>

利用 IBM Tivoli Directory Server V5.2 實現 WebSphere Application Server V6.0.x 的全局安全性并保護 WAS 管理控制臺

文檔選項 將此頁作為電子郵件發送 未顯示需要 JavaScript 的文檔選項

級別： 初級

李 珂嘉, IBM 中國資深軟件工程師, IBM Software Group

2007 年 3 月 21 日

本文本著實用的目的，介紹在WebSphere Application Server Network Deployment V6.0.x的環境中如何結合IBM Tivoli Directory Server V5.2保護WAS的管理服務器。

1 摘要

在WebSphere Application Server V6.0.x的環境中，其管理服務缺省是未啟用安全性的。在生產環境中，這樣的缺省設置一定要注意。其帶來的直接影響就是：WAS的管理控制臺并不要求驗證用戶名密碼就能登陸，進行所有的管理操作。鑒于生產環境的重要性，保護WAS的管理服務，是一定要采取的必要行動。

WAS的許多文章都討論了如何啟用安全性，如何利用各種用戶注冊表來進行安全性驗證。由于在ND的環境中，SWAM（簡單WebSphere認證機制）是不支持的，因此"LTPA（輕量級第三方認證） ＋ LDAP（輕量級目錄訪問協議）用戶注冊表"是我們保護WAS的首選方式。本文本著實用的目的，介紹在WebSphere Application Server Network Deployment V6.0.x的環境中如何結合IBM Tivoli Directory Server V5.2保護WAS的管理服務器。

回頁首

2 引言

本文討論如何啟用WebSphere Application Server Network Deployment V6.0.x的全局安全性，并使用IBM Tivoli Directory Server V5.2作為管理用戶的注冊表。這種情況適用于配置了集群的WAS ND環境。本文只簡單討論了WAS全局安全性的啟用，并未深入討論其對部署在WAS中應用的影響。如果相要進一步了解這方面的內容，請參看WAS的在線文檔：InfoCenter。

因此本文適用于應用的安全性是自行開發實現，并沒有使用J2EE和WAS安全框架的情況。

本文的示例基于AIX操作系統，供大家參考。

回頁首

3 如何保護WAS及其相關的環境

3.1 WAS ND 安裝拓撲：

下圖顯示了用于 WebSphere Application Server Network Deployment 安裝的典型集群多層企業計算環境。

當啟用了WAS的全局安全性后，登陸WAS的管理控制臺會啟用SSL，而在WAS中HTTPS 端口配置缺省使用的是自簽署證書： DummyServerKeyFile.jks 和 DummyServerTrustFile.jks。

但使用這樣的虛密鑰和信任文件證書不安全，并且會在一定時間后過期，在生產環境，您必須生成自己的證書，以立即替換虛密鑰。

3.2 全局和管理安全性：

WebSphere Application Server 內部通信通過 CSIv2 和安全認證服務（SAS）安全協議以及 HTTP 和 HTTPS 協議彼此交互。

啟用 WebSphere Application Server 全局安全性時，可以同時配置相關的協議以使用安全套接字層（SSL）。啟用全局安全性后，每臺服務器中的 WebSphere Application Server 管理子系統在進行配置和同步時，所采用的SOAP JMX 連接器會使用 HTTPS 協議。因此建議您啟用全局安全性并啟用 SSL 以保護您的配置數據。

啟用全局安全性后，可以通過去掉"全局安全性"頁面上的"啟用全局安全性"選項來禁用每個應用程序服務器上的應用程序安全性。請從管理控制臺，單擊"安全性 > 全局安全性"訪問"全局安全性"頁面。

3.3 基于角色的安全性：

WebSphere Application Server的管理系統定義了四個管理安全性角色：

1. 監控員角色

監控員可以查看配置信息和狀態，但是不能進行任何更改。

2. 操作員角色

操作員可以更改運行時狀態（例如啟動應用程序服務器或停止應用程序），但是不能進行配置更改。

3. 配置者角色

配置者可以修改配置信息，但是不能更改運行時的狀態。

4. 管理員角色

管理員上述三種角色的權力，可以修改安全配置和安全策略（例如，設置服務器標識和密碼）、啟用或禁用全局安全性和 Java 2 安全性，以及將用戶和組映射到管理員角色。

