Configuration de l'authentification LTPA dans Liberty

Vous pouvez configurer un serveur Liberty pour l'utilisation d'un fichier de clés LTPA (Lightweight Third Party Authentication) spécifique, d'un mot de passe défini par l'utilisateur et d'un délai d'expiration.

Pourquoi et quand exécuter cette tâche

L'authentification LTPA est configurée par défaut lorsque la sécurité est activée pour un serveur Liberty pour la première fois. L'emplacement par défaut du fichier de clés LTPA généré automatiquement est ${server.output.dir}/resources/security/ltpa.keys. Les clés LTPA sont chiffrées avec une clé générée de façon aléatoire et le mot de passe par défaut WebAS est utilisé initialement pour protéger les clés. Le mot de passe est requis lors de l'importation des clés LTPA sur un autre serveur. Pour garantir la sécurité des clés LTPA, vous devez le changer. Lorsque les clés LTPA sont échangées entre des serveurs, ce mot de passe doit être le même sur tous les serveurs pour que la connexion unique fonctionne.

Le délai d'expiration par défaut est de 120 minutes. Ce paramètre détermine la durée de validité des jetons LTPA.

Pour activer le rechargement dynamique des clés LTPA lors de la copie d'un fichier de clés LTPA depuis un autre serveur, vous pouvez spécifier un intervalle de surveillance de fichier avant de procéder à la copie. La valeur de l'intervalle de surveillance indique la fréquence à laquelle les mises à jour du fichier de clés LTPA sont recherchées.

Pour plus d'informations sur LTPA, voir la rubrique relative au concept LTPA dans Liberty.

Procédure

  1. Configurez l'élément <ltpa> dans le fichier server.xml comme suit, en remplaçant les valeurs de l'exemple par les vôtres :
    <ltpa keysFileName="yourLTPAKeysFileName.keys" keysPassword="keysPassword" expiration="120" />
  2. Facultatif : Définissez l'attribut monitorInterval pour rechercher dans le fichier lpta.keys les modifications de clés à recharger dynamiquement. Spécifiez un nombre entier positif suivi d'une unité de temps qui peut être des heures (h), des minutes (m) ou des secondes (s). Dans l'exemple suivant, les modifications à recharger sont recherchées dans le fichier de clés LTPA toutes les 5 secondes :
    <ltpa keysFileName="yourLTPAKeysFileName.keys" keysPassword="keysPassword" 
          expiration="120" monitorInterval="5s" />
  3. Encodez le mot de passe afin qu'il n'apparaisse pas en clair dans le fichier de configuration. Vous pouvez obtenir la valeur encodée en utilisant la commande securityUtility encode.
  4. Facultatif : Copiez un fichier de clés LTPA existant à l'emplacement spécifié dans l'attribut keysFileName. La valeur par défaut est ${server.output.dir}/resources/security/ltpa.keys.

    Pour en savoir plus sur les clés LTPA dans l'élément keysFileName, voir Application Security 2.0.


Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : twlp_sec_ltpa.html