Serveur et sécurité administrative
Le terme sécurité administrative fait référence à la fourniture d'authentification des utilisateurs qui se servent des fonctions d'administration de WebSphere, à l'utilisation du protocole SSL (Secure Sockets Layer) et au choix du référentiel de comptes utilisateur.
![[z/OS]](../images/ngzos.gif)
- Partage d'identités avec plusieurs autres services connecteur z/OS
- Utilisation de la délégation SAF qui réduit la nécessité de stocker les ID utilisateur et les mots de passe à des emplacements distincts dans la configuration
- Utilisation de fonctions d'audit supplémentaires
Dans certains cas, le domaine peut
correspondre au nom d'une machine d'un registre d'utilisateurs local. Tous les serveurs d'applications
doivent alors résider sur la même machine physique.
Dans d'autres cas, le
domaine peut correspondre au nom d'une machine d'un registre
d'utilisateurs LDAP (Lightweight Directory Access Protocol). Sachant que LDAP constitue un registre réparti, il est
possible d'avoir une configuration de plusieurs noeuds dans un environnement WebSphere
Application Server, Network Deployment. Le principe d'un domaine sécurité présuppose que l'ID accès renvoyé
par le registre d'un serveur est identique à celui retourné par le
registre d'un autre serveur du même domaine. L'ID d'accès est l'identificateur unique
d'un utilisateur et permet de savoir si l'accès à la ressource est autorisé.
- gestionnaire de sécurité Java 2 ;
- service JAAS (Java Authentication and Authorization Service) ;
- données d'authentification J2C (Java 2 Connector) ;
Protocole d'authentification CSIv2 et SAS (sécurité RMI/IIOP)
CSIv2 (Common Secure Interoperability Version 2) et le protocole d'authentification z/OS Secure Authentication Service (z/SAS) (sécurité RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol))
- Autres attributs divers.
Vous
pouvez remplacer certaines parties de la configuration au niveau du serveur.
Lorsque plusieurs noeuds et serveurs peuvent être mis en oeuvre dans un noeud, vous pouvez configurer certains attributs au niveau du serveur. Ces derniers incluent l'activation de la sécurité pour le serveur, l'activation du gestionnaire de sécurité Java2 et le protocole d'authentification CSIv2/SAS (sécurité RMI/IIOP). Vous pouvez désactiver la sécurité au niveau des serveurs d'applications individuels lorsque la sécurité administrative est activée. Toutefois, vous ne pouvez pas activer la sécurité au niveau d'un serveur d'applications individuel si la sécurité administrative est désactivée.
Lorsque plusieurs noeuds et serveurs peuvent être mis en oeuvre dans un noeud, vous pouvez configurer certains attributs au niveau du serveur. Ces derniers incluent l'activation de la sécurité pour le serveur, l'activation du gestionnaire de sécurité Java 2 et le protocole d'authentification CSIv2 et z/SAS (sécurité RMI/IIOP). Vous pouvez désactiver la sécurité au niveau des serveurs d'applications individuels lorsque la sécurité administrative est activée. Toutefois, vous ne pouvez pas activer la sécurité au niveau d'un serveur d'applications individuel si la sécurité administrative est désactivée.
Lorsque la sécurité du serveur d'applications est désactivée pour les demandes utilisateurs, la sécurité d'attribution de nom et d'administration est toujours activée pour le serveur d'applications afin que l'infrastructure d'attribution de nom et d'administration reste sécurisée. Si la sécurité de la cellule est activée, mais que la sécurité au niveau des serveurs individuels ne l'est pas, les applications Java Platform, Enterprise Edition ne sont ni authentifiées ni autorisées. En revanche, la sécurité d'attribution de nom et d'administration sont appliquées. Par conséquent, les services d'attribution de nom pouvant être appelés à partir d'applications utilisateur, accordez l'accès Tous les utilisateurs aux fonctions d'attribution de nom requises de sorte qu'elles acceptent les demandes non authentifiées. Le code utilisateur n'accède pas directement à la sécurité d'administration sauf via les outils de scriptage pris en charge.
Si vous utilisez l'autorisation SAF (System Authorization Facility), vous devez vous assurer que la zone UACC du profil EJBROLE de
CosNamingRead a pour valeur READ et que l'ID non authentifié possède un accès READ (en lecture) à ce profil.