Propagation des attributs de sécurité parmi les serveurs d'applications

La fonctionnalité de propagation des attributs de sécurité de WebSphere Application Server permet d'envoyer des informations d'attributs de sécurité concernant la connexion d'origine aux autres serveurs à l'aide d'un jeton. Cette rubrique décrit comment configurer WebSphere Application Server de façon à propager les attributs de sécurité aux autres serveurs.

Pourquoi et quand exécuter cette tâche

Pour activer complètement la propagation des attributs de sécurité, vous devez configurer les panneaux de connexion unique (SSO), de communications entrantes CSIv2 (Common Secure Interoperability Version 2) et de communications sortantes CSIv2 dans la console d'administration de WebSphere Application Server. Vous pouvez activer uniquement des parties de la procédure de propagation des attributs de sécurité applicables à votre configuration. Par exemple, vous pouvez activer la propagation Web, c'est-à-dire la propagation entre les serveurs d'applications frontaux, à l'aide de la technique "push" (DynaCache) ou de la technique "pull" (méthode éloignée vers le serveur d'origine).

Vous pouvez également indiquer si vous souhaitez activer la propagation sortante et entrante RMI (Remote Method Invocation), qui est généralement appelée "propagation en aval". En règle générale, ces deux types de propagation sont activés pour une cellule donnée. Dans certains cas, vous pouvez sélectionner une autre option pour un serveur d'applications spécifique en utilisant le panneau de sécurité du serveur dans les paramètres du serveur d'applications spécifique.

Restriction : Afin d'éviter de propager plusieurs fois les mêmes attributs de sécurité parmi des serveurs d'applications, WebSphere Application Server vérifie qu'un jeton LTPA (Lightweight Third Party Authentication) n'existe pas. Deux situations sont possibles. L'absence du jeton LTPA indique au serveur d'applications que la propagation peut avoir lieu. La présence du jeton LTPA indique que la propagation s'est produite si le jeton LTPA a été généré dans le cluster. Cependant, dans le deuxième cas, si le jeton LTPA est présent mais a été généré par un serveur en dehors du cluster, tel que par Tivoli Access Manager, Lotus Domino ou un autre cluster de serveur d'applications, les attributs de sécurité ne sont pas propagés.

Pour afficher ce panneau dans la console d'administration, cliquez sur Serveurs > Serveurs d'applications > nom_serveur. Dans le menu Sécurité, cliquez sur Sécurité du serveur.

Suivez la procédure ci-après pour configurer WebSphere Application Server pour la propagation des attributs de sécurité :

Procédure

  1. Accédez à la console d'administration WebSphere Application Server en entrant http://nom_serveur:numéro_port/ibm/console. L'adresse de la console d'administration peut différer si vous avez modifié le numéro de port.
  2. Cliquez sur Sécurité > Sécurité globale.
  3. Dans le menu Sécurité Web, cliquez sur Connexion unique (SSO).
  4. Facultatif : Sélectionnez l'option du mode interopérabilité si vous devez interopérer avec les serveurs qui ne prennent pas en charge la propagation des attributs de sécurité. Ces serveurs reçoivent le jeton LTPA (Lightweight Third Party Authentication) et le jeton de propagation, mais ignorent les informations sur les attributs de sécurité qu'ils ne comprennent pas.
  5. Sélectionnez l'option Propagation des attributs de sécurité entrants Web. L'option de propagation des attributs de sécurité entrants Web active la propagation horizontale, qui permet la réception du jeton SSO pour extraire les informations de connexion à partir du serveur de connexion d'origine. Si vous n'activez pas cette option, la propagation en aval peut se produire si vous activez l'option Propagation des attributs de sécurité dans le panneau Authentification des communications entrantes CSIv2, ainsi que dans le panneau Authentification des communications sortantes CSIv2.

