу одного локального пользователя на сервере от которого непосредственно и будет работать приложение. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.09.2009, 07:39 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
на самом деле не понятно чего вы хотите. У вас же есть ерпозиторий LDAP, в нех хранятся учетные записи. Какая разница какому пользователь на какую машину разрешено заходить, если мы говорим о защите приложения? Серверу приложений в общем случае все равно где(на какой машине) находится клиент который запрашивает у него ресурсы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.09.2009, 09:10 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyСмысл в том, чтобы ограничить доступ к приложению только для конкретных учётных записей домена. Поскольку учётки привязаны к определённому рабочему месту, приходится вводить в работу одного локального пользователя на сервере от которого непосредственно и будет работать приложение. Приложение работает внутри J2EE сервера приложений. С точки зрения ОС есть процесс сервера приложений, который запущен от определенного пользователя ОС. Если будут обращения к файловой системе например, они будут происходить от имени пользователя сервиса. А почти все операции по авторизации внутри сервера приложений не видны с точки зрения операционной системы, т.е. выполняются на уровне Java. Поэтому в общем случае ОС не будет знать от кого работает конкретное J2EE-приложение внутри сервера приложений, ибо для ОС отдельное J2EE-приложение просто не существует. ОС видит сервер приложений в целом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.09.2009, 10:20 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Да я понимаю что всё так и должно быть красиво. Однако! в журнале(Администрирование-просмотр событий), при вводе данных пользователя домена, вы водится ошибка "Logon Failure: Reason: User not allowed to logon at this computer" и далее указывается имя пользователя бла бла бла... имя пользователя выводится введённое пользователем, а не тот от которого запускается сервис. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 06:43 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Меняйте настройки домена. У вас в доменной политике наверняка прописано, что пользователь может заходить только на свой копьютер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 09:46 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Я об этом говорил чуть выше. А политику домена поменять не получится. надо как то выкручиваться по другому :( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 09:53 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, а при маппинге пользователя на приложение, выводятся юзеры домена? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2009, 11:01 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike Key, ну собственно и цеплять необходимых пользователей из домена к приложению. Те, кто не прицеплен, не будут иметь к нему доступа. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2009, 10:38 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Так и делал с самого начала. но политика безопасности мешает. в виндовском журнале пишет, что пользователю не разрешено логиниться на данную станцию бла бла бла ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.09.2009, 02:26 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Если авторизация по ldap(active directory) ,то проблемы с локальной проверкой пользователя не должно быть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2009, 13:29 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Mike KeyТак и делал с самого начала. но политика безопасности мешает. в виндовском журнале пишет, что пользователю не разрешено логиниться на данную станцию бла бла бла Попробуйте настроить WAS для работы с MS Active Directory по протоколу LDAP. Сейчас у вас настроено через Local OS, в этом случае WAS обращается к средствам ОС для авторизации, что и приводит к этой ошибке. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2009, 10:04 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
не стал и я создавать отдельный топик. обрисую ситуацию( WebSphere 6.1.0.11 + Windows Active Directory 2003): 1. есть четыре домен контроллера. 2. создал federated репозитории, с каждого домен контроллера под своим пользователем, AD коннектится к вебсфере. 3. какие необходимы настройки в закладке : Supported entity types для General Properties ? 4. Primary administrative user name под которым коннектиться верхний домен : CN=wasadmin,OU=WebSphereUsers,DC=testdomain,DC=edu 5. проблема, когда в закладке Users and Groups-Manage Groups пытаюсь искать группы, то получаю ошибку : CWWIM4520E The 'javax.naming.InvalidNameException: Invalid name: WebSphereUsers' naming exception occurred during processing. 6. в закладке Users and Groups-Manage Users пользователи из всех четырёх доменов отображаются. Какие настройки применительно к моей ситуации необходимо выставить в следующих полях ?: Entity type Specifies the entity type name. Base entry for the default parent Specifies the distinguished name of a base entry in the repository. This entry determines the default location in the repository where entities of this type are placed on write operations by user and group management. Relative Distinguished Name properties Specifies the relative distinguished name (RDN) properties for the specified entity type. Possible values are cn for Group, uid or cn for PersonAccount, and o, ou, dc, and cn for OrgContainer. Delimit multiple properties for the OrgContainer entity with a semicolon (;). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2009, 16:49 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
waslamer, К сожалению не на чем у меня сейчас попробовать конфигурацию с MS AD, нет домена поблизости. Могу предложить следующие документы: Using Microsoft Active Directory with IBM WebSphere Application Server Using specific directory servers as the LDAP server Очень надеюсь что это поможет в решении проблемы. О результатах большая просьба сообщить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.09.2009, 17:13 |
|
||
|
безопасность в was
|
|||
|---|---|---|---|
|
#18+
Евгений Хабаров Добрый день! К сожалению, в данных документациях нет чёткого примера как step-by-step настройть federative repositories, и главное примера как необходимо заполнить Base entry for the default parent Relative Distinguished Name properties в каком-либо конкретном примере. По документации Using Microsoft Active Directory with IBM WebSphere Application Server на странице 12, выполнил изменения в web-console, добавил в wimconfig.xml рекомендацию. Не стартовал server1 вообще :-) В SystemOut.log вывалилось сообщение: Caused by: com.ibm.websphere.wim.exception.WIMApplicationException: CWWIM0006E Initialization of component, ConfigManager, failed: com.ibm.websphere.wim.exce ption.InitializationException: CWWIM0001E The configuration file '/opt/WebSphere/AppServer/profiles/ИМЯПРОФАЙЛА/config/cells/НОДА/wim/config/wimc onfig.xml' is not valid. Root cause is 'Open quote is expected for attribute "propertyName" associated with an element type "config:attributes".'. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2009, 10:29 |
|
||
|
|
start [/forum/topic.php?all=1&fid=43&tid=1603082]: |
0ms |
get settings: |
10ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
177ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
55ms |
get tp. blocked users: |
1ms |
| others: | 11ms |
| total: | 290ms |
| 0 / 0 |
