群體安全
您可以使用 Liberty 設定檔中的群體安全原則來處理移動中的資料和靜止的資料。
群體安全有兩個主要區域:
- 群體的管理網域安全配置由兩個部分組成:
如果要讓使用者存取群體控制器的 MBean,他們必須在「管理者」角色中。 所有透過群體來進行的管理動作都要求使用者被授與「管理者」角色。 請參閱配置指向 Liberty 設定檔的安全 JMX 連線以取得完整的詳細資料。
伺服器至伺服器通訊是在伺服器網域內進行,因此,不會利用使用者身分或密碼來進行群體成員之間的通訊。 每個群體成員在群體內都有其唯一身分,由主機名稱、使用者目錄和伺服器名稱組成。 群體內的每個成員都會定義其伺服器網域配置,由 serverIdentity.jks 和 collectiveTrust.jks 檔組成。 這些檔案包含在群體內建立安全通訊所需要的 SSL 憑證。 HTTPS 金鑰配置必須有特定的信任設定,依預設,會建立這些設定。
您可以新增其他授信憑證項目到 collectiveTrust.jks 金鑰儲存庫,自訂伺服器網域 SSL 配置。 當抄寫控制器時,會複製所有信任關係;因此,應該將 SSL 自訂作業套用於起始控制器。 只有在未使用預設 HTTPS 憑證時,才需要新增信任關係到 collectiveTrust.jks 金鑰儲存庫中。 如果修改 HTTPS SSL 配置,就適用下列憑證規則:伺服器至伺服器通訊要求支援 SSL 鑑別。 如果自訂 HTTPS SSL 配置,SSL 配置必須指定 clientAuthenticationSupported="true"。 建議您不要使用 clientAuthenticationRequired="true";因為這會導致無法用使用者名稱和密碼來進行鑑別。 例如:<!-- clientAuthenticationSupported set to enable bidirectional trust --> <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientAuthenticationSupported="true" />
利用 CollectiveRegistration MBean 可以防止成員將資訊發佈到群體控制器。 disavow 和 avow 方法分別會防止鑑別及啟用鑑別。
群體儲存庫資料安全原則包含靜止資料的原則 - 具體地說,就是群體儲存庫內容的存取原則。
群體資料的現行安全原則如下:由於群體儲存庫最終是在磁碟上,所以必須維護環境的檔案系統許可權設定安全。 建議您對於群體控制器的配置,只讓使用者讀取及寫入,只讓群組進行讀取,完全不讓世界存取,換言之,就是 chmod 0640。 請遵循您的組織可能已建立的任何安全準則。