Websphere Business Monitor(以下简称为 Monitor)作为 IBM WebSphere BPM 家族中重要一员,提供了丰富的业务级别的监控和数据分析功能,满足了不同角色客户的需求。在实际生产过程中,客户的业务流程以及应用需要运行在安全的环境下,只有使用赋予相关权限的用户,才能更好地对系统进行管理以及对应用程序进行访问和控制。
由于 Monitor 经常要与其它产品(WebSphere Process Server(WPS),Alphablox,DB2) 结合使用,因此如何实现跨产品的安全属性配置便成为了摆在工程师面前的难题。本文中我们将通过 WebSphpere Application Server(WAS) V6.1 之后新增的联合用户存储库配置选项(Federated Repositories)来为这些产品设置管理安全性和应用程序安全性。
在本文中,我们将阐述在典型的拓扑环境下,如何使用 LDAP 服务器作为认证源,配置一个安全的生成环境的详细步骤。我们以 Monitor V6.1.2 为例,描述了实现跨产品的安全配置。在本文中,我们主要针对 Windows 操作系统 但这些配置过程也同样适用于其它的平台。
由于涉及的产品较多,配置过程比较复杂,我们将分多个部分来进行阐述。首先是介绍典型的拓扑架构以及配置 Monitor V6.1.2的安全环境;之后描述如何实现对 WPS V6.1.2产品的安全性设置以及其它的方面,例如总线安全,监控数据安全等的配置工作。通过这几个部分详细地描述,读者可以轻松实现跨产品环境的安全配置,以解决之前信息分散,配置复杂等问题。
本文中,我们将 Monitor 和 WPS 分别安装在不同的服务器上,并且使用总线链接(Bus Link) 将两台服务器进行连接。本文中假设我们在一个典型拓扑环境中配置安全属性,如图 1,Monitor V6.1.2 安装于 server1,WPS V6.1.2 安装在 server2,server3 上面运行着 LDAP 服务器。我们将通过交换 LTPA KEY 的方式来进行服务器之间的相互鉴权。使用这样的拓扑结构既可以起到模拟生产环境的作用,配置简单易用,又可以更全面去覆盖安全配置的各个属性。
由于现有 Monitor 版本中,必须通过使用 WAS 服务器提供的联合存储库(Federated Repositories)进行安全配置才能在 Monitor 数据监控中搜索到用户,因此在本节中,我们通过使用 Federated Repositories 来访问 LDAP 服务器对其安全性进行配置。
在我们安装 Monitor V6.1.2 服务器时,可以选择是否配置安全属性。如果在安装时已经填入用户名以及密码,启动之后会按照默认配置加载安全属性,则读者可以跳过本小节。如果安装时并没有激活安全性,读者需要在安装完成之后,通过向导来手工配置安全属性。
我们首先启动 Monitor 服务器并登陆到控制台(URL:http://MornitorServerIP:Port/ibm/console),点击左侧导航栏“安全性->安全管理、应用程序和基础结构”选项,在控制台右侧点击“安全配置向导”的按钮,对安全性进行配置,如图 2。
在配置安全的控制面板中共包含 4 个步骤。第一步,我们选择 “启用应用程序安全性”,注意这里不要勾选“使用 Java 2 安全性来限制应用程序访问本地资源”选项,如图 3 所示,点击 “下一步”。
因为在配置 Monitor 数据安全属性时只能搜索出联合存储库中的用户,在 Monitor V6.1.2 版本的服务器中不支持其它类型的用户存储库模式。我们必须在第二步配置中选择“联合存储库”选项作为用户存储库类型,点击 “下一步”按钮。
接下来的输入“admin”超级管理员用户和密码,安全配置向导自动创建此用户。之后确认所有信息并点击 “完成”按钮保存之前所作的修改。
我们通过上面介绍的向导,成功设置了基于文件类型的联合用户存储库的安全性,由于在本环境中,用户的信息被保存在 LDAP 服务器中,因此我们还要再对联合存储库的相关内容进行进一步配置,以使其可以支持 LDAP 服务器。
在管理控制台左侧导航栏中,选择配置安全管理选项,如下图 6 中点击“配置”按钮,我们来对用户存储库的内容进行修改。
输入域名,注意这里可以保持默认的域名,但必须与之后的 WPS 侧保持一致。主要管理用户 (Primary administrator)拥有超级管理员权限,可以登陆到管理控制台并且添加删除其它用户。
接下来点击“将基本条目添加至域…”按钮,在之前输入的域的范围内添加基本条目,如图 7。点击“添加存储库”按钮,在创建完实体中添加新的用户存储库,如图 8。
在下一步中,我们根据 LDAP 服务器的属性,输入 LDAP 服务器的相关参数,其中包括 LDAP 服务器类型,主机名,以及绑定的用户名和密码等信息,并点击“确定”保存之前的设置,如下图 9 所示。