    En règle générale, vous activez l'option Propagation de l'attribut de sécurité des communications entrantes Web si vous devez collecter les attributs de sécurité dynamiques définis sur le serveur d'origine et qui ne peuvent pas être régénérés sur le nouveau serveur frontal. Ces attributs incluent les attributs personnalisés qui peuvent être définis dans le jeton PropagationToken à l'aide des API com.ibm.websphere.security.WSSecurityHelper. Vous devez déterminer si l'activation de cette option améliore ou altère les performances du système. L'option évite d'effectuer certains appels de registres d'utilisateurs mais la désérialisation et le déchiffrement de certains jetons risquent d'altérer les performances. Dans certains cas, la propagation est plus rapide, notamment si le registre d'utilisateurs représente le goulet d'étranglement de la topologie. Il est recommandé de mesurer les performances de votre environnement en activant et en désactivant cette option. Lorsque vous testez les performances, il est recommandé d'effectuer les tests dans un environnement d'exploitation correspondant à l'environnement de production standard avec un nombre standard d'utilisateurs uniques qui accèdent simultanément au système.

    Lorsque l'option Propagation de l'attribut de sécurité des communications entrantes Web est activée, les attributs de sécurité sont propagés vers les serveurs d'applications frontaux. Lorsque cette option est désactivée, le jeton SSO est utilisé pour la connexion et la création du sujet à partir du registre d'utilisateurs.

  6. Cliquez sur Sécurité > Sécurité globale. Sous Sécurité RMI/IIOP, cliquez sur Authentification des communications entrantes CSIv2. La zone Configuration de connexion indique RMI_INBOUND comme configuration de connexion système utilisée pour les demandes entrantes. Pour ajouter des modules de connexion JAAS (Java™ Authentication and Authorization Service) personnalisés, procédez comme suit :
    1. Cliquez sur Sécurité > Sécurité globale. Dans la section Service d'authentification et d'autorisation Java, cliquez sur Connexions système. La liste des configurations de connexion système s'affiche. WebSphere Application Server fournit les configurations de connexion système pré-configurées suivantes : DEFAULT, LTPA, LTPA_WEB, RMI_INBOUND, RMI_OUTBOUND, SWAM, WEB_INBOUND, wssecurity.IDAssertion et wssecurity.Signature. Ne supprimez pas ces configurations prédéfinies.
      Remarque : SWAM est obsolète dans WebSphere Application Server Version 9.0 et sera supprimé dans les prochaines versions.
    2. Cliquez sur le nom de la configuration de connexion à modifier.
    3. Dans le menu Propriétés supplémentaires, cliquez sur Modules de connexion JAAS. Le panneau Modules de connexion JAAS s'affiche et présente la liste de tous les modules de connexion traités dans la configuration de connexion. Ne supprimez pas les modules de connexion JAAS requis. Au lieu de cela, vous pouvez ajouter des modules de connexion personnalisés avant ou après les modules de connexion requis. Si vous ajoutez des modules de connexion personnalisés, ne faites pas commencer leur nom par com.ibm.ws.security.server.

      Vous pouvez spécifier l'ordre de traitement des modules de connexion en cliquant sur Définir l'ordre.