回頁首

4 管理控制臺用戶注冊表

WebSphere Application Server 提供幾種安全用戶實現方式，目前一般采用三種方式來安全認證訪問用戶：

1. 本地操作系統用戶（Local OS）

采用本機操作系統用戶驗證登錄。

2. LDAP

需要安裝LDAP服務器，比如IBM Directory Server、Lotus Domino LDAP 服務器、SunONE 或 iPlanet Directory Server、Microsoft Active Directory Server等。

3. 定制注冊表（Custom Register）

當用戶信息存放于非第一或者第二中注冊表中時，您可以通過實現 UserRegistry 接口使用產品環境中存放用戶信息使用的任何注冊表。

在當前用戶和組的信息以某些其他格式（例如，數據庫）存放并且無法移到本地操作系統用戶或 LDAP 的情況下，請實現WAS的 UserRegistry 接口，這樣 WebSphere Application Server 就可以將現有注冊表用于所有與安全性相關的操作。

注意：盡管 WebSphere Application Server 支持不同類型的用戶注冊表，但只能有一個用戶注冊表是活動的。

在本文討論的安全策略中，由于本地操作系統的用戶本身就需要考慮安全保密的問題，而且密碼會經常更改，因此不適宜用于管理控制臺安全性設置。定制注冊表的方式又太過復雜。因此本方案建議采用LDAP的方式進行用戶管理注冊。

4.1 輕量級目錄訪問協議（LDAP）

輕量級目錄訪問協議（LDAP）是我們推薦使用的用戶注冊表，它利用 LDAP 綁定執行認證。

WebSphere Application Server 安全性能夠支持多數主流 LDAP 目錄服務器產品。要將 LDAP 用作用戶注冊表，您需要知道有效的用戶名（標識）、用戶密碼、服務器主機和端口、基本專有名稱（DN）。

當在WAS中啟用安全性時，服務啟動需要輸入LDAP服務器的標識和密碼并由LDAP注冊表認證。如果認證失敗，服務器無法啟動。因此，選擇不會到期或不經常更改的標識和密碼是很重要的。如果需要在LDAP注冊表中更改WAS管理控制臺的用戶標識或密碼，確保一定要在所有WAS服務啟動并正在運行時執行更改，否則WAS將會無法正常啟動。

如果LDAP注冊表中更改了用戶標識、密碼和其他配置信息，則在WAS管理控制臺上也要做相關的更改，然后保存、停止并重新啟動所有WAS相關服務器，以使產品使用新的標識或密碼。最妥善的辦法是，在更改LDAP注冊表中信息之前，在WAS的管理控制臺上禁用"全局安全性"，等LDAP的信息修改完成，再修改WAS管理控制臺和其相關的信息，然后啟用安全性，再重啟WAS。

4.2 使用 IBM Tivoli Directory Server 作為 LDAP 服務器

在WebSphere Application Server產品包中包括了一個專業的目錄服務器IBM Tivoli Directory Server（以前的 IBM Directory Server）。IBM Tivoli Directory Server是IBM公司的LDAP目錄服務器產品。該目錄服務器是目前使用得最為廣泛的目錄服務器之一。該目錄服務器為具有大量用戶信息管理的企業提供用戶管理的基礎服務。

在本例中，由于IBM Tivoli Directory Server中存放的信息只用于管理控制臺的安全性，應用并未使用，因此，只存放了少量的用于管理控制臺的用戶信息。另外，IBM Tivoli Directory Server啟動與否只影響WebSphere Application Server進程的啟停和管理控制臺的登錄，并不影響應用的運行。

重要： 建議您不要在安裝 WebSphere Application Server V6.x 的同一機器上安裝 IBM Tivoli Directory Server V5.2。 如果 IBM Tivoli Directory Server V5.2 和 WebSphere Application Server V6.x 安裝在同一機器上，您可能遇到端口沖突。

在本文討論"管理LDAP"的章節，會談到如果 IBM Tivoli Directory Server V5.2 和 WebSphere Application Server V6.x 安裝在同一機器上，需要做哪些更改以解決這些端口沖突。

