Configuration de l'authentification LTPA dans Liberty

Vous pouvez configurer un serveur Liberty pour l'utilisation d'un fichier de clés LTPA (Lightweight Third Party Authentication) spécifique, d'un mot de passe défini par l'utilisateur et d'un délai d'expiration.

Pourquoi et quand exécuter cette tâche

L'authentification LTPA est configurée par défaut lorsque la sécurité est activée pour un serveur Liberty pour la première fois. L'emplacement par défaut du fichier de clés LTPA généré automatiquement est ${server.output.dir}/resources/security/ltpa.keys. Les clés LTPA sont chiffrées avec une clé générée de façon aléatoire et le mot de passe par défaut WebAS est utilisé initialement pour protéger les clés. Le mot de passe est requis lors de l'importation des clés LTPA sur un autre serveur. Pour garantir la sécurité des clés LTPA, vous devez le changer. Lorsque les clés LTPA sont échangées entre des serveurs, ce mot de passe doit être le même sur tous les serveurs pour que la connexion unique fonctionne.

Le délai d'expiration par défaut est de 120 minutes. Ce paramètre détermine la durée de validité des jetons LTPA.

Pour activer le rechargement dynamique des clés LTPA lors de la copie d'un fichier de clés LTPA depuis un autre serveur, vous pouvez spécifier un intervalle de surveillance de fichier avant de procéder à la copie. La valeur de l'intervalle de surveillance indique la fréquence à laquelle les mises à jour du fichier de clés LTPA sont recherchées.

Pour plus d'informations sur LTPA, voir la rubrique relative au concept LTPA dans Liberty.

Procédure

  1. Configurez l'élément <ltpa> dans le fichier server.xml comme suit, en remplaçant les valeurs de l'exemple par les vôtres :
    <ltpa keysFileName="yourLTPAKeysFileName.keys" keysPassword="keysPassword" expiration="120" />
  2. Facultatif : Définissez l'attribut monitorInterval afin de rechercher dans le fichier lpta.keys les modifications apportées aux clés à recharger de façon dynamique. Indiquez une valeur entière suivie d'une unité de temps, qui peut être heure (h), minute (m) ou seconde (s). Dans l'exemple suivant, les modifications à recharger de façon dynamique sont recherchées dans le fichier de clés LTPA toutes les cinq secondes :
    <ltpa keysFileName="yourLTPAKeysFileName.keys" keysPassword="keysPassword" 
          expiration="120" monitorInterval="5s" />
  3. Encodez le mot de passe afin qu'il n'apparaisse pas en clair dans le fichier de configuration. Vous pouvez obtenir la valeur encodée en utilisant la commande securityUtility encode.
  4. Facultatif : Copiez un fichier de clés LTPA existant à l'emplacement spécifié dans l'attribut keysFileName. La valeur par défaut est ${server.output.dir}/resources/security/ltpa.keys.

    Pour en savoir plus sur les clés LTPA dans l'élément keysFileName, voir Application Security 2.0.


Icône indiquant le type de rubrique Rubrique Tâche



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_ltpa
Nom du fichier : twlp_sec_ltpa.html