l 單擊頁面底部“主許可權”字段旁的“添加”按鈕。 
l 當顯示“在 defaultRealm 中的 ACL sheepcontrol 添加許可權”框時，單擊“文件與文件夾”。 
l 下一步，選擇許可權選項為 bopeep。由于 bopeep 是一個用戶，所以單擊“用戶”。在列表中選
擇bopeep。（注意，如果選擇的是“組”，則將看到“主名”列表中的組 mypeeps）。 
l 使用復選框賦予 bopeep具有 GET 和 PUT 許可權。 
l 單擊“確定”按鈕。 
l 通過查看“主許可權”框來驗證 bopeep 具有正確的許可權。如果沒有顯示許可權，請單擊 bopeep 
左邊的加號。這時將顯示一個列表，該列表顯示了 bopeep 的許可權。
    2．選擇認證方案和協議
首先討論的是認證協議，即 HTTP 和 HTTPS。接下來將會討論的是認證方案，即基本、摘要、定制和證書認證。最后討論的是有關組合方案和協議的策略。
    (1) 關于認證協議
HTTPS 則是 HTTP 和 SSL 協議的組合。SSL（安全套接字層）是一個網絡安全協議，它用來提供服務器和客戶機之間必要的安全性。如果選擇 HTTP，認證數據的接收無任何保護。如果選擇 HTTPS，認證數據在每個 SSL 協議中加密。如果要使用證書認證，那么必須使用 HTTPS。
    (2) 關于認證方案
WebSphere應用服務器支持的認證方案包括基本認證、摘要認證、定制認證、證書認證。
l 基本認證：使用 HTTP 或 HTTPS 請求來自客戶機的用戶名和口令。 用普通文本將用于驗證的
信息發送給服務器驗證。所有瀏覽器都支持基本認證。如果一個用戶標識符和口令提供了足夠的認證，那么請考慮使用基本認證。
l 摘要認證：使用 HTTP 或 HTTPS 請求來自客戶機的用戶名和口令。將用于驗證的用戶名和口
令的加密形式（使用摘要）發送給服務器。并非所有瀏覽器都支持摘要認證。（當前僅 Sun HotJava 瀏覽器支持該認證方案）。如果瀏覽器不支持摘要認證，那么其用戶將無法訪問由該協議進行保護的資源。
l 定制認證：使用 HTTP 或 HTTPS 來請求使用 HTML 格式定制的客戶機信息。由 CGI 和 
Servlet 將這些用于驗證的信息用普通文本發送到服務器上。當需要除了標識符和口令之外的用戶認證時，可使用定制認證。例如，可以請求一個社會安全號的用戶認證。使用該協議，可建立 HTML 格式以詢問用戶數據。認證是由服務器端代碼（CGI 和 Servlet）執行的，而不是由 IBM WebSphere應用服務器運行時應用程序執行的。如果使用定制認證，請使用 HTTPS 保護數據。
l 證書認證：使用 HTTPS 以請求一個客戶機證書。必須啟用 SSL 客戶機認證選項。將用于驗證
的信息發送給服務器。認證使用的數字證書具有很高的安全性，且證書認證通常對用戶是透明的。系統或站點管理員會對客戶機證書進行管理。通常這些任務是由證書權威服務器軟件授權的，例如 IBM Vault Registry 產品。
    (3) 組合認證方案和協議
正如前述，除非是在一個與安全無關的環境中，否則 HTTPS 通常更為可取。對于不同的安全性要求可以對方案和協議進行組合，策略如下：
l 對于基本安全性要求，使用基本、摘要或 HTTP 上的定制認證。
l 對于較高安全性要求，使用基本、摘要或 HTTPS 上的定制認證。
l 對于最高安全性要求，使用 HTTPS 上的證書認證。
    3．使用目錄服務
一個目錄服務是信息倉庫、存取法和相關服務的組合。信息倉庫通常是用于存儲位置信息和其它有關資源（例如用戶、打印機、文件服務器和WebSphere應用服務器）的詳細信息的數據庫。存取法是指輕量級目錄訪問協議（LDAP）或其它可用來與目錄服務組件進行通信的存取法。相關服務是指目錄服務提供的用于查詢、操縱和認證數據庫中信息的設施。
對集中式安全性數據通常需要使用目錄服務。目錄服務可以為整個網絡提供單個管理點。使用目錄服務，可以一次定義用于所有應用程序（包括WebSphere應用服務器）的用戶和組，而無需為每個應用程序分別定義用戶和組。目錄服務對于實現安全性很有幫助，即通過認證用戶和控制對資源的訪問。沒有目錄服務，可能必須為不同的軟件產品（例如WebSphere應用服務器、Web 服務器和操作系統）重復定義相同的用戶和組，這是因為這些軟件產品不共享安全性數據。
