Signature des données d'audit de sécurité à l'aide de scripts

L'outil wsadmin permet de configurer le système d'audit de sécurité pour signer les enregistrements d'audit de sécurité. Cette fonction propose de suivre et d'archiver des événements auditables.

Avant de commencer

Vérifiez que vous disposez du rôle administratif approprié. Pour réaliser les tâches expliquées dans cette rubrique, vous devez posséder les rôles administratifs d'auditeur et d'administrateur.

Pourquoi et quand exécuter cette tâche

Lors de la configuration de la signature des données d'audit, l'auditeur dispose des options suivantes :
  • autoriser le serveur d'applications à générer automatiquement un certificat ;
  • utiliser un certificat auto-signé que l'auditeur a déjà généré ;
  • utiliser le certificat auto-signé que le système utilise pour chiffrer les enregistrements d'audit ;
  • utiliser un fichier de clés existant pour y stocker le certificat ;
  • créer un un fichier de clés pour y stocker le certificat ;
  • utiliser le certificat auto-signé d'un fichier de clés existant.

Effectuez les opérations ci-après pour configurer la signature des données d'audit de sécurité.

Procédure

  1. Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
  2. Configurez les paramètres de signature des données d'audit de sécurité.

    La commande createAuditSigningConfig permet de créer le modèle de signature des enregistrements d'audit.

    Vous pouvez importer le certificat d'un fichier de clés existant, le générer automatiquement ou utiliser le certificat employé pour chiffrer les enregistrements d'audit. Le fichier de clés de signature doit déjà exister dans le fichier security.xml. Le système met à jour ce fichier de clés avec le certificat à utiliser pour signer les enregistrements d'audit.
    Tableau 1. Paramètres de commande. Utilisez les paramètres répertoriés dans le tableau suivant avec la commande createAuditSigningConfig. Vous devez indiquer les paramètres -enableAuditSigning, -certAlias et -signingKeyStoreRef.
    Paramètre Description Type de données Obligatoire
    -enableAuditSigning Indique si les enregistrements d'audit doivent être signés. Ce paramètre modifie la configuration de la règle d'audit. Booléenne Yes
    -certAlias Indique le nom d'alias qui identifie le certificat généré ou importé. String (chaîne) Yes
    -signingKeyStoreRef Indique l'ID de référence du fichier de clés vers lequel le certificat doit être importé. String (chaîne) Yes
    -useEncryptionCert Indique si le même certificat doit être utilisé pour le chiffrement et pour la signature. Vous devez indiquer le paramètre -useEncryptionCert, -autogenCert ou -importCert. Booléenne Non
    -autogenCert Indique si le certificat utilisé pour signer les enregistrements d'audit doit être automatiquement généré. Vous devez indiquer le paramètre -useEncryptionCert, -autogenCert ou -importCert. Booléenne Non
    -importCert Indique si le certificat utilisé pour signer les enregistrements d'audit doit être importé. Vous devez indiquer le paramètre -useEncryptionCert, -autogenCert ou -importCert. Booléenne Non
    -certKeyFileName Indique le nom unique du fichier de clés pour le certificat à importer. String (chaîne) Non
    -certKeyFilePath Indique l'emplacement du fichier de clés pour le certificat à importer. String (chaîne) Non
    -certKeyFileType Indique le type de fichier de clés pour le certificat à importer. String (chaîne) Non
    -certKeyFilePassword Indique le mot de passe du fichier de clés pour le certificat à importer. String (chaîne) Non
    -certAliasToImport Indique l'alias du certificat à importer. String (chaîne) Non
    L'exemple de commande suivant configure la signature et autorise le système à générer automatiquement le certificat :
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -autogenCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    L'exemple de commande suivant configure la signature et importe un certificat :
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -importCert true -certKeyFileName MyServerKeyFile.p12 -certKeyFilePath install_root/etc/MyServerKeyFile.p12 
    -certKeyFileType PKCS12 -certKeyFilePassword password4key -certAliasToImport defaultCertificate 
    -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML') 
    L'exemple de commande utilise le même certificat pour la signature et le chiffrement :
    AdminTask.createAuditSigningConfig('-enableAuditSigning true -certAlias auditSigningCert 
    -useEncryptionCert true -signingKeyStoreRef Ref_Id_of_KeyStoreInSecurityXML')
  3. Sauvegardez les modifications.
    Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
    AdminConfig.save()
  4. Redémarrez le serveur pour appliquer les modifications de configuration.

Résultats

La signature est désormais configurée pour les données d'audit de sécurité. Si vous affectez au paramètre -enableAuditSigning la valeur true, le système d'audit de sécurité signe les données d'audit de sécurité lorsque la fonction d'audit de sécurité est activée.

Que faire ensuite

Lorsque vous avez configuré le modèle de signature pour la première fois, vous pouvez rapidement activer ou désactiver la signature à l'aide des commandes enableAuditSigning et disableAuditSigning. L'exemple suivant utilise la commande enableAuditSigning pour activer la signature :
AdminTask.enableAuditSigning()
L'exemple suivant utilise la commande disableAuditSigning pour désactiver la signature :
AdminTask.disableAuditSigning()

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7signaudit
Nom du fichier : txml_7signaudit.html