IBM Tivoli Directory Server的安裝比較簡單，通過圖形安裝界面的向導即可。請參見其安裝文檔。

Tivoli Directory Server需要DB2存放數據。DB2可以從IBM Tivoli Directory Server的安裝包中一起安裝。本文為了簡單起見，在安裝IBM Tivoli Directory Server之前，請先確定已經安裝了DB2 Version 8.1 FixPak 2。

在AIX操作系統上安裝，請從安裝介質的根目錄中輸入：./setup

4.3 配置管理Tivoli Directory Server

4.3.1 準備數據庫用戶

以AIX系統為例，如果Tivoli Directory Server的底層DB2數據庫未事先安裝，而是在Tivoli Directory Server安裝時一起安裝的，請執行下列操作系統的命令。如果已經實現安裝配置了DB2，請跳過此節，參看下一節。

1. 創建組db2iadm1：

mkgroup db2iadm1
                        

2. 創建用戶db2inst1,該用戶是組db2iadm1 和idsldap（或者ldap）的成員：

mkuser pgrp=db2iadm1 groups=db2iadm1,idsldap home=/home/db2inst1 db2inst1
                        

如果上述命令執行不成功，可以用下面這句：

mkuser pgrp=db2iadm1 groups=db2iadm1,ldap home=/home/db2inst1 db2inst1
                        

3. 為db2inst1設置password：

passwd db2inst1
                        

4. 將root 用戶加入組 db2iadm1：

/usr/bin/chgrpmem -m + root db2iadm1
                        

4.3.2 配置LDAP：

1. 執行/usr/ldap/bin/ldapxcfg，啟動LDAP的圖形化配置界面。

2. 設置LDAP的管理員 DN/password，這里密碼設為"password"：

3. 配置LDAP的底層數據庫，請按照如下步驟和截圖上的信息輸入：

a) 步驟一

b) 步驟二

c) 步驟三

d) 步驟四

e) 步驟五：選擇數據庫文件所在的路徑。

注意，如果沒有root用戶權限，則請把該數據庫文件的路徑放在/home/db2inst1下，而不是下圖中示意的路徑：

f) 步驟六

g) 配置成功：

4. 管理后綴：

該步驟是為WAS的管理用戶創建一個新的后綴（也就是WAS的管理用戶信息的根。在本例中，WAS管理用戶信息在LDAP中的子樹的根為o=test）。該示例為：o=test

4.3.3 管理LDAP

1. 啟動和停止管理守護程序

缺省情況下，LDAP安裝好后，管理守護程序就自動啟動了。如果要手工啟動和停止，參看下列方法：

a) 啟動Tivoli Directory Server目錄管理守護程序，請執行該命令：

Ibmdiradm
                        

b) 停止Tivoli Directory Server目錄管理守護程序，請執行該命令：

ibmdirctl -D <adminDN> -w <adminPW> admstop
                        

（注意，在本例中，<adminDN>為cn=root， <adminPW>為password）或者使用：

ps -ef | grep ibmdiradm
                        kill -p <pid obtained by previous command>
                        

2. LDAP管理

a) 解決開始管理之前的端口沖突：

本文一開始介紹過，建議IBM Tivoli Directory Server V5.2 和 WebSphere Application Server V6.x 不要安裝在同一機器上。如果您是這種情況，請跳過該步驟，從步驟b)開始。

本步驟針對LDAP服務器和WAS ND服務器同在一臺服務器的情況。

TDS采用WebSphere Application Server - Express實現管理服務，會和WAS ND產生端口沖突。因此在開始前請一定更改WebSphere Application Server - Express的缺省端口號。

WebSphere Application Server - Express 使用6個缺省端口設置

i. Http 傳輸端口1:9080
ii. Http 傳輸端口2:9443
iii. Bootstrap/rmi 端口:2809
iv. Soap 聯接器端口:8880
v. 管理端口9090，和AIX的服務沖突
vi. 管理端口的加密端口9043

在TDS中，WebSphere Application Server - Express 的安裝目錄是"/usr/ldap/appsrv"，請在如下目錄的三個文件中，找到上述6個端口號，更改為不會和其它服務沖突的端口：

