IBM—中国移动WebLogic Portal安全配置手册.doc
《IBM—中国移动WebLogic Portal安全配置手册.doc》由会员分享,可在线阅读,更多相关《IBM—中国移动WebLogic Portal安全配置手册.doc(67页珍藏版)》请在三一办公上搜索。
1、密 级:文档编号:项目代号:中国移动WebLogic Portal安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目 录第1章WEBLOGIC PORTAL 安全概述11.1工作原理11.1.1安全框架体系架构11.1.2服务提供者集成21.2功能与定位31.3特点与局限性41.3.1集成的安全性41.3.2兼容性51.3
2、.3安全管理特性5第2章3A82.1认证(authentication)82.2授权(authorization)92.3审计(auditing)10第3章WEBLOGIC PORTAL资源的访问控制123.1安全配置步骤123.2系统安全配置133.2.1更新系统口令133.2.2配置安全域153.3用户和组193.3.1定义用户193.3.2定义组243.4安全服务提供者管理273.4.1注册安全服务提供商283.4.2配置一个服务提供商283.5管理Permission授予293.5.1注册一个角色303.5.2角色属性配置313.5.3向角色添加用户和组323.5.4编辑角色表达式33
3、3.5.5角色权限设置343.5.6角色使用配置353.6访问控制portlet363.6.1角色权限设置37第4章单点登录配置394.1安装SiteMider for WLS Agent394.2SiteMider策略服务器配置WLS Agent424.3配置WLS上的安全提供商50第5章WEBLOGIC PORTAL配置SSL535.1配置SSL535.1.1获得私钥与数字证书535.1.2保存私钥与数字签名545.1.3配置单向SSL565.1.4配置双向SSL59附录 术语表61第1章 WebLogic Portal 安全概述1.1 工作原理1.1.1 安全框架体系架构BEA WebL
4、ogic 8.1安全框架的目标是为应用程序安全提供一种全面、灵活和开放的方法。与BEA WebLogic以前版本中的安全领域(realm)不同,新的框架适用于所有的J2EE对象,包括JSP、servlet、EJB、JCA适配器、JDBC连接池以及JMS目标。此外,新的框架还被用来提供安全的Web服务开发所必需的认证和授权服务。它符合所有的J2EE 1.3安全性要求,例如JAAS(用于与认证和授权相关联的对象)、JSSE(用于通过SSL和TLS进行的通信)和SecurityManager类(用于代码级安全)。这一架构的核心是安全和业务逻辑的分离。业务逻辑在适当的容器(可以是JSP、servlet
5、或EJB容器)里执行。当容器接收到一个针对它包含的对象的请求时,它把整个请求及其整个上下文委托给安全框架。框架则根据是否通过请求,返回yes或no决策。由于向安全系统提供了目标对象也可以使用的相同信息,所以这个方法把业务逻辑从安全因素里分离了出来。二者都利用这项信息来实现自己的责任:框架实施安全策略,对象则执行业务逻辑。当安全框架接收到委托的请求时,它以图1所示的形式管理安全处理。这个处理非常灵活,其中的精细步骤在许多系统中都见不到,例如动态的角色映射、动态授权以及多个授权者的调整。在每一步里,框架都会通过对应的服务提供者接口(SPI)把处理委托给一个自带的、第三方的或者自定义的提供者。这个架
6、构使BEA WebLogic Server&Portal能够把所有必要的信息路由给每种类型的服务提供者,以便应用程序可以充分利用专业化安全服务的特长。 图1-1. 安全框架体系架构1.1.2 服务提供者集成 安全框架仅仅管理安全处理。每一步骤都要求服务提供者来执行。BEA WebLogic 8.1为每个步骤包含提供者,但是这些提供者都使用框架SPI。其他的提供者也都可以访问同样的工具。这些SPI包括: 认证。 身份断言。 角色映射。 授权。 判决。 凭据映射。 审计。 1.2 功能与定位BEA WebLogic Portal安全管理功能包括:v 安全域管理:包括用户、组和角色管理;安全服务提供
