Sélection d'un registre ou d'un référentiel

Les informations relatives aux utilisateurs et groupes sont conservées dans un registre d'utilisateurs. Dans WebSphere Application Server, un registre d'utilisateurs authentifie un utilisateur et extrait les informations sur des utilisateurs et des groupes afin d'exécuter toutes les fonctions de sécurité, notamment l'authentification et l'autorisation.

Avant de commencer

Remarque : Lors de la création de profil, pendant ou après l'installation, la sécurité administrative est activée par défaut. Le référentiel d'utilisateurs fédéré basé sur des fichiers est configuré en tant que registre d'utilisateurs actif. Vous pouvez choisir un autre registre d'utilisateurs.

Avant de configurer le registre d'utilisateurs ou référentiel, vous devez déterminer celui qu'il convient d'utiliser. Vous pouvez configurer un registre par défaut actif pour la cellule.

Pourquoi et quand exécuter cette tâche

WebSphere Application Server fournit des implémentations qui prennent en charge plusieurs types de registres et référentiels, parmi lesquels le registre de système d'exploitation local, un registre LDAP (Lightweight Directory Access Protocol) autonome, un registre personnalisé autonome et des référentiels fédérés.

Avec WebSphere Application Server, un registre d'utilisateurs ou un référentiel (par exemple, un référentiel fédéré) permet d'authentifier un utilisateur et d'extraire des informations sur des utilisateurs et des groupes afin d'exécuter toutes les fonctions de sécurité, notamment l'authentification et l'autorisation.

Avec WebSphere Application Server, un registre d'utilisateurs ou un référentiel permet d'effectuer les opérations suivantes :
  • L'authentification d'un utilisateur à l'aide de l'authentification de base, la vérification d'identité ou les certificats client.
  • L'extraction d'informations sur les utilisateurs et les groupes pour exécuter des fonctions d'administration liées à la sécurité, telles que le mappage d'utilisateurs et de groupes à des rôles de sécurité.

[z/OS]WebSphere Application Server intègre la prise en charge de plusieurs systèmes d'exploitation ou de registres d'utilisateurs basés sur le système d'exploitation, tels que le registre SAF z/OS, ainsi que la plupart des registres basés sur le protocole LDAP (Lightweight Directory Access Protocol). Vous pouvez utiliser la fonction LDAP personnalisée pour prendre en charge tout serveur LDAP en définissant les informations de configuration qui conviennent, telles que les filtres d'utilisateurs et de groupes. La prise en charge n'est toutefois pas étendue aux serveurs LDAP personnalisés car de nombreuses possibilités ne peuvent pas être testées.

[z/OS]La configuration du registre ou référentiel approprié est nécessaire pour l'affectation d'utilisateurs et de groupes à des rôles dans les applications. Par défaut, lorsqu'aucun registre d'utilisateurs ou référentiel n'est configuré, le registre d'utilisateurs du système d'exploitation local reposant sur SAF est utilisé. Si vous n'avez pas choisi le registre d'utilisateurs ou le référentiel du système d'exploitation local, vous devez d'abord le configurer. Le registre d'utilisateurs ou le référentiel est normalement configuré lors de l'activation de la sécurité administrative, du redémarrage des serveurs et de l'affectation d'utilisateurs et de groupes à des rôles pour vos applications.

En plus du système d'exploitation local, des registres fédérés et LDAP, WebSphere Application Server fournit également un plug-in pour la prise en charge des registres en ayant recours à la fonction de registre personnalisé. La fonction de registre personnalisée permet de configurer tout registre d'utilisateurs non rendu disponible via les panneaux de configuration de la sécurité de WebSphere Application Server.

La configuration du registre ou référentiel approprié est nécessaire pour l'affectation d'utilisateurs et de groupes à des rôles dans les applications. Lorsqu'aucun registre d'utilisateurs ou référentiel n'est configuré, le registre du système d'exploitation local est utilisé par défaut. Si vous ne choisissez pas le registre d'utilisateurs du système d'exploitation local, vous devez d'abord configurer votre registre ou référentiel lors de l'activation de la sécurité, redémarrer les serveurs, puis affecter des utilisateurs et des groupes à toutes vos applications.

WebSphere Application Server prend en charge les types de registre d'utilisateurs suivant s:
  • référentiel fédéré,
  • système d'exploitation local [z/OS](reposant sur SAF par exemple),
    Restriction : La configuration d'un serveur LDAP transparent sous le registre de système d'exploitation local et pour lequel l'authentification des utilisateurs est effectuée via le système d'exploitation à l'aide de LDAP n'est plus prise en charge.
  • Registre LDAP (Lightweight Directory Access Protocol) autonome
  • Registre personnalisé autonome
L'interface UserRegistry permet de mettre en oeuvre le registre personnalisé et les options de référentiel fédéré du référentiel du compte utilisateur. L'interface est très utile dans les cas où les informations sur l'utilisateur et le groupe en cours sont sous d'autres formats (une base de données, par exemple) et ne peuvent pas être déplacées dans le système d'exploitation local ou les registres LDAP. Dans un tel cas, vous pouvez mettre en oeuvre l'interface UserRegistry pour que WebSphere Application Server puisse utiliser le registre existant pour toutes les opérations relatives à la sécurité. Le processus de mise en oeuvre d'un registre personnalisé correspond à une implémentation logicielle qui n'est pas supposée dépendre de la gestion des ressources WebSphere Application Server pour fonctionner. Par exemple, vous ne pouvez pas utiliser une configuration de source de données Application Server. Généralement, vous devez appeler les connexions de base de données et dicter leur comportement directement dans le code.
Remarque : WebSphere Application Server a implémenté UserRegistry. Toutefois, les valeurs renvoyées sont légèrement différentes de l'interface. Par exemple, getUniqueUserId renvoie l'uniqueID associé au nom de domaine encapsulé. Vous ne pouvez pas utiliser la valeur renvoyée à transmettre à getUserSecurityName, comme indiqué dans l'exemple suivant :
// Extrait le contexte initial par défaut pour ce serveur.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();