• /usr/ldap/appsrv/config/cells/DefaultNode/nodes/DefaultNode/servers/server1/server.xml
• /usr/ldap/appsrv/config/cells/DefaultNode/virtualhosts.xml
• /usr/ldap/appsrv/config/cells/DefaultNode/nodes/DefaultNode/serverindex.xml

在AIX上執行如下命令，找到6個沒有被占用的端口號：

• netstat -na | grep 9070
• netstat -na | grep 9477
• netstat -na | grep 2801
• netstat -na | grep 8770
• netstat -an | grep 9091
• netstat -an | grep 9047

將上述三個文件做好備份，然后做如下更改：

• 9080 更改為9070
• 9443更改為9477
• 2809更改為2801
• 8880更改為8770
• 9090更改為9091
• 9043更改為9047

b) 請轉至如下目錄并啟動TDS里帶的WAS-Express：

<IDSinstalldir>/ldap/appsrv/bin/startServer.sh server1
                        

c) 登錄Tivoli Directory Server管理控制臺：

http://localhost:9080/IDSWebApp/IDSjsp/Login.jsp
                        

輸入缺省用戶名：superadmin

密碼：secret

注意，上述密碼是缺省的，可以在登錄后更改。

d) 配置一個受管理的LDAP服務器：

e) 退出到管理控制帶的登錄界面，從下拉菜單中選擇服務器的LDAP主機名，輸入該服務器的DN（例如"cn=root"）和密碼。

f) 啟動/停止LDAP服務器的界面：

4.3.4 為WAS的管理添加用戶（錄入數據）：

1. 登錄Tivoli Directory Server管理控制臺（從下拉菜單中選擇服務器的LDAP主機名，輸入該服務器的DN（例如"cn=root"）和密碼。）：http://localhost:9080/IDSWebApp/IDSjsp/Login.jsp

2. 創建o=test子樹的根：

a) 按照下圖所示，點擊"添加"

b) 按照下圖所示，選擇"organization"

c) 在添加輔助對象類的界面上保持缺省，點擊下一步。

d) 注意下面界面中紅色方框中的值，父DN中內容一定要為空

e) 點擊確定,然后按下圖選擇，然后點擊"添加"。

f) 選擇organizationalPerson：

g) 在"選擇輔助對象類"的界面上選擇"ePerson"，點擊"添加"

h) 點擊"下一步"開始建用戶。

i) 以"admin2"用戶為例，在"必需屬性"頁面上，輸入如下信息。

j) 選中"其它屬性"頁面，在"uid"和"userPassword"兩欄輸入如下信息。注意，對于"admin2"用戶來說，uid這一屬性很關鍵。

k) 在頁面底部點擊"完成"。

l) 按照上述方法，在LDAP服務器中可以加入多個類似用戶(注意，大小寫敏感)。

4.4 Tivoli Directory Server中的數據備份和恢復

存放于Tivoli Directory Server中的用戶信息設置完畢之后，強烈建議立即進行數據備份。備份和恢復的方法都很簡單：

4.4.1 數據備份：

數據備份有兩種方式：圖形界面方式和命令行方式。

圖形界面方式如圖：執行/usr/ldap/bin/ldapxcfg，啟動LDAP的圖形化配置界面，如圖：

命令行方式：

db2ldif -o <outputfile> [-f <configfile>]
                        [[-s <subtree DN>[-x]] | [-p on|off] [-l]] [-j] | [-?]
                        

注意：可在任何時候運行此實用程序而無需停止服務器。所有選項都區分大小寫。

示例，要導出本例中的數據，可以用以下命令即可：

db2ldif -o /temp/ldapbackup.ldif -s o=test -j
                        

注釋：導出的ldif文件中，密碼是加密的，不用擔心密碼明碼泄露。

4.4.2 數據恢復（導入）：

當重新安裝了TDS（LDAP），或者因為其它原因需要重新錄入這些用戶數據時，可以采用此方法恢復數據。

數據恢復也有兩種方式：圖形界面方式和命令行方式。

圖形界面方式如圖：

命令行方式：

ldif2db -i <inputfile> [-f <configurationfile>] [-r yes|no] | -?
                        