7、者管理;安全域管理中,WebLogic portal采用了WebLogic Server提供的安全域(security realm)机制管理用户,用户组和加载第三方安全厂商的信息。在原Server的安全域上,对用户和用户组的管理增加了新的属性,通过每个portal管理控制台创建的用户和组信息也可以通过WebLogic Server的管理控制台进行属性配置和修改。Portal中的角色管理是Portal的独立的管理模块,因此在Portal中定义的角色信息不会在WebLogic的GobalRoles进行配置。v Portal管理Permission的管理;Portal对管理权限采用Delegate方
8、式实现权限分配,在Portal管理控制台中可以配置管理权限的Delegate角色,为Delegate角色分配管理权限。属于该Delegate角色的用户成员或用户组都具备Delegate角色中的管理权限。v Portal访问控制Portlet的管理;与管理权限分配机制相似,Portal对访问控制Portlet也通过对访问控制角色定义不同的权限实现。在Portal 的管理控制台中定义Vistor Entitlement角色,并将Portlet的管理权限分配给定义的Vistor Entitlement角色。属于该Vistor Entitlement角色的用户成员或用户组都具备角色中指定的内容资源管理
9、的权限。v 单点登录:包括WebLogic Portal内嵌的单点登录和集成第三方的单点登录系统两种模式;单点登录方面WebLogic Portal模块化安全域模型构成了WebLogic Portal与第三方安全产品集成的基础。众多第三方安全产品厂商提供了支持WebLogic 的SSO产品,通过配置WebLogic Portal使用厂商提供的安全域实现单点登陆。WebLogic Portal集成的优点是使门户应用能够与第三方安全服务共享用户名和用户组/角色,进而实现无缝的安全认证。因此,储存于外部安全库的用户名能够被WebLogic Portal识别。另外,来自于第三方安全产品的组成员信息也能
10、被用于定义组的门户,并为用户访问门户页面和Portlet建立基本的授权。本文档考虑到河南移动的SSO采用了第三方的安全产品(Netegrity的Siteminder),单点登录的安排配置主要针对与Sitemider产品集成做详细介绍。v SSL协议。SSL协议保证用户在使用服务在信息通道上的安全,WebLogic Portal的SSL是基于WebLogic Server实现的,主要内容包括: 获得私钥和数字证书; 保存私钥和数字签名; 配置单向SSL; 配置双向SSL。1.3 特点与局限性1.3.1 集成的安全性BEA WebLogic Server 8.1为企业应用程序提供了解决整体安全问题
11、的集成方法。这个方法在业界是独一无二的,其他应用程序服务器供应商、开放源代码产品和专用的安全解决方案都没能达到这样的程度:可以提供强大的、灵活的、可扩展的安全架构。有了这个框架,应用程序安全不再是亡羊补牢了:它变成了应用程序基础架构的一项功能,并从应用程序分离出来。有了这个框架,任何部署在BEA WebLogic Server上的应用程序,都可以得到安全保护,或者通过服务器自带的安全特性,或者通过对开放安全服务提供者接口进行扩展以实现定制安全解决方案,或者通过插入来自客户用作企业标准的主流安全供应商的其他专门的安全解决方案。1.3.2 兼容性新的BEA WebLogic安全框架革新了应用程序层
12、的安全性。但是,您可能已经在WLW 6.X的安全领域上做了相当的投资。您可能不想立即升级安全模型,所以框架提供了一个领域适配器,用于向后兼容性。实质来说,这个适配器就是BEA WebLogic 6.x中完整的安全子系统,而框架把它和其他实现认证和授权SPI的服务提供者同样对待。在服务器启动时,适配器像以前一样从部署描述符里提取访问控制定义。在运行时,它通过对应的SPI,接受框架委托给它的认证和授权请求。从您的角度来看,BEA WebLogic 8.1的安全性工作起来就像6.x的安全性一样。从服务器的角度来看,领域适配器则完全集成进了8.1安全框架。一旦您决定了迁移到安全框架,您可以方便地从6.
