Configuration des domaines de sécurité

Cette page permet de configurer les attributs de sécurité d'un domaine et de lui attribuer des ressources de cellule. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres du domaine pour chaque attribut de sécurité.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Domaines de sécurité. Sur la page de collection des domaines de sécurité, sélectionnez un domaine existant à configurer, créez-en un, ou copiez un domaine existant.

Consultez Domaines de sécurité multiples pour mieux comprendre ce que sont les domaines de sécurité multiples et la manière dont ils sont pris en charge dans cette version de WebSphere Application Server.

Chaîne

Indique un nom unique pour le domaine. Il ne peut pas être modifié après la soumission initiale.

Un nom de domaine doit être unique au sein de la cellule et ne peut pas contenir de caractère invalide.

Description

Indique la description du domaine.

Portées affectées

Sélectionnez cette option pour afficher la topologie de la cellule. Vous pouvez affecter le domaine de sécurité à une cellule entière ou sélectionner les clusters, noeuds et bus d'intégration de services spécifiques à inclure dans le domaine de sécurité.

Si vous sélectionnez Toutes les portées, la topologie de cellule entière est affichée.

Si vous sélectionnez Portées affectées, la topologie de cellule est affichée avec les serveurs et les clusters affectés au domaine actuel.

Le nom d'un domaine explicitement affecté apparaît en regard de la ressource. Les cases cochées indiquent les ressources actuellement affectées au domaine. Vous pouvez également sélectionner d'autres ressources et cliquer sur Appliquer ou OK pour les affecter au domaine actuel.

Une ressource non cochée (désactivée) indique qu'elle n'est pas affectée au domaine actuel et qu'elle doit être supprimée d'un autre domaine avant de pouvoir être activée pour le domaine actuel.

Si une ressource n'a pas de domaine explicitement affecté, elle utilise le domaine affecté à la cellule. Si aucun domaine n'est affecté à la cellule, la ressource utilise des paramètres globaux.

Les membres du cluster ne peuvent pas être affectés individuellement à des domaines ; le cluster d'entrée utilise le même domaine.

Sécurité de l'application :

Sélectionnez Activer la sécurité des applications pour activer ou désactiver la sécurité des applications utilisateur. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres d'un domaine.

Lorsque cette sélection est désactivée, tous les EJB et les applications Web du domaine de sécurité ne sont plus protégés. L'accès à ces ressources est autorisé sans authentification de l'utilisateur. Lorsque vous activez cette sélection, la sécurité Java™ EE est activée pour tous les EJB et applications Web du domaine de sécurité. La sécurité Java EE est activée uniquement lorsque l'option Sécurité globale est activée dans la configuration de sécurité globale (ce qui signifie que vous ne pouvez pas activer la sécurité des applications sans activer d'abord Sécurité globale au niveau global).

Activer la sécurité d'application

Active la sécurité pour les applications de votre environnement. Ce type de sécurité garantit l'isolement des applications et fournit les éléments nécessaires pour l'authentification des utilisateurs d'application.

Dans les éditions précédentes de WebSphere Application Server, la sécurité administrative et d'application étaient activées automatiquement lors de l'activation de la sécurité globale. Dans WebSphere Application Server version 6.1, la notion de sécurité globale inclut deux éléments distincts, la sécurité administrative et la sécurité d'application, qui peuvent être activés séparément.

Les clients WebSphere Application Server doivent désormais déterminer si la sécurité d'application est désactivée sur le serveur cible. Par défaut, la sécurité d'administration est activée. Par défaut, la sécurité d'application est désactivée. Pour activer la sécurité applicative, vous devez activer la sécurité administrative. La sécurité d'application est effective uniquement lorsque la sécurité administrative est activée.

Lorsque cette sélection est désactivée, tous les EJB et les applications Web du domaine de sécurité ne sont plus protégés. L'accès à ces ressources est autorisé sans authentification de l'utilisateur. Lorsque vous activez cette sélection, la sécurité Java EE est activée pour tous les EJB et applications Web du domaine de sécurité. La sécurité Java EE est activée uniquement lorsque l'option Sécurité globale est activée dans la configuration de sécurité globale (ce qui signifie que vous ne pouvez pas activer la sécurité des applications sans activer d'abord Sécurité globale au niveau global).