  7. Sélectionnez l'option Propagation des attributs de sécurité dans la sous-fenêtre Authentification des communications entrantes CSIv2. Lorsque vous sélectionnez Propagation des attributs de sécurité, le serveur signale aux autres serveurs d'applications qu'il peut recevoir des attributs de sécurité propagés d'un autre serveur du même domaine via CSIv2 (Common Secure Interoperability version 2).
  8. Cliquez sur Sécurité > Sécurité globale. Sous Sécurité RMI/IIOP, cliquez sur Authentification des communications sortantes CSIv2. Le panneau d'authentification des communications sortantes CSIv2 s'affiche. La zone Configuration de connexion indique RMI_OUTBOUND comme configuration de connexion JAAS utilisée pour la configuration des communications sortantes. Vous ne pouvez pas modifier cette configuration de connexion, mais vous pouvez personnaliser cette configuration de connexion en suivant la sous-procédure décrite précédemment pour l'authentification des communications entrantes CSIv2.
  9. Facultatif : Vérifiez que l'option Propagation des attributs de sécurité est sélectionnée pour activer la propagation du jeton de contexte de sécurité et du sujet sortant pour le protocole RMI (Remote Method Invocation). Lorsque vous sélectionnez cette option, WebSphere Application Server sérialise le contenu du sujet et celui du jeton de propagation. Une fois le contenu sérialisé, le serveur utilise le protocole CSIv2 pour envoyer le sujet et le jeton PropagationToken aux serveurs cible qui prennent en charge la propagation des attributs de sécurité. Si le serveur de réception ne prend pas en charge les jetons des attributs de sécurité, WebSphere Application Server envoie le jeton LTPA (Lightweight Third Party Authentication) uniquement.
    Important : WebSphere Application Server propage uniquement les objets dans le sujet qu'il peut sérialiser. Le serveur propage les objets personnalisés au mieux (best-effort).
    Si la Propagation des attributs de sécurité est activée, WebSphere Application Server ajoute des jetons marqueurs au sujet pour activer le serveur cible afin d'ajouter des attributs supplémentaires pendant la connexion entrante. Pendant la phase de validation de la connexion, les jetons marqueurs et le sujet sont marqués en lecture seule et ne peuvent pas être modifiés par la suite.
    [z/OS]Important : Avec la propagation des attributs de sécurité, utilisez les mêmes clés LTPA dans toutes les configurations de cellule.
  10. Facultatif : Sélectionnez l'option Mappage sortant personnalisé si l'option Propagation des attributs de sécurité n'est pas activée et que vous souhaitez utiliser la configuration de connexion RMI_OUTBOUND. Si ni l'option Mappage sortant personnalisé ni l'option Propagation des attributs de sécurité n'est sélectionnée, WebSphere Application Server n'appelle pas la configuration de connexion RMI_OUTBOUND. Si vous avez besoin de connecter un module de mappage LoginModule de justificatif, sélectionnez l'option Mappage sortant personnalisé.
  11. Facultatif : Indiquez les noms de domaine cible dignes de confiance dans la zone Domaines cible sécurisés. En spécifiant ces noms de domaines, les informations peuvent être envoyées aux serveurs qui résident en dehors du domaine du serveur d'origine pour prendre en charge le mappage entrant au niveau des serveurs en aval. Pour effectuer un mappage sortant vers un domaine différent du domaine en cours, vous devez indiquer le domaine dans cette zone afin de pouvoir y accéder sans que la demande soit refusée en raison de domaines différents. Si vous souhaitez que WebSphere Application Server propage les attributs de sécurité à un autre domaine lorsqu'une demande est envoyée, indiquez le nom du domaine dans la zone Domaines cible sécurisés. Sinon, les attributs de sécurité ne sont pas propagés au domaine non spécifié. En cas de domaines cible multiples, insérez le signe (|) comme séparateur entre chaque entrée.
  12. Facultatif : Activez la propagation pour un client pur. Pour qu'un client puisse transmette les attributs ajoutés au sujet d'appel, vous devez ajouter la propriété suivante au fichier sas.client.props : com.ibm.CSI.rmiOutboundPropagationEnabled=true.
    Remarque : Le fichier sas.client.props se trouve dans <WAS-HOME>/profiles/<NomDuProfil>/properties>.

Résultats

Une fois que cette procédure est terminée, vous avez configuré WebSphere Application Server pour propager les attributs de sécurité aux autres serveurs.

Que faire ensuite

Si vous avez besoin de désactiver cette fonctionnalité, déterminez si cela doit être pour le niveau serveur ou le niveau cellule.
Avertissement : Les modifications apportées aux paramètres au niveau du serveur se substituent aux paramètres du niveau cellule.
Avertissement : Notez que les paramètres peuvent être remplacés par d'autres dans un domaine de sécurité.
Pour désactiver la propagation des attributs de sécurité au niveau serveur, procédez comme suit :
  1. Cliquez sur Serveur > Serveurs d'application > nom_serveur.
  2. Sous Sécurité, cliquez sur Sécurité du serveur.
  3. Sélectionnez l'option La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule.
  4. Désactivez la propagation des attributs de sécurité pour les demandes entrantes en cliquant sur Authentification des communications entrantes CSI sous Propriétés supplémentaires et en désélectionnant l'option Propagation des attributs de sécurité.
  5. Désactivez la propagation des attributs de sécurité pour les demandes sortantes en cliquant sur Authentification des communications sortantes CSI sous Propriétés supplémentaires et en désélectionnant l'option Propagation des attributs de sécurité.

Pour désactiver la propagation des attributs de sécurité sur le niveau cellule, annulez toutes les étapes que vous avez suivies précédemment pour activer la propagation des attributs de sécurité.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablesecattprop
Nom du fichier : tsec_enablesecattprop.html