13、x的定义里导入安全信息。您甚至还可以同时用领域适配器和安全框架本身的提供者,以便确认升级行为正确无误。1.3.3 安全管理特性1.3.3.1 外周认证在SSO或集成安全认证的情况下,是由BEA WebLogic自己的认证器之外的部分来负责担保请求者的身份。这个部分有可能是BEA WebLogic Server的SSL层,也可能是Kerberos系统,也有可能是居中的Web服务。在这些情况下,第三方提供应用程序可以验证的令牌。只要应用程序相信第三方,就可以接受一个通过验证的令牌,好像它就是原始用户凭据一样。安全框架使用了非常简单的机制来与这类系统协作。第三方需要做的全部工作,就是把它的令牌放在H
14、TTP头里。安全框架检查令牌,并根据令牌类型分配合适的服务提供者。如果进来的是来自中立SSL认证的X.509证书,框架分配的提供者会有这样的能力:验证证书链,一直验证到根证书授权机构,甚至还可以用在线证书状态检测协议来检查证书目前的有效性。如果进来的是Kerberos凭证或安全令牌,适当的提供者会对令牌解码,并执行必要的验证。一旦提供者执行完验证,就会把凭据里的身份映射成本地用户。框架用这个本地用户回调JAAS,然后JAAS填充J2EE 1.3所规定的主体(Principal)对象。所以,这个方法在提供巨大灵活性的同时,完全遵守适当的标准。第三方提供者或企业开发团队可以把任何认证技术与BEA
15、WLS集成在一起,只要这些技术能够填充HTTP头。集成BEA WLS应用程序和Web SSO解决方案很容易,因为它们中的大多数,包括SAML,都已经使用cookie或HTTP头了。1.3.3.2 角色关联多数应用程序安全模型使用角色的概念。角色在用户和资源之间提供了一个迂回层,可以提高管理的方便性。它们很像组,但是更加动态。通常来说,安全管理员根据规划把用户分配到一个组,然后在用户的工作责任变化时,再修改这个分配。角色的变化则更频繁,甚至根据具体情况,从请求到请求就发生变化。安全框架既支持组,也支持角色。图1-2所示的屏幕截图显示了可以很容易地以图形化方式配置组和角色。 图1-2. 动态角色映
16、射过程1.3.3.3 凭据映射企业通常想把对后台数据库、打包应用程序或者传统系统的每一个请求,都绑定在一个最终用户身上。所以,当J2EE对象代表用户访问后端系统时,就必须向系统提供适当的凭据。基本的问题是,要把J2EE主体映射到后端系统凭据。自带的服务提供者解决了多数情况下用户名/口令凭据的问题。每个BEA WebLogic Server实例都有一个内嵌的LDAP目录,在里面保存了每个有效主体和后端系统组合的加密过的用户名/口令对。对安全不断增长的关注,有可能形成对更复杂的第三方或定制提供者的需求。某些数据库的最新版本可以使用Kerberos凭证。同样,一些打包应用程序的最新版本可以使用不同形
17、式的强认证,而许多主机系统使用RACF。安全框架能够轻松地适应支持这些替代项的第三方或定制提供者。第2章 3A2.1 认证(authentication)认证是第一道防线。知道请求者的身份,应用程序层就能决定是否通过他们的请求,并对攻击者布下一道防线。从根本上说,所有认证方案的工作方式都相同。它们提供凭据来建立身份,并提供某种手段来验证凭据。但是,凭据的形式和验证机制多种多样。企业选择每一种认证方案都取决于大量因素,包括受保护资源的敏感程度、预期的攻击模型以及解决方案生命周期的成本。多数情况下,企业已经有了一种或多种认证方案在使用中,所以中间件必须与这些方案协作,接受它们的凭据,采用它们的验证
18、机制。没有这种协作,企业就不得不采用口令这样的最小公因子方案,这样就可能把这类中间件的应用限制在一些低价值的应用程序中。Web单点登录(single sign-on,SSO)的问题更加困难。SSO的动机来自Web应用程序的分布式本质。从用户的角度来说,一个应用程序可以实际包括大量不同的软件组件,运行在大量不同服务器上,甚至可以由大量不同的组织操作。但是,用户不想每次单击一个链接,因为是到不同地点的链接,就得重新提交凭据。用户的体验应当是无缝的。采用现有认证方案之前的问题,只是要求理解凭据格式并与验证机制集成。但是,使用Web SSO时,用户在许多情况下甚至不想提供凭据。不用看到用户的凭据就能建