Sécurité Java 2 :

Sélectionnez Utiliser la sécurité Java 2 pour activer ou désactiver la sécurité Java 2 au niveau du domaine ou pour affecter ou ajouter des propriétés liées à la sécurité Java 2. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres d'un domaine.

Cette option active ou désactive la sécurité Java 2 au niveau du processus (JVM) pour que toutes les applications (d'administration et utilisateur) puissent activer ou désactiver la sécurité Java 2.

Utilisation des paramètres de sécurité globaux

Sélectionnez cette option pour spécifier les paramètres de sécurité globaux utilisés.

Personnalisation pour ce domaine

Sélectionnez cette option pour spécifier les paramètres définis dans le domaine, comme les options d'activation de la sécurité de l'application et Java 2 et pour utiliser des données d'authentification du domaine.

Utiliser la sécurité Java 2 pour limiter l'accès des applications aux ressources locales

Sélectionnez cette option pour indiquer s'il est nécessaire d'activer ou de désactiver le contrôle des droits d'accès de la sécurité Java 2. Par défaut, l'accès aux ressources locales n'est pas limité. Vous pouvez désactiver la sécurité Java 2 même lorsque la sécurité d'application est activée.

Lorsque l'option Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, l'exécution de l'application peut ne pas aboutir tant que les droits requis ne sont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui ne disposent pas de tous les droits requis.

Prévenir si des applications reçoivent des permissions personnalisées

Indique que l'exécution émet un avertissement, lors du déploiement de l'application et au lancement de celle-ci, si des applications se sont vues octroyer des autorisations personnalisées. Les droits d'accès personnalisés sont des droits définis par les applications utilisateur et non pas des droits d'accès à l'API Java. Les droits d'accès à l'API Java sont des droits définis dans les packages java.* et javax.*.

Le serveur d'applications fournit le support de gestion du fichier de règles. Un certain nombre de fichiers de règles sont disponibles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune base de code n'est définie et aucune base de code associée n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste de droits que vous ne souhaitez pas accorder à une application donnée, conformément à la spécification Java EE 1.4.

Important : Vous ne pouvez pas activer cette option sans activer l'option Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales.

Limiter l'accès aux données d'authentification des ressources

Cette option est désactivée si la sécurité Java 2 n'a pas été activée.

Activez cette option lorsque les deux conditions ci-dessous sont vraies :
  • La sécurité Java 2 est activée.
  • Le code de l'application reçoit les droits accessRuntimeClasses WebSphereRuntimePermission dans le fichier was.policy qui se trouve dans le fichier EAR (Enterprise Archive) de l'application. Par exemple, l'autorisation est accordée au code de l'application lorsque la ligne ci-dessous figure dans le fichier was.policy :
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

L'option Limiter l'accès aux données d'authentification des ressources ajoute une vérification d'autorisation de sécurité Java 2 à granularité fine au mappage principal par défaut de l'implémentation WSPrincipalMappingLoginModule. Vous devez accorder des droits explicites aux applications Java 2 Platform, Enterprise Edition (Java EE) qui utilisent l'implémentation WSPrincipalMappingLoginModule directement dans la connexion Java Authentication and Authorization Service (JAAS) lorsque les options Utiliser la sécurité Java 2 pour limiter l'accès aux applications par les ressources locales et Limiter l'accès aux données d'authentification des ressources sont activées.

Information valeur
Valeur par défaut Désactivée

Domaine utilisateur :

Cette section permet de configurer le registre d'utilisateurs pour le domaine de sécurité. Vous pouvez configurer séparément tout registre utilisé au niveau du domaine.

Lors de la configuration d'un registre au niveau du domaine, vous pouvez choisir de définir votre propre nom de domaine pour ce registre. Le nom de domaine permet de distinguer un registre d'utilisateurs d'un autre. Le nom de domaine est utilisé à plusieurs endroits : dans le panneau de connexion client Java pour identifier l'utilisateur, dans le cache d'authentification et lors de l'utilisation de l'autorisation native.