注意：在使用服務器導入實用程序之前，必須停止服務器。 確保應用程序未連接到目錄數據庫。如果有應用程序連接到目錄數據庫，則服務器實用程序將不運行

示例，要導出本例中的數據，可以用以下命令即可：

ldif2db -i /temp/ldapbackup.ldif
                        

4.4.3 Tivoli Directory Server的重新安裝

當發生最極端的情況（或者因為特殊的原因）需要重新安裝Tivoli Directory Server時，WebSphere Application Server的運行、配置以及其中的應用都不會受影響。在Tivoli Directory Server重新安裝后，請按照第2章中的2.3.2節步驟，重新配置LDAP，然后按照上一節的方法，將以前備份好的LDAP數據恢復到Tivoli Directory Server中即可。在下一節中提到的雙機冷備方案中，備份服務器的安裝也可以采用這種方式，即把主服務器的數據備份出來，再恢復到備份服務器中就可以很好的保持數據一致了。

4.5 Tivoli Directory Server的高可用實施方案

在本文討論的安全策略中，IBM Tivoli Directory Server中存放的信息只用于管理控制臺的安全性，應用并未使用，因此，Tivoli Directory Server只存放了少量的用于管理控制臺的用戶信息。另外，IBM Tivoli Directory Server啟動與否只影響WebSphere Application Server進程的啟動、停止和管理控制臺的登錄，并不影響應用的運行。

也就是說，Tivoli Directory Server失效或者宕機，WebSphere Application Server的進程和應用的運行完全不受其影響，可以照常運行。但是WebSphere Application Server就無法正常啟動和停止（WebSphere Application Server的停止可以通過殺掉Java進程的方法實現），并無法登錄管理控制臺。

基于上述考慮，應該為Tivoli Directory Server實施高可用方案。 Tivoli Directory Server的高可用實施方案和數據庫類似，最常用的方式為雙機熱備，即利用IT環境中現有的數據庫雙機熱備來實現。但以客戶常見的實際情況來講，目前有兩種方案建議。

方案一：利用現有設備進行雙機熱備

目前大多數應用的兩臺數據庫服務器已經實現了雙機熱備。因此可以利用這兩臺服務器和已有的設備，將Tivoli Directory Server安裝于這兩臺服務器上。Tivoli Directory Server的實際數據存放于其自帶的DB2數據庫中，或者利用客戶已有的DB2數據庫，因此實現雙機熱備的方法和應用數據庫幾乎完全一樣。

但是這種方案的缺點在于，兩臺數據庫服務器上都是非常重要的業務數據，從經驗上來看，不應該在這兩臺服務器上安裝別的軟件，以免受到不必要的影響。

如果能夠有另外兩臺服務器和存儲專門用來做Tivoli Directory Server的雙機熱備固然很理想，但是出于成本和必要性的考慮，實際上Tivoli Directory Server完全不用雙機熱備。因此可以考慮方案二。

方案二：雙機冷備

鑒于方案一中數據庫服務器的重要性，再結合前面提到的因素：Tivoli Directory Server失效或者宕機并不影響生產系統正常運行，因此雙機冷備也是可以考慮的一種比較經濟實用的方式。

考慮到Tivoli Directory Server中存放的數據非常少，因此對選用的服務器性能要求不高，可以是非常小型的服務器，或者PC服務器（1G內存的服務器即可）均可。

在該方案中，做備份的服務器和主服務器配置成一樣的IP地址和主機名，存放完全一樣的數據（實現方式為：在主服務器中錄入用戶數據后，從主服務器中導出數據，再在備份服務器中導入數據。方法詳見上一節）。平時不啟用，當主服務器發生問題時，停止主服務器，人工啟用備份服務器即可。

回頁首

5 WAS全局安全性

注意：啟用安全性后，WebSphere Application Server中和WAS安全框架相關的應用性能會降低 10-20%。不過本文討論的情況不涉及客戶應用的安全性，故應用性能不受此影響。

5.1 配置全局安全性

1. 在啟動 WebSphere Application Server 后，從地址 http://yourhost:9060/ibm/console 啟動 WebSphere Application Server 管理控制臺。如果當前并為啟用安全性，則可使用任何用戶標識登錄。如果當前已經啟用安全性，則使用預定義的管理標識和密碼（這通常是您在配置用戶注冊表時指定的服務器用戶標識）登錄。

