Sécurité administrative

La sécurité administrative détermine si la sécurité est ou non activée, quel type de registre doit être utilisé pour l'authentification, ainsi qu'un certain nombre d'autres valeurs, dont la plupart sont utilisées par défaut. Une planification adaptée est cependant requise car une activation incorrecte de la sécurité administrative peut verrouiller l'accès à la console d'administration ou entraîner l'arrêt anormal du serveur.

Remarque : Il est vivement recommandé d'autoriser l'installation par défaut à activer la sécurité administrative par défaut.
La sécurité administrative peut être assimilée à un "interrupteur géant" qui active une vaste gamme de paramètres de sécurité pour WebSphere Application Server. Il est possible de définir les valeurs de ces paramètres, mais celles-ci ne s'appliquent que si la sécurité administrative est activée. Les paramètres incluent l'authentification des utilisateurs, l'utilisation de SSL (Secure Sockets Layer) et le choix du référentiel de comptes utilisateur. En particulier, la sécurité applicative, qui inclut l'authentification et l'autorisation fondée sur les rôles, ne peut s'appliquer que si la sécurité administrative est active. Cette dernière est activée par défaut.
Remarque : La sécurité administrative doit être activée pour que les applications WebSphere puissent utiliser les méthodes JSSE afin de chiffrer les communications établies avec des sites distants.

La sécurité administrative désigne la configuration de sécurité applicable à l'ensemble du domaine de sécurité. Un domaine de sécurité se compose de tous les serveurs configurés avec le même nom de domaine de registre d'utilisateurs. Dans certains cas, le domaine peut correspondre au nom de la machine d'un registre de système d'exploitation local. Tous les serveurs d'applications doivent alors être installés sur la même machine physique. Dans d'autres cas, le domaine peut correspondre au nom de la machine d'un registre LDAP (Lightweight Directory Access Protocol) autonome.

Une configuration de plusieurs noeuds est prise en charge car vous pouvez accéder à distance aux registres d'utilisateurs compatibles avec le protocole LDAP. Vous pouvez donc activer l'authentification de n'importe où.

Dans un domaine de sécurité, les ID d'accès renvoyés par le registre ou le référentiel de chaque serveur doivent être identiques. L'ID accès est l'identificateur unique d'un utilisateur et permet de savoir si l'accès à la ressource est autorisé.

La configuration de la sécurité administrative s'applique à tous les serveurs du domaine de sécurité.

Pourquoi activer la sécurité administrative ?

Lorsque la sécurité administrative est mise en oeuvre, les paramètres qui protègent le serveur des accès non autorisés sont activés. La sécurité administrative est activée par défaut pendant la durée de création du profil. Dans certains environnements, tels qu'un système de développement, la sécurité n'est pas nécessaire. Vous pouvez donc choisir de ne pas activer la sécurité administrative sur ces systèmes. Dans la plupart des environnements, toutefois, il convient d'interdire les accès non autorisés à la console d'administration et à vos applications métier. Il faut pour cela que la sécurité administrative soit activée.

Quels sont les éléments protégés par la sécurité administrative ?

Lors de la configuration de la sécurité administrative d'un domaine de sécurité, les éléments ci-dessous doivent être configurés.

  • Authentification des clients HTTP
  • Authentification des clients IIOP
  • Sécurité de la console d'administration
  • Sécurité du système d'attribution de nom
  • l'utilisation des transports SSL,
  • Contrôles d'autorisation, basée sur le rôle, des servlets, des beans enterprise et des mbeans
  • Propagation des identités (RunAs)
  • [z/OS]Contrôles CBIND
  • Registre d'utilisateurs commun
  • Mécanisme d'authentification
  • Autres données de sécurité définissant le comportement d'un domaine de sécurité :
    • Sécurité du protocole d'authentification RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol)
    • Autres attributs divers
Remarque : Il est recommandé d'activer d'abord la sécurité administrative dans l'agent d'administration et le profil de base avant d'enregistrer un noeud avec un processus d'agent d'administration. Une fois un profil enregistré sur l'agent d'administration, l'état d'activation de la sécurité administrative ne peut pas être modifié.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_global
Nom du fichier : csec_global.html