Au niveau de la configuration globale, le système crée le domaine pour le registre d'utilisateurs. Dans les versions précédentes de WebSphere Application Server, seul un registre d'utilisateurs est configuré dans le système. Lorsque vous possédez des domaines de sécurité multiples, vous pouvez configurer plusieurs registres dans le système. Pour les domaines uniques, configurez votre propre nom de domaine pour un domaine de sécurité. Vous pouvez également choisir le système permettant de créer un nom de domaine unique, si vous êtes sûr qu'il sera unique. Dans ce dernier cas, le nom de domaine est basé sur le registre utilisé.

Relation de confiance :

Sélectionnez cette option pour indiquer les paramètres de la relation de confiance. La relation de confiance permet de connecter des serveurs proxy inverses aux serveurs d'applications.

La relation de confiance permet d'intégrer la sécurité IBM® WebSphere Application Server et des serveurs de sécurité tiers. Plus précisément, elles permettent à un serveur proxy inversé d'agir comme serveur d'authentification frontal lorsque WebSphere applique sa stratégie d'authentification aux justificatifs transmis par le proxy.

Les intercepteurs de relations de confiance Tivoli Access Manager peuvent être configurés uniquement au niveau global. La configuration de domaine peut également les utiliser, mais elle ne peut pas être de version différente de celle de l'intercepteur de relations de confiance. Il ne peut exister qu'une seule instance des intercepteurs de relation de confiance de Tivoli Access Manager dans le système.

Remarque : L'utilisation d'intercepteurs de relations de confiance (TAI) pour l'authentification SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) est obsolète. Les panneaux d'authentification Web SPNEGO permettent de configurer SPNEGO plus facilement.

Intercepteurs

Sélectionnez cette option pour spécifier ou accéder aux informations sécurisées pour les serveurs proxy inverses.

Activer la relation de confiance

Sélectionnez cette option pour activer l'intégration de la sécurité IBM WebSphere Application Server et des serveurs de sécurité tiers. Plus précisément, elles permettent à un serveur proxy inversé d'agir comme serveur d'authentification frontal lorsque WebSphere applique sa stratégie d'authentification aux justificatifs transmis par le proxy.

Authentification Web SPNEGO :

Indique les paramètres pour SPNEGO (Simple and Protected GSS-API Negotiation) comme mécanisme d'authentification Web.

L'authentification Web SPNEGO, qui permet de configurer SPNEGO pour l'authentification des ressources Web, peut être configurée au niveau du domaine.

Remarque : WebSphere Application Server Version 6.1, propose un intercepteur TAI qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier en toute sécurité et authentifier les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.

Sécurité RMI/IIOP :

Indique les paramètres pour RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Un courtier ORB (Object Request Broker) gère l'interaction entre les clients et les serveurs, à l'aide du protocole IIOP (Internet InterORB Protocol). Dans un environnement réseau réparti, il permet aux clients d'adresser des demandes aux serveurs et de recevoir des réponses de ces serveurs.

Lorsque vous configurez ces attributs au niveau du domaine, la configuration de sécurité RMI/IIOP au niveau global est copiée pour des raisons pratiques. Vous pouvez modifier au niveau du domaine les attributs qui doivent être différents Les paramètres de la couche de transport pour les communications CSIv2 entrantes doivent être les mêmes pour le niveau global et celui du domaine. S'ils sont différents, les attributs du niveau du domaine sont appliqués à toutes les applications du processus.

Lorsqu'un processus communique avec un autre processus avec un domaine différent, l'authentification LTPA et les jetons de propagation sont propagés sur le serveur en aval sauf si le serveur est répertorié dans la liste des domaines de confiance sortants. Pour cela, vous pouvez utiliser le lien Domaines d'authentification sécurisés - sortant du panneau Communications sortantes CSIv2.

Communications entrantes CSIv2

Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont reçues, et des paramètres de transport des connexions qui sont acceptées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).