19、立用户身份的技巧,需要在处理用户会话的两台服务器之间进行复杂的后台通信。有大量专有的解决方案,而且有些已经成为这些通信的标准,但是对于可以预见的未来,很有可能一个特定应用程序必须要支持多种技术,所以必须要有一个开放模型。处理其他Web应用程序组件涉及到与前端的协作,但是中间件基础架构还必须与后端协作。数据库已经存在了很长时间,企业对于数据库安全非常小心在意。企业实际上不相信前端和中间件层。如果攻击者攻陷了这些层里的任意一个,就有可能发送一系列数据库请求,请求可能会返回数据库里保存的大量数据。同样,如果前端或中间件组件有缺陷,那么有可能会为错误的用户请求数据,因而可能造成私密信息的泄漏。因此,许
20、多企业想把每个数据库请求都绑定到一个具体终端用户上,包括用于建立用户身份的适当凭据。应用程序必须做好准备来传递这个信息。2.2 授权(authorization)一旦应用程序已经生成了请求者的身份,就必须确定现有安全策略集是否允许它通过该请求。通常情况下,中间件基础架构(例如J2EE)使用静态的基于角色的系统。在用户规划的时候,安全管理员会明确地给用户分配角色,然后当条件要求时,再更新这些分配。在组件部署期间,安全管理员指定允许哪些角色访问组件。在运行的时候,如果请求来自具备必要角色的用户,那么应用程序就许可该请求。这种静态的方法忽视了许多业务策略的动态本质。想想控制银行帐户、费用报告、银行出
21、纳等策略的例子。对于银行帐户,每个客户都应当只能访问他自己的帐户。对于费用报告,经理只能批准规定额度内的费用,而且不能批准自己的费用。对于银行出纳来说,只有在他们当班的时候才能履行出纳的职责。甚至还有更加复杂的策略,这时授权取决于分配给用户的角色以及请求的内容的组合。中间件基础架构必须明确地支持这些种类的动态策略,或者至少提供足够的上下文来做这些专业安全工作。对于动态授权的需求增加了管理问题。我们当然不想强迫安全管理员成为编程语言(如Java)专家。当然,会有一些非常规情况需要一些定制编程,但是例行公事地更新费用报告授权的资金额度并不需要编程。在更现实的层面上,我们也不想强迫管理员去深入XML
22、格式的部署描述符,然后重新部署组件以更新角色分配。安全管理员需要设计良好的、图形化的用户界面,让他们可以执行所有例行任务,以及大多数运行时的非例行任务。管理用户列表以及为用户分配的角色、修改组件的保护级别、配置动态约束,都应当只需要一点点时间。对安全管理员来说,更大的麻烦来自从一个授权服务迁移到另外一个。由于授权决策的复杂性,许多企业依赖专业化的服务,所有应用程序都把这类决策委托给专业服务。当需要执行主要的版本更新或转换到另外一个服务的时候,管理员就面临了困境。什么时候转换到新提供者?要关注的是新服务中的缺陷或配置问题。管理员们不想因为转换就造成扑天盖地的不当授权或错误地拒绝用户。他们实际喜欢
23、的是同时应用二套系统,关注新旧服务之间决策的差异,但是这种方法,要求中间件基础架构要具备更高的与安全生态系统中其他部分协作的能力。2.3 审计(auditing)如果一个应用程序能够同时使用两种不同的授权服务,那么选项之间的差异会是非常值得注意的事件,而管理员可能想知道这些差异。不幸的是,多数中间件基础架构忽略了这类安全审计。恰当的审计不仅仅是把信息写进磁盘。为了支持验证、侦测和调查 职责,管理员需要在单一位置记录所有安全事件,需要对特殊的重要事件提供主动通知,还需要迅速搜索记录的能力。安全管理员负责保证与信息访问有关的企业策略的实施。显然,他们首先必须指定这些策略,最好是用前面所说的那种生产
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IBM中国移动WebLogic Portal安全配置手册 IBM 中国移动 WebLogic Portal 安全 配置 手册
链接地址:https://www.31ppt.com/p-2397078.html