Sécurisation de serveurs d'applications spécifiques

La sécurité peut être dans une certaine mesure personnalisée au niveau du serveur d'applications. Vous pouvez désactiver la sécurité d'administration sur un serveur d'applications.

Avant de commencer

Fonction obsolète Fonction obsolète: La sécurité au niveau du serveur est obsolète dans cette version de WebSphere Application Server. La prise en charge de plusieurs domaines de sécurité a été ajoutée à la place. Vous pouvez créer différentes configurations de sécurité et les attribuer à diverses applications dans les processus WebSphere Application Server. Par la création de plusieurs domaines de sécurité, vous pouvez configurer différents attributs de sécurité pour les applications utilisateur et d'administration dans un environnement de cellule. Vous pouvez configurer diverses applications de manière à ce qu'elles utilisent des configurations de sécurité différentes en attribuant les serveurs, clusters ou bus d'intégration système hébergeant ces applications aux domaines de sécurité. Pour plus de détails, voir Domaines de sécurité multiples.depfeat

Vous pouvez également modifier Sécurité Java™ 2 et certains autres attributs de sécurité se trouvant dans le panneau Sécurité globale. Ce panneau permet d'accéder aux paramètres de sécurité de niveau cellule. Vous ne pouvez pas configurer un mécanisme d'authentification ou un registre d'utilisateurs différent au niveau du serveur. Cette fonctionnalité est réservée à la configuration au niveau de la cellule.

Par défaut, la sécurité serveur hérite de toutes les valeurs configurées pour la sécurité au niveau de la cellule. Pour remplacer la configuration de sécurité de niveau cellule au niveau du serveur, cliquez sur Serveurs > Serveurs d'applications > nom_serveur. Dans la section Sécurité, sélectionnez Sécurité du serveur, puis cliquez sur l'un des liens suivants :

  • Authentification des communications entrantes CSIv2
  • Authentification des communications sortantes CSIv2
  • Transport des communications entrantes CSIv2
  • Transport des communications sortantes CSIv2
  • [AIX Solaris HP-UX Linux Windows][IBM i]Transport des communications entrantes SAS
  • [AIX Solaris HP-UX Linux Windows][IBM i]Transport des communications sortantes SAS
  • [z/OS]Authentification z/SAS
  • Sécurité au niveau du serveur
[AIX Solaris HP-UX Linux Windows][IBM i]Remarque : SAS est pris en charge uniquement sur les serveurs version 6.0.x et antérieure qui ont été fédérés dans une cellule version 6.1.
[z/OS]Remarque : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.
Une fois que la configuration a été modifiée dans l'un de ces panneaux et que vous avez cliqué sur OK ou sur Valider, la configuration de la sécurité pour ce ou ces panneaux remplace la sécurité au niveau de la cellule. D'autres panneaux non remplacés sont encore hérités au niveau de la cellule. Toutefois, vous pouvez à tout moment revenir à la configuration d'origine. Vous pouvez revenir à la configuration de la sécurité au niveau de la cellule en désactivant la case à cocher associée à l'une des options suivantes dans le panneau Sécurité du serveur :
  • Les paramètres de sécurité de ce serveur se substituent aux paramètres de cellule
  • La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule
  • La sécurité SAS de ce serveur remplace les paramètres de cellule
[z/OS]Il existe plusieurs attributs z/SAS (Secure Authentication Services for z/OS) supplémentaires pouvant être pris en compte au niveau du serveur, tels que :
  • Identité locale
  • l'identité distante,
  • la synchronisation par rapport à l'unité d'exécution admise.

[AIX Solaris HP-UX Linux Windows][z/OS]Pour plus d'informations, voir Serveur et sécurité administrative.