// Extrait l'objet UserRegistry local.
com.ibm.websphere.security.UserRegistry reg =
         (com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");

// Extrait l'ID unique (uniqueID) de registre d'après le nom d'utilisateur (userName) spécifié
     // dans NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Supprime le nom de domaine et extrait l'ID unique réel
marqueString uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);

// Extrait le nom de sécurité du registre d'utilisateurs d'après l'ID unique.
String securityName = reg.getUserSecurityName(uid);
Vous pouvez utiliser une interface de fournisseur de service (SPI) pour cette fonction d'analyse.
Après avoir affecté des utilisateurs et des groupes aux applications, pour modifier les registres d'utilisateurs, supprimez tous les utilisateurs et les groupes, y compris les rôles d'exécution, des applications et réaffectez-les après avoir modifié le registre par le biais de la console d'administration ou de l'outil de scriptage wsadmin. La commande wsadmin suivante, qui fait appel à Jacl, supprime tous les utilisateurs et groupes d'une application :
$AdminApp deleteUserAndGroupEntries yourAppName
nomApp est le nom de l'application. Il est recommandé de sauvegarder l'ancienne application avant d'effectuer cette opération. Toutefois, si les deux conditions suivantes sont remplies, vous devez pouvoir changer de registre sans supprimer les informations relatives aux utilisateurs et aux groupes :
  • Tous les noms d'utilisateurs et de groupes, y compris le mot de passe des utilisateurs du rôle RunAs, dans toutes les applications, correspondent dans les deux registres d'utilisateurs.
  • Le fichier de liaisons de l'application ne contient pas les ID accès qui sont propres à chaque registre d'utilisateurs, y compris pour le même nom d'utilisateur ou de groupe.

Par défaut, une application ne contient pas d'ID accès dans le fichier de liaisons. Ces ID sont générés au démarrage des applications. Toutefois, si vous avez migré une application d'une version antérieure ou utilisé le script wsadmin pour ajouter des ID accès aux applications dans le but d'améliorer leurs performances, vous devez supprimer les informations relatives aux utilisateurs et aux groupes après avoir configuré le nouveau registre d'utilisateurs.

Pour plus d'informations sur la mise à jour des ID accès, consultez l'article relatif aux ID updateAccess pour les commandes de l'objet AdminApp.

Avertissement : WebSphere Application Server prend en charge une série de référentiels et de registres d'utilisateurs sur différents systèmes d'exploitation. Pendant l'authentification de l'utilisateur, vous pouvez utiliser des caractères non alphanumériques dans votre nom d'utilisateur et votre mot de passe. Les restrictions à l'utilisation de ces caractères non alphanumériques dépendent du système d'exploitation sous-jacent et du type de registre d'utilisateurs utilisés. Pour plus d'informations sur les caractères non pris en charge reportez-vous à la documentation de votre référentiel, de votre registre d'utilisateurs et de votre système d'exploitation.
[AIX]Par exemple, les caractères suivants ne sont pas pris en charge dans une valeur de nom d'utilisateur :
  • ˋ
  • #
  • =
  • \
  • :
  • "
  • ,
  • /
  • ?
  • '
  • Caractère espace

Pour connaître la liste exhaustive des caractères non alphanumériques qui ne sont pas pris en charge, voir la documentation du système d'exploitation AIX.

[HP-UX]Par exemple, les caractères suivants ne sont pas pris en charge dans une valeur de nom d'utilisateur :
  • ˋ
  • :
  • "
  • /
  • Caractère espace

Pour configurer votre registre d'utilisateurs, procédez de l'une des manières suivantes :

Procédure

Que faire ensuite

  1. Si vous activez la sécurité, suivez les étapes restantes. Vérifiez que le référentiel de compte utilisateur figurant dans le panneau Sécurité globale est associé au registre ou au référentiel approprié. En dernier lieu, validez l'ID utilisateur et le mot de passe en cliquant sur Valider dans le panneau Sécurité globale. Sauvegardez, arrêtez et démarrez tous les serveurs WebSphere Application Server.
  2. Pour que les modifications effectuées dans les panneaux des registres d'utilisateurs soient prises en compte, validez-les en cliquant sur Valider dans le panneau Sécurité globale. Après validation, sauvegardez la configuration, puis arrêtez et démarrez tous les WebSphere Application Servers, y compris les cellules, les noeuds et tous les serveurs d'applications. Pour éviter les incohérences entre les processus WebSphere Application Server, vérifiez que les modifications apportées au registre ou au référentiel sont effectuées lorsque tous les processus sont actifs. Si l'un des processus est arrêté, forcez la synchronisation afin que celui-ci puisse être lancé ultérieurement.

    Si le ou les serveurs démarrent normalement, la configuration est correcte.

  3. [z/OS]Si le mécanisme d'autorisation SAF (System Authorization Facility) est sélectionné comme nouveau registre ou référentiel via le système d'exploitation local, les valeurs du fichier de liaisons sont ignorées, à l'exception de l'ID et du mot de passe (ou phrase de mot de passe) des utilisateurs du rôle RunAs.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_useregistry
Nom du fichier : tsec_useregistry.html