WebSphere Application Server vous permet de définir l'authentification IIOP (Internet Inter-ORB Protocol) pour les demandes d'authentification entrantes et sortantes. Pour les demandes entrantes, vous pouvez définir le type d'authentification accepté, par exemple une authentification de base.

Communications sortantes CSIv2

Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont envoyées, et des paramètres de transport des connexions qui sont initiées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).

WebSphere Application Server vous permet de définir l'authentification IIOP (Internet Inter-ORB Protocol) pour les demandes d'authentification entrantes et sortantes. Pour les demandes sortantes, vous pouvez définir des propriétés telles que le type d'authentification, la vérification d'identité ou les configurations de connexion utilisées pour les demandes aux serveurs en aval.

Connexions des applications JAAS

Sélectionnez cette option pour définir les configurations de connexion utilisées par JAAS.

Les alias des connexions des applications JAAS, des connexions système JAAS et des données d'authentification J2C JAAS peuvent tous être configurés au niveau du domaine. Par défaut, toutes les applications dans le système ont accès aux connexions JAAS configurées au niveau global. Le module d'exécution de sécurité recherche d'abord les connexions JAAS au niveau du domaine. S'il ne les trouve pas, il les recherche dans la configuration de sécurité globale. Configurez l'une de ces connexions JAAS au niveau d'un domaine uniquement lorsque vous devez spécifier une connexion utilisée exclusivement par les applications du domaine de sécurité.

Une fois que les attributs globaux sont personnalisés pour un domaine (pour le service JAAS et les propriétés personnalisées uniquement), ils peuvent toujours être utilisés par les applications utilisateur.

Ne supprimez pas les configurations de connexion ClientContainer, DefaultPrincipalMapping et WSLogin car d'autres applications peuvent les utiliser. Si ces configurations sont supprimées, d'autres applications peuvent échouer.

Utiliser des connexions globales et spécifiques au domaine

Sélectionnez cette option pour spécifier les paramètres définis dans le domaine, comme les options d'activation de la sécurité de l'application et Java 2 et pour utiliser des données d'authentification du domaine.

Connexions système JAAS :

Indique les paramètres de configuration pour les connexions système JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres de configuration d'un domaine.

Connexions au système

Sélectionnez cette option pour définir les configurations de connexion JAAS utilisées par des ressources système, y compris les mécanismes d'authentification, le mappage principal, et le mappage des droits d'accès

Données d'authentification d'architecture J2EE Connector JAAS :

Indique les paramètres des données d'authentification d'architecture J2EE Connector JAAS. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres d'un domaine.

Les entrées de données d'authentification du connecteur Java 2 Platform, Enterprise Edition (Java EE) Connector sont utilisées par les adaptateurs de ressources et les sources de données JDBC (Java DataBase Connectivity).

Utiliser des entrées globales et spécifiques au domaine

Sélectionnez cette option pour spécifier les paramètres définis dans le domaine, comme les options d'activation de la sécurité de l'application et Java 2 et pour utiliser des données d'authentification du domaine.

Authentification Java Authentication SPI (JASPI)

Spécifie les paramètres de configuration d'un fournisseur d'authentification Java Authentication SPI (JASPI) et des modules d'authentification associés. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres d'un domaine. Pour configurer les fournisseurs d'authentification JASPI d'un domaine, sélectionnez Personnaliser en fonction de ce domaine et activez ensuite JASPI. Sélectionnez Fournisseurs pour créer ou modifier un fournisseur d'authentification JASPI.

Remarque : Le fournisseur d'authentification JASPI peut être activé à l'aide des fournisseurs configurés au niveau du domaine. Par défaut, toutes les applications du système ont accès aux fournisseurs d'authentification JASPI configurés au niveau global. Le module d'exécution de sécurité recherche d'abord les fournisseurs d'authentification JASPI au niveau du domaine. S'il ne les trouve pas, il les recherche ensuite dans la configuration de sécurité globale. Configurez les fournisseurs d'authentification JASPI au niveau du domaine uniquement lorsque le fournisseur doit être utilisé exclusivement pas les applications de ce domaine de sécurité.