2. 點擊"安全性 > 全局安全性"，請在右邊出現的頁面上選擇："用戶注冊表' LDAP"

3. 配置用戶注冊表。

請以下圖為例輸入信息（注意：cn=wasadmin這一用戶已經在LDAP里配好了。配置方法請見前面的章節，和配置admin2用戶的方法完全一樣）：

4. 單擊安全性 > 全局安全性，在頁面的右側點擊"認證機制 > LTPA"：

設置LTPA的密碼為"password"，點擊"確定"：

5. 回到"全局安全性"頁面，選擇"啟用全局安全性"：

6. 添加控制臺用戶：

注意：在"用戶"一欄，可以像本例一樣寫全該用戶的DN，也可以用短名，例如只填寫"admin1"。在這里是否能使用短名，還是象下圖一樣必須寫完整的用戶名，取決于WAS中的LDAP用戶過濾規則。詳細說明請參見后面的章節"8.1 如何在WAS中使用短用戶名？"

管理控制臺定義了四個管理角色，來提供從管理控制臺或從命令行執行某些 WebSphere Application Server 管理功能所需的權限級別。僅當啟用全局安全性時才執行授權策略。四個管理安全角色在下列表中定義：

當啟用全局安全性時，如果您沒有添加控制臺用戶并指定角色，則可以利用上述第三步中配置用戶注冊表的用戶（本例中是wasadmin）登陸WAS的管理控制臺。該用戶缺省就具有管理員權限。

添加控制臺用戶并指定角色時，要注意這些用戶必須提前在LDAP服務器中配置好。這些用戶和組的驗證取決于LDAP用戶注冊表。

6. 在"安全性 > 全局安全性"面板上單擊確定或應用，并且沒有驗證問題，則此操作完成。保存配置并重新啟動服務器（DM）。

7. 在 WebSphere Application Server Deployment Manager 啟動后，通過輸入 http://yourhost:9060/ibm/console 啟動 WebSphere Application Server 管理控制臺。使用預定義的管理標識和密碼（這通常是您在配置用戶注冊表時指定的服務器用戶標識）登錄。 例如本例中，即可用admin1登錄。

回頁首

6 更改缺省安全套接字層（SSL）配置表密鑰文件

缺省安全套接字層（SSL）配置表在啟用全局安全性時用于內部 Java 進程間的安全通信。由于WAS缺省的密鑰文件只用于sample環境，會在一段時間后過期，強烈建議在生產系統生成新的密鑰文件。

6.1 生成新的自簽名密鑰文件：

WebSphere Application Server 提供圖形工具（密鑰管理實用程序（iKeyman）），用于管理密鑰和證書。使用密鑰管理實用程序，您可以：

• 創建新的密鑰數據庫。
• 創建自簽署數字證書
• 添加認證中心（CA）根到密鑰數據庫作為簽署者證書
• 請求并從 CA 接收數字證書

啟動密鑰管理工具：

1. 動到 WAStall_root/bin 目錄。
2. 發出下列命令之一：
   • 在 Windows 系統上，ikeyman.bat
   • 在 UNIX 系統上，ikeyman.sh

生成密鑰文件：

1. 選擇：密鑰數據庫文件-> 新建

2. 密鑰數據庫類型選擇：JKS，然后輸入文件名和位置。

3. 刪除"簽署個人證書"列表中的現有證書。

4. 點擊：創建-> 新建自簽署證書

5. 點擊：抽取證書

接下來生成trust JKS（信任）文件。步驟如下：

1. 選擇：密鑰數據庫文件-> 新建

2. 密鑰數據庫類型選擇：JKS

3. 在列表中選擇：簽署個人證書

4. 選擇：添加

5. 將剛才制作密鑰文件時抽取出來的證書添加進來。

6.2 更改缺省SSL配置

1. 單擊安全性 > SSL > node_SSL_settings。

2. 修改密鑰文件名和密鑰文件密碼字段的值，以訪問新的密鑰文件。

3. 從匹配新密鑰文件所使用格式的"密鑰文件格式"選項選擇格式。

4. 修改信任文件名和信任文件密碼字段的值，以訪問新的信任文件。

5. 從匹配新信任文件所使用格式的"信任文件格式"選項選擇格式。

6. 單擊應用，應用更改。

7. 如果錯誤消息不顯示在窗口的頂部，單擊保存以保存對主配置的更改。

如圖：

回頁首

7 測試安全性

1. 通過啟動管理控制臺 http://hostname.domain:9060/ibm/console 來測試基于 Web 的表單登錄。 基于表單的登錄頁面出現。如果登錄頁面不出現，則嘗試通過輸入 https://myhost.domain:9043/ibm/console 來訪問管理控制臺。

