WAS6启用全局安全性及增加控制台用户的操作手册

1、.启用WAS全局安全性及增加控制台用户的操作手册 操作步骤为了实现WAS的安全管理，限定用户登录管理控制台以及启停Server，可以通过启用管理控制台的全局安全性来实现。而限定用户可以是操作系统上的用户，LDAP域用户或者定制用户。根据目前计费系统的情况，可以采用定制用户的方法或者使用操作系统用户的方法来实现用户注册表，从而启用全局安全性。具体的设置方法如下。启用全局安全性的步骤：一、用户注册表（一）采用定制用户注册表的方法：1、在每台机器上指定的目录<WAS install dir>/user下创建ps和ps文件：ps文件的

2、样例：# 5639-D57, 5630-A36, 5630-A37, 5724-D18 # (C) COPYRIGHT International Business Machines Corp. 1997, 2005# All Rights Reserved * Licensed Materials - Property of IBM# Format:# name:passwd:uid:gids:display name# where name = userId/userName of the user# passwd = password of the user# uid = uniqueI

3、d of the user# gid = groupIds of the groups that the user belongs to# display name = a (optional) display name for the user.bob:bob1:123:567:ps文件的样例：# 5639-D57, 5630-A36, 5630-A37, 5724-D18 # (C) COPYRIGHT International Business Machines Corp. 1997, 2005# All Rights Reserved * Licensed

4、Materials - Property of IBM# Format:# name:gid:users:display name# where name = groupId of the group# gid = uniqueId of the group# users = list of all the userIds that the group contains# display name = a (optional) display name for the group.admins:567:bob:Administrative group2、登录管理控制台。3、安全性à安

5、全管理à定制属性à独立定制注册表。 4、在“服务器用户标识”字段中输入有效用户名；在“服务器用户密码”字段中输入用户的密码。(用户名和密码为ps文件中定制的用户名和密码)5、在“定制注册表类名”字段中，输入实现了 com.ibm.websphere.security.UserRegistry 接口的以点分隔的类名的完整位置。 对于样本来说，该文件名是 com.ibm.websphere.security.FileRegistrySample。该文件在 WebSphere Application Server 类路径中，最好是在 app_server_roo

6、t/lib/ext 目录中。6、将定制注册表类名添加到类路径中。 建议您将包含定制用户注册表实现的 Java 归档（JAR）文件添加到 app_server_root/classes 目录中。7、可选： 选择授权时忽略大小写选项以执行不区分大小写的检查。 仅当用户注册表不区分大小写并且在用户和组查询期间不提供一致的大小写时，才有必要启用此选项。8、输入其他属性以初始化您的实现。 单击定制属性 > 新建。 输入属性名和属性值。 对于样本，输入下面这两个属性。假定 ps 文件和 ps 文件在产品安装目录下的 customer_sample 目录中。可以将

7、这些属性放在您选择的任何目录中并通过定制属性来引用它们的位置。但是，确保该目录有适当的访问许可权。属性名属性值usersFile<WAS install dir>/user/psgroupsFile<WAS install dir>/user /ps由于这些文件是单元里所有节点都需要用到的文件，因此需要在每台机器上都需要在相同目录下建立这两个文件，文件内容要一样。(即第一步)9、确定并保存。通过上述步骤，完成定制用户注册表的设置。（二）采用操作系统用户注册表的方法1、在各台运行WAS的机器上建立操作系统用户，例如可以建立用户wasa

8、dmin，所有机器上的该用户的口令必须一致。2、登录管理控制台。3、安全性à全局安全性，在用户注册表下，选择“本地操作系统”。4、在“服务器用户名”中输入用户名。例如，wasadmin。5、在“服务器用户密码”中输入密码。6、选中“忽略大小写”，然后点确定，保存配置。二、启用全局安全性1、返回到全局安全性的页面。2、单击安全性 > 全局安全性，并配置认证机制、用户注册表等。 配置顺序并不重要。但是，当您选择“全局安全性”面板中的启用全局安全性选项时，验证所有这些任务是否都已完成。设置“启用管理安全性”选项后，在单击应用或确定时，将执行验证以确定是否已配置管理用户标识并且该标识在

9、活动用户注册表中是否存在。可以在活动用户注册表面板上或者使用控制台用户链接来指定管理用户标识。如果没有为活动用户注册表配置管理标识，验证就会失败。3、选中启用全局安全性，不要选中强制Java2安全性。4、在活动用户注册表中，选择“定制用户注册表”或者“本地操作系统”。5、确定并保存。6、在<WAS install dir>profiles<profile name>properties目录下将ps文件中com.ibm.SOAP.loginUserid的值设置为管理员用户ID，com.ibm.SOAP.loginPassword的值设为管理员用户的密码。7、重启服务器，配置生效，需要用户名及口令进行管理控制台的登录。8、将各个节点代理以及节点上的应用服务器停止，然后进行节点同步，同步完成后再启动节点代理以及节点上的应用服务器。可选：为了实现多用户对管理控制台的使用，可以将用户注册表内的用户增加到管理控制台中，具体操作如下：1、 系统管理à控制台设置à控制台用户2、 然后点击“添加”3、 输入用户名及角色（该用户必须是域用户）4、 点击确定5、 保存配置，并重启服务器，配置生效，所添加的用户可以以指定的角色登录到管理控制台。注：各种角色的说明。监控员：只能看系统的状态以