Attributs du mécanisme d'authentification :

Indique les différents paramètres de mémoire cache à appliquer au niveau du domaine.

  • Paramètres de la mémoire cache d'authentification - pour indiquer vos paramètres de la mémoire cache d'authentification. La configuration indiquée sur ce panneau s'applique uniquement à ce domaine.
  • Délai d'attente LTPA - Vous pouvez configurer un délai d'attente LTPA différent au niveau du domaine. La valeur de la durée d'attente par défaut, définie au niveau global, est de 120 minutes. Si le délai d'attente LTPA est définie au niveau du domaine, tout jeton créé dans le domaine de sécurité lors de l'accès aux applications utilisateur est créé avec ce délai d'expiration.
  • Utilisation des noms d'utilisateur complets du domaine - Lorsque cette option est activée, les noms d'utilisateur renvoyés par des méthodes telles que getUserPrincipal( ) sont qualifiés avec le domaine de sécurité (registre d'utilisateurs) utilisé par les applications dans le domaine de sécurité.

Fournisseurs d'autorisations :

Indique les paramètres du fournisseur d'autorisations. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres d'un domaine.

Vous pouvez configurer un fournisseur JACC (Java Authorization Contract for Containers) tiers externe au niveau du domaine. Le fournisseur JAAC de Tivoli Access Manager peut être configuré uniquement au niveau global. Les domaines de sécurité peuvent toujours l'utiliser s'ils ne remplacent pas le fournisseur d'autorisations par un autre fournisseur JACC ou par l'autorisation native intégrée.

Sélectionnez Autorisation par défaut ou Autorisation externe à l'aide d'un fournisseur JAAC. Le bouton Configurer est uniquement activé lorsque Autorisation externe à l'aide d'un fournisseur JAAC est sélectionné.

[z/OS]Pour l'autorisation SAF (System Authorization Facility), si vous définissez le préfixe de profil SAF au niveau du domaine, il est appliqué au niveau du serveur afin que toutes les applications (d'administration et utilisateur) l'activent ou le désactivent sur ce serveur.

[z/OS]

Activer la synchronisation des identités d'unité d'exécution des serveurs d'applications et de z/OS

Sélectionnez cette option pour indiquer si une identité d'unité d'exécution de système d'exploitation est activée pour la synchronisation avec l'identité Java EE (Java 2 Platform, Enterprise Edition) qui est utilisée dans l'environnement d'exécution du serveur d'applications si une application est codée pour demander cette fonction.

Synchroniser l'identité du système d'exploitation à l'identité Java EE entraîne la synchronisation de l'identité du système d'exploitation à l'appelant authentifié, ou à l'identité RunAs déléguée dans un fichier servlet ou EJB (Enterprise JavaBeans). Cette synchronisation ou association implique que l'identité de l'appelant ou du rôle de sécurité, et non pas l'identité de région du serveur, est utilisée pour les demandes de service z/OS, telles que l'accès à un fichier.

Si cette valeur est définie au niveau du domaine, elle est appliquée au niveau du serveur afin que toutes les applications (d'administration et utilisateur) l'activent ou la désactivent sur ce serveur.

Propriétés personnalisées.

Sélectionnez cette option pour spécifier les paires de données nom-valeur, où le nom est une clé de propriété et la valeur est une chaîne.

Définissez des propriétés personnalisées au niveau du domaine qui sont soit nouvelles soit différentes de celles au niveau global. Par défaut, toutes les propriétés personnalisées de la configuration de sécurité globale sont accessibles par toutes les applications du système. Le code d'exécution de sécurité recherche d'abord la propriété personnalisée au niveau du domaine. S'il ne la trouve pas, il tente de l'obtenir dans la configuration de sécurité globale.

Liaisons des services Web

Cliquez sur Liaisons de l'ensemble de règles par défaut pour définir le fournisseur par défaut du domaine et les liaisons client.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sec_domains_edit
Nom du fichier : usec_sec_domains_edit.html