配置安全性時，輸入用于配置用戶注冊表的管理用戶標識和密碼。

2. 啟用安全性后，驗證以安全方式啟動和停止您的系統。 ：

startServer.sh server1 -username <username> -password <password>
                        stopServer.sh server1 -username <username> -password <password>
                        

在本例中，<username>為wasadmin，<password>為password

3. 如果您有任何問題，則分別查看 WebSphere Application Server /logs/server_name 目錄中的輸出日志。

回頁首

8 使用WAS和TDS的小技巧

本章節根據一些熱心讀者的反饋總結。首先感謝大家的支持。歡迎大家繼續提出問題或者踴躍反饋建議，可以使本章內容更加豐富。

8.1 如何在WAS中使用短用戶名？

在本文前面的章節"5.1 配置全局安全性"中提到，WAS中使用TDS做用戶注冊表管理，可以使用短名。例如前面幾次提到的添加用戶操作，除了輸入完整的用戶名"cn=admin1,o=test"，也可以用短名"admin1"。在設置完成后，登錄WAS的管理控制臺時也是同樣。完整用戶名和短名均可。但要支持短名的方式，請注意您在TDS中創建的用戶信息所使用的ObjectClass（輔助對象類）是否符合WAS中的用戶過濾器規則。

如要查看WAS中的用戶過濾器規則，請在WAS的管理控制臺上點擊："全局安全性 > LDAP > 高級輕量級目錄訪問協議（LDAP）用戶注冊表設置"，出現頁面如下圖所示：

其中請特別注意"用戶過濾器"一欄，內容為"(&(uid=%v)(objectclass=ePerson))"。該欄目顯示了WAS缺省的ObjectClass（輔助對象類）為"ePerson"。因此，請注意本文的章節"4.3.4 為WAS的管理添加用戶（錄入數據）"中，添加的用戶都要使用"ePerson"作為輔助對象類。

綜上。如果您自己導入了一個現有的ldif文件，或者輸入了一些用戶信息，發現在WAS中不能使用短名，只能使用類似"cn=admin1,o=test"的完整用戶名（對用戶來說的確非常不方便），一般來說原因就是您的用戶信息沒有使用"ePerson"作為輔助對象類。

更正的方法有兩個：

1. 在上面提到的WAS頁面中修改"用戶過濾器"規則，將"(&(uid=%v)(objectclass=ePerson))"中的"ePerson"修改為您所使用的ObjectClass（輔助對象類），例如比較常用的"inetOrgPerson"或者"Person"。

2. 不修改WAS中的用戶過濾規則，修改您TDS中的用戶信息，更改或添加ObjectClass（輔助對象類）為"ePerson"。不過這個方法工作量更大。

8.2 如何禁用一個用戶？

很遺憾，在TDS里是不支持禁用用戶的。因為用戶信息在TDS里就是一個ObjectClass的條目存放，和其它的條目沒有什么區別。

如果業務需要禁用一個用戶，最簡單的方法是從TDS里刪除該用戶條目，或者更改該用戶的密碼來使客戶端不能使用這個用戶。但如果希望保存該用戶原始信息，僅僅是不能使用，則需要從應用中進行控制。對于WAS管理控制臺，就比較簡單，從管理控制臺的控制臺用戶列表中刪除即可。

在Tivoli的產品里，要想實現用戶的禁用，請使用Tivoli Access Manager(TAM)。

關于作者

		李珂嘉,Senior I/T Specialist,IBM(中國)有限公司 軟件部,2000年加入IBM，目前為IBM軟件部(SWG)資深信息工程師，從事WebSphere