WebSphere應用服務器版本 2.0 支持使用輕量級目錄訪問協議（LDAP）V2 的目錄服務。這些目錄服務包括 Domino Directory 版本 4.6.x 和 Netscape Directory Server 版本 3.x。WebSphere應用服務器版本 2.02 （本地語言版本）也支持 IBM Suites（不包括 IBM Suites 版本 1.0）的 eNetwork Directory 組件。使用目錄服務的基本步驟如下：
(1) 設置目錄服務，或使用一個現有的目錄服務。 
(2) 使用WebSphere應用服務器的管理器界面的“目錄管理” 頁面，以標識至WebSphere應用服務
器的目錄服務，并指定基本設置。 
(3) 查看管理器中的目錄服務用戶和組信息。 
(4) 在WebSphere應用服務器中定義存取控制表（或已有的 ACL），以利用目錄服務用戶和組信息。 
(5) 用 ACL 保護WebSphere應用服務器資源。 
    使用“目錄管理” 頁面指定目錄服務的步驟如下：
l 查看“設置” -> “目錄管理”頁面。 
l 在“配置”標簽中，請在“是否啟用目錄?”字段中單擊“是” 
l 使用下拉列表選擇目錄類型。選擇： 
¾“netscape”使用 Netscape Directory Server；
¾ “domino4.6”使用 Domino Server；
¾ “enetworkibmsuite”使用 IBM Suite 的 eNetwork Directory Server 組件。
l 輸入駐留目錄服務的計算機主機名。 
l 輸入服務的端口號。 
l 輸入將作為目錄服務的 LDAP 搜索起始點的基本分辨名（Base DN）。例如，o=raleigh.ibm.com. 
l 可選功能。輸入聯編分辨名和聯編口令。這些字段空白表示WebSphere應用服務器匿名聯編目錄
服務。如果指定了聯編分辨名和口令，則請確認將目錄服務配置成使用同一分辨名和口令來認證WebSphere應用服務器，否則認證將告失敗。
    當使用“目錄管理”指定目錄服務時，管理器將提供的功能有： 
l 動態地建立、初始化和維護與 LDAP 目錄服務相關聯的 ldapRealm。 
l 使用管理器的“安全性”頁面關聯WebSphere應用服務器資源和 ldapRealm。 
l 將WebSphere應用服務器存取控制表（ACL）與 ldapRealm 的資源關聯起來。
    IdapRealm 是一個包含已定義在目錄服務中的用戶和組的WebSphere應用服務器安全性領域?？梢允褂肳ebSphere應用服務器的管理器界面的“安全性”頁面，以建立存取控制表和 IdapRealm 之間的關聯。 ldapRealm 對資源進行保護，并且存取控制表允許屬于該領域的用戶和組（在這種情況下，用戶和組在目錄服務中）訪問資源。 
ldapRealm 使用非 SSL LDAP V2 協議來與目錄服務進行通信，并根據在“目錄管理”頁面中指定的設置進行聯編。當受 IdapRealm 保護的WebSphere應用服務器資源需要認證時，將根據IdapRealm 來驗證客戶機的用戶標識符和口令。該過程如下： 
l 客戶機向WebSphere應用服務器發出 Servlet 請求。 
l WebSphere應用服務器確定請求的資源是否受 ACL 保護。 
l 因此WebSphere應用服務器將一個認證要求發送給客戶機。 
l 客戶機輸入用戶標識符和口令。 
l 目錄服務驗證用戶標識符和口令與保護資源的 IdapRealm 是否相符合：目錄服務發出 LDAP 查
找，以查找與指定用戶標識符相符的人。為該用戶創建一個分辨名（DN）。 
l 目錄服務使用該用戶分辨名和口令執行一個 LDAP 連接。 
l 當目錄服務認證用戶后，WebSphere應用服務器Java 引擎將調用 Servlet 以處理與客戶機獲得的
許可權一致的客戶機請求。 
可以通過訪問ldap://act:389/o=raleigh.ibm.com來測試目錄服務是否正在運行，其中：act 是運行目錄服務的機器的主機名，389 是服務的端口號，o=raleigh.ibm.com 是基本分辨名，它還代表了目錄服務中的搜索起始點。