指定 LDAP 服务器属性之后,我们还需要根据 LDAP 的情况设置“用于在域中唯一标识这组条目的基本条目的专有名称”和“此存储库中基本条目的专有名称”域,这样我们就可以在基于此标识的专有名称下,定位到用户库中的用户。在本文中我们根据 LDAP 服务器的属性设置为“dc=IBM,dc=com”,点击 OK 并保存设置,如下图。
如果 LDAP 服务器中存在与之前使用安装向导指定的相同的用户,那么需要将之前定义的用户存储库删掉,只保留新添加的 LDAP 类型的用户存储库,以避免用户同名的错误。之后我们重新启动 Monitor 服务器,使得之前对服务器进行的安全配置生效。
本小节中,我们主要来讲述如何对企业应用程序的安全性进行相关的配置。在管理控制台上,点击控制台导航栏下“应用程序 -> 企业应用程序 ”选项,选择“Monitor REST Services”应用程序,点击“详细信息属性”下“安全角色到用户/组映射”选项,如下图 11。
选择 monitorusers 角色,并勾选“所有已认证的用户吗?”项,点击“确认”并保存设置。这样用户就可以在安全环境下调用 Monitor 提供的 REST 服务,获取监控的结果。
重复上两步操作,对 IBM_BSPACE_WIDGETS/BusinessSpaceManager 应用程序进行操作(注意:此应用程序角色名为“Administrator”)。在 JAAS->J2C Authentication 下使用之前指定的 Primary Admin用户(本文中使用 wpsadmin)作为“用户标识”来作为验证别名。如下图所示。重新启动服务器,完成对 Monitor 服务器中应用程序的安全性的设置。
在本节中,我们将对基于 LDAP 服务器的 WPS 的安全性进行配置。这里我们仍然使用联合用户存储库的方式,配置方法也与前面 Monitor 大部分类似。本章省略对 WPS 服务器在用户存储库中 LDAP 属性配置等相关内容,只是针对与 Monitor 部分配置的不同点进行说明。
首先,我们需要改变 BPE Container 的安全角色映射。如下图 14,我们点击左侧导航栏,选择应用程序->企业应用程序,点击 BPEContainer__server1。
在右侧详细信息属性下点击安全角色到用户/组映射。勾选 BPESystemAdministrator 复选框,点击“查找用户”按钮。在查找栏中输入管理员 ID,在本测试环境中,我们输入 wpsadmin,按“搜索”按钮。选择需要的用户,并将他们移动到右边的列表框中。并且点击“确定”。返回到安全角色到用户/组映射页面,用相垃圾广告法为 BPESystemAdministrator 角色选择映射的组群并保存之前说修改的配置。
按照之前的步骤为角色 BPESystemMonitor 映射用户和组群。余下的角色 WebClientUser 和 JMSAPIUser 我们都将之设为“所有已认证的用户”。如下图所示。最后,保存之前所作的修改。
更新 BPCExplorer 的安全角色映射属性。配置方法与 BPE Container 相同,将 WebClientUser 角色映射为“所有已认证的用户”选项,并保存修改,如下图 16。
完成业务流程容器以及 BPC 浏览器的安全映射关系之后,我们还需要对 Task Container 执行相同的步骤来赋予角色映射的用户和组群。
以上我们对应用程序的安全属性进行了配置。下面我们需要修改相关的别名属性,更新 J2C authentication 下的别名设置,这样在数据库连接或者访问资源时就可以使用到正确的别名,如下图所示,将所有别名中对应的用户名和密码修改正确。重新启动流程服务器使得之前的安全性配置生效。
在前面两个章节中,我们分别对 Monitor 和 WPS 服务器的安全属性进行了配置。在配置完服务器安全性之后,我们还需要互换两侧服务器的 LTPA Key 以及 SSL 证书,并且我们还需要对 Alphablox 服务器,总线以及检测数据安全性等其它方面进行设置。
首先,为了保证服务器之间的安全通信,我们需要交换 Montior 和 WPS 两侧的 LTPA Key。登陆到 Monitor 管理控制台(http://MonitorServer:Port/ibm/console),进入配置安全属性页面,点击“认证机制和到期”链接,如图 18 所示。
进入服务器认证机制界面,点击”生成密钥”按钮,生成 LTPA Key,之后设定 LTPA 密码,并指定 LTPA key 文件的路径和文件名。点击”导出密钥”按钮,并保存当前设置。
登陆到 WPS 服务器,进入认证机制界面,导入刚才生成的 LTPA Key。
在交换完 LTPA Key 之后,我们还需要交换两侧服务器的 SSL 证书。首先登陆到 Monitor 服务器控制台,在左侧导航栏中选择安全性->SSL证书和密钥管理。在右侧相关条目中点击“密钥库和证书”选项,选择 NodeDefaultTrustStore 下面的“签署者证书”。这里我们使用从端口获得 SSL 证书。
输入 WPS 服务器侧的主机名,SOAP 端口以及想要使用的别名,点击获取证书信息按钮,就可以获得 WPS 侧的 SSL 证书,如下图所示。最后要保存获得的 SSL 证书。