Procédure

  1. Démarrez la console d'administration pour le gestionnaire de déploiement. Pour accéder à la console d'administration, entrez http://host.domain:numéro_port/ibm/console. Si la sécurité est désactivée, entrez n'importe quel ID. Sinon, vous devez entrer un ID et un mot de passe valides ; l'ID administrateur configuré pour le registre d'utilisateurs ou un ID utilisateur ayant des droits d'administrateur. Pour ajouter un ID utilisateur ayant des droits d'administrateur, cliquez sur Administration du système > Paramètres de la console > Utilisateurs de la console.
  2. Configurez la sécurité au niveau de la cellule si ce n'est déjà fait. Voir Activation de la sécurité pour des instructions détaillées. Une fois la sécurité configurée, définissez la sécurité au niveau du serveur.
    Avertissement : La sécurité au niveau du serveur n'est pas activée lorsque vous sélectionnez l'option Activer la sécurité des applications dans les paramètres de sécurité au niveau du serveur de la console d'administration. Vous devez également activer la sécurité au niveau de la cellule en sélectionnant l'option Activer la sécurité administrative dans le panneau Paramètres de sécurité globale de la console d'administration.
  3. Pour configurer la sécurité au niveau du serveur, sélectionnez Serveurs > Serveurs d'applications > nom_serveur. Dans le menu Sécurité, cliquez sur Sécurité du serveur. Le niveau de sécurité actif pour ce serveur d'applications s'affiche.

    [AIX Solaris HP-UX Linux Windows][IBM i]Vous constaterez que par défaut, la configuration de la sécurité au niveau de la cellule et l'authentification CSI (Common Secure Interoperability) et SAS n'ont pas été remplacées au niveau du serveur. CSI et SAS sont des protocoles d'authentification pour les demandes de sécurité RMI/IIOP. Le panneau Sécurité au niveau serveur répertorie les attributs figurant dans le panneau Sécurité globale et pouvant être remplacés au niveau du serveur. Les attributs du panneau Sécurité globale ne peuvent pas tous être remplacés au niveau du serveur ; c'est le cas du référentiel de compte utilisateur.

    [z/OS]Vous constaterez que par défaut, la configuration de la sécurité au niveau de la cellule et l'authentification CSI (Common Secure Interoperability) et z/SAS n'ont pas été remplacées au niveau du serveur. CSI et z/SAS sont des protocoles d'authentification pour les demandes de sécurité RMI/IIOP. Le panneau Sécurité au niveau serveur répertorie les attributs figurant dans le panneau Sécurité globale et pouvant être remplacés au niveau du serveur. Les attributs du panneau Sécurité globale ne peuvent pas tous être remplacés au niveau du serveur ; c'est le cas du référentiel de compte utilisateur.

  4. Pour activer la sécurité d'administration pour ce serveur d'applications, ouvrez le panneau de sécurité au niveau du serveur, sélectionnez les options Les paramètres de sécurité de ce serveur se substituent aux paramètres de cellule et Activer la sécurité des applications. Les modifications effectuées dans le panneau de sécurité au niveau du serveur remplacent les paramètres de sécurité au niveau de la cellule.
  5. Cliquez sur Valider et sur Sauvegarder.
  6. Pour activer la sécurité RMI/IIOP pour le serveur d'applications, ouvrez le panneau de sécurité au niveau du serveur, sélectionnez La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule et cliquez sur Valider. Si vous sélectionnez l'option La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule, les modifications que vous apportez aux paramètres d'authentification CSIv2 ou de transport sont appliquées au niveau de la cellule.

Que faire ensuite

La sécurité de niveau serveur est généralement employée pour désactiver la sécurité utilisateur pour un serveur d'applications spécifique. Toutefois, elle peut aussi permettre de désactiver ou d'activer le gestionnaire de sécurité Java 2, ainsi que de configurer les conditions d'authentification pour les demandes RMI/IIOP entrantes et sortantes.

Une fois que vous avez modifié la configuration d'un serveur d'applications donné, vous devez redémarrer ce dernier. Pour ce faire, sélectionnez Serveurs > Serveurs d'applications et cliquez sur le nom du serveur récemment modifié. Cliquez sur Arrêter puis Démarrer.

Si vous avez désactivé la sécurité pour le serveur d'applications, vous pouvez tester les adresses Web qui sont protégées lorsque la sécurité est activée.

[AIX Solaris HP-UX Linux Windows][IBM i]L'application snoop est une URL généralement installée en même temps que l'application par défaut. Si l'application par défaut est installée sur le serveur d'applications, vérifiez que la sécurité est désactivée en entrant l'URL suivante : http://hôte.domaine:9080/snoop. Si la sécurité est désactivée, aucun message ne s'affiche. Cette adresse URL est l'une des méthodes permettant de valider la configuration. Indiquez que la configuration est adaptée à vos applications.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_serversecurity
Nom du fichier : tsec_serversecurity.html