-=Koba=-,

На всякий случай, т.к. не знаю Вашего опыта по работе с J2EE:

WebSphere Application Server реализует спецификацию J2EE.
Версия поддерживаемой спецификации зависит от версии сервера.

В этой спецификации определяется как происходит назначение и проверка прав внутри приложения.
Т.е. эти проверки с точки зрения разработчика/приложения/API выполняются одинаково для любого J2EE-сервера.
Подробно это описано в спецификации по J2EE нужной версии, раздел Security.

Есть официальный "Tutorial" : The Java EE 5 Tutorial
В нем это описано в главах 28-30 (Introduction to Security in the Java EE Platform, Securing Java EE Applications, Securing Web Applications).

Cпецифика по WebSphere Application Server:

Со стороны сервера приложений нужно:
1. Один раз включить флаг "Enable application security" в разделе Security->Global Security.
Если флаг не выставлен, то сервер будет игнорировать настройки Security в приложении.
2. Настроить один или несколько реестров пользователей (по умолчанию используется один, файловый).
3. Перезапустить сервер приложений после внесенных изменений.

Подробнее все это описано в документации на продукт WAS85: Securing applications and their environment

-=Koba=-,

Непонятно, что именно не получается сделать.

Процесс разбивается на две составляющих (нулевой пункт не считаю):

0. (Выполняется один раз, собственно выше я это уже писал, повторяю для порядка).
Настроить реестр пользователей внутри сервера приложений и завести в нем пользователей и группы.
Включить флаг "Enable application security" в разделе Security->Global Security

1. Описать необходимые Security Constraints на уровне J2EE-приложения.
Этот этап одинаков для любого J2EE-приложения, вне зависимости от используемого сервера приложений.
Декларативные проверки (Declarative Security) описываются на уровне файлов конфигурации и/или аннотаций.
Программные проверки (Programmatic Security) встраиваются непосредственно в код приложения.
Обычно достаточно декларативных проверок.

2. Выполнить привязку (mapping, binding) ролей, объявленных в J2EE-приложении, к пользователям и/или группам сервера приложений.
Это действие выполняется либо на этапе установки (deploy) приложения, либо при подготовке к установке (заранее).
Среда разработки (Rational Application Developer for WebSphere) позволяет заранее выполнить настройку привязки.
О том, как там этот процесс выглядит я уже рассказывал в предыдущей теме J2EE приложения .

Какой из этих этапов непонятен?
Что хочется реализовать в конечном итоге?
Что уже сделано?
Какие проблемы остались нерешенными?
Есть опыт работы с другими J2EE-серверами?
Есть ли понимание как работает "Web Application Security" в терминах J2EE?

portf,

Для версии 6.0 нужно включить флаг "Enable global security" и перезагрузить сервер.
Начиная с версии 6.1 (если правильно помню), и выше (в 7.0 это точно есть) этот параметр разделили на два:
- Enable administrative security, включить защиту для инфраструктуры управления.
- Enable application security, включить защиту для приложений.

Перед внесением изменений рекомендуется выполнить команду backupConfig для создания резервной копии конфигурации сервера.