使用相同的办法,在 WPS 服务器端获取 Monitor 侧的 SSL 证书信息。重启两侧服务器,使得之前的安全配置生效。
在使用 Monitor 对数据进行监控或数据分析挖掘时,我们还会使用到 IBM DB2 另外一款产品,既 DB2 Alpahblox。通过使用 Alphablox,用户可以对数据进行多种维度以及趋式分析,并可以通过柱状图,饼状图等多种形式来进行展现。
如果安装 Monitor 时同时安装了 Alphablox,则我们还需要对其配置 Alphablox 的安全性。
编辑 Alphablox 服务器下面的 Server.properties 文件(\repository\servers\AlphabloxAnalytics\Server.properties)将如下内容 :
ws.admin.password.protected = AIL3498LKJdsdfrw# (或其它值) ws.admin.username = admin |
在特定的业务通信中,我们可能还希望对传送消息的总线进行加密,以确保更高的安全性。因此,我们还需要对服务器两侧的总线进行安全配置。在 Monitor 服务器侧,点击左侧导航栏下 安全性 ->总线安全性 进行设置。
选择与 Monitor 相关的总线(MONITOR..Bus),勾选 “启用总线安全性” 复选框,并选择正确的认证别名,如图 21 所示。
将 “wpsadmin”以用户类型的方式添加到 其它属性->总线连接者角色中的用户和组 中。这样管理员 wpsadmin 用户就可以安全的往总线上发送或者接收消息了。
保存之前修改的配置,并对 Monitor 服务器以及 WPS 侧服务器的其它总线都执行执行类似的操作。配置完成之后,总线的安全属性属性显示为“已启用”,如下图所示。
Monitor 服务器与 WPS 服务器之间的通信还需要在两条总线之间建立一个服务集成总线链路(bus link),在我们配置了总线安全性之后,我们还需要配置 Monitor 和 WPS 之间总线链接的安全性。以 Monitor 端为例,我们在总线下面的消息引擎中选择连接总线的链接,为其指定正确的别名,如图 24 所示。
在进行完上面的安全属性配置之后,我们需要去确认两侧服务器的 JMS 队列连接工厂(Queue connection factory)/激活规范(Activation Specification)/ 消息引擎的信息存储器(ME message store alias )/主题(Topic)/ 目标(Destination) 的安全性。确认它们选择的用户别名是否正确。
如果我们配置了总线以及总线链接的安全性,我们还必须在部署模型之后配置与模型相关的目标(Destination)安全性。
在完成了安装部署的所有步骤,并且确认模型的应用程序已经启动。在管理控制台的左侧导航栏中点击 服务集成->总线->MONITOR.cellname.Bus->目标。复制 xxx_xxxxxxx_Q_Destination名字(例如:mon_StartWatering_1162392953_Q_Destination)。
登陆远端的 WPS 服务器,在 DOS 命令行下,进入 %WPS_HOME%\bin 目。
运行 wsadmin.exe 命令。执行如下命令来赋予 LDAP 用户访问外来目标队列的权限:
$AdminTask addUserToDestinationRole {-type foreignDestination -bus MONITOR.localCellName.Bus -foreignBus MONITOR.monitorCellName.Bus -destination xxx_xxxxxxxx_nnnnnnnnnn_Q_Destination -role Sender -user wpsadmin}
之后执行 $AdminConfig save 命令来保存之前的修改。
为了可以在 Business Space 上面看到最终的监控信息,我们最后需要对模型数据安全性进行配置才能使得相关角色的用户能访问 Monitor 模型数据。我们登陆 Monitor 控制台,点击左侧导航栏安全性->Monitor 数据安全性->root 来赋予相关的用户以特定的角色。
选择模型和角色,并点击 “用户” 或 “组”按钮来选择那些用户可以在安全的环境中以选定的角色来访问模型数据。完成之后,保存之前所修改的配置。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14789789/viewspace-582715/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/14789789/viewspace-582715/
309
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
