Activation de la sécurité pour le domaine

Cette rubrique permet d'activer la sécurité pour IBM® WebSphere Application Server. Vous devez activer la sécurité administrative pour que tous les autres paramètres de sécurité fonctionnent.

Pourquoi et quand exécuter cette tâche

WebSphere Application Server utilise la cryptographie pour protéger les données sensibles et assurer la confidentialité et l'intégrité des communications entre WebSphere Application Server et d'autres composants du réseau. La cryptographie est également utilisée par la sécurité des Services Web lorsque certaines contraintes de sécurité sont configurées pour l'application Web services.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server utilise les bibliothèques JSSE (Java™ Secure Sockets Extension) et JCE (Java Cryptography Extension) du SDK (Software Development Kit) pour effectuer cette cryptographie. SDK fournit des fichiers de règles puissants mais limités. Les fichiers de règles sans restriction permettent d'appliquer un chiffrement puissant et d'optimiser les performances.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server fournit un kit de développement de logiciels (SDK) 6 contenant des fichiers de règles puissants, mais limités. Vous pouvez télécharger les fichiers de règles sans restriction à partir du site Web : IBM developer kit: Security information.

Eviter les incidents Eviter les incidents: Des groupes de correctifs comprenant des mises à jour du kit de développement de logiciels (SDK) peuvent écraser des fichiers de règles non restreintes ainsi que le fichier cacerts. Sauvegardez ces derniers avant d'appliquer un groupe de correctifs, puis appliquez-les à nouveau. Ils se trouvent dans le répertoire {rép_install_was}\java\jre\lib\security.gotcha
Important : Votre pays d'origine peut imposer des restrictions pour l'importation, l'utilisation ou la réexportation d'un logiciel de chiffrement vers un autre pays. Avant de télécharger ou d'utiliser des fichiers de règles non restreintes, vous devez vérifier les lois en vigueur dans votre pays, sa réglementation et ses règles concernant l'importation, la possession, l'utilisation et la réexportation du logiciel de chiffrement afin de déterminer si cela est autorisé.
Pour télécharger et installer les nouveaux fichiers de règles, procédez comme suit :
  1. Cliquez sur Java SE 6.
  2. Faites défiler la page, puis cliquez sur IBM SDK Policy files.

    Le site Web des fichiers de règles sans restriction JCE pour SDK 6 s'affiche.

  3. Cliquez sur Sign in, puis entrez votre ID et mot de passe IBM.com.
  4. Sélectionnez Unrestricted JCE Policy files for SDK 6, puis cliquez sur Continuer.
  5. Lisez l'accord de licence, puis cliquez sur I Agree pour continuer.
  6. Cliquez sur Download Now.
  7. Extrayez les fichiers de règles sans restriction stockés dans le fichier compressé. Ce fichier compressé contient deux fichiers : US_export_policy.jar et local_policy.jar.
  8. [AIX Solaris HP-UX Linux Windows][IBM i]Dans le répertoire d'installation de WebSphere Application Server, accédez au sous-répertoire $JAVA_HOME/jre/lib/security et sauvegardez les fichiers US_export_policy.jar et local_policy.jar.
  9. [z/OS]Dans votre installation WebSphere Application Server, montez le système HFS de votre produit en lecture/écriture. Accédez au répertoire $JAVA_HOME/jre/lib/security et sauvegardez les fichiers US_export_policy.jar et local_policy.jar.
  10. Remplacez vos fichiers US_export_policy.jar et local_policy.jar initiaux par les deux fichiers téléchargés à partir du site Web IBM.com.
  11. [z/OS]Montez de nouveau le système HFS de votre produit en lecture seule.
[z/OS]Le SDK (Software Development Kit) intégré est fourni avec les fichiers JAR (archive Java) des règles de juridiction sans restriction. Par conséquent, au lieu de télécharger ces fichiers depuis le site Web, vous pouvez établir un lien symbolique avec eux conformément aux réglementations applicables à votre pays. Ces fichiers de règles sans restriction se trouvent dans le répertoire racine_installation/java/demo/jce/policy-files/unrestricted/. Les commandes UNIX suivantes permettent d'établir un lien symbolique avec ces fichiers :
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere
Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the original policy .jar files. Because a backup is
# automatically present in the smpe.home HFS, an explicit
# backup is not needed:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create
# the symbolic links to the unrestricted policy files:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
Pour supprimer les liens symboliques des fichiers de règles sans restriction dans le répertoire de démonstration et établir un lien aux fichiers d'origine, utilisez les commandes UNIX suivantes :
# Export the paths. You can find the values of the following
# variables in the joblog by searching for was.install.root,
# java.home, and so on:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# The previous paths apply to both 31- and 64-bit configurations
# of WebSphere
Application Server for z/OS. For a 64-bit 
# configuration, the java.home path points to the 64-bit embedded
# Java virtual machine (JVM).

# Delete the current policy .jar files. You might want
# to back up the following files:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Issue the following commands on separate lines to create 
# symbolic links to the smpe HFS where the original files 
# are kept: 
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

Effectuez les étapes suivantes pour activer la sécurité du domaine :

Procédure

  1. Activez la sécurité administrative dans WebSphere Application Server.

    Pour plus d'informations, voir Activation de la sécurité. Il est important de cliquer sur Sécurité > Sécurité globale. Sélectionnez une définition de domaine disponible dans la liste, puis cliquez sur Définir comme actuel. Enregistrez la configuration dans le référentiel. Vérifiez que la validation qui s'effectue une fois que vous avez cliqué sur OK dans le panneau Sécurité > Sécurité globale a abouti avant de continuer. Si elle échoue et que vous continuez la procédure, le serveur risque de ne pas démarrer. Reconfigurez les paramètres de sécurité jusqu'à ce que la validation aboutisse.

  2. A partir de la console d'administration, envoyez une copie de la nouvelle configuration à tous les agents de noeud en cours d'exécution. Si un agent de noeud ne parvient pas à obtenir la nouvelle configuration, les communications avec le gestionnaire de déploiement échouent, en raison de droits d'accès insuffisants. La sécurité n'est pas activée pour l'agent de noeud. Pour forcer la synchronisation sur un noeud particulier, effectuez les opérations suivantes à partir de la console d'administration :
    1. Cliquez sur Administration du système >Noeuds et sélectionnez l'option en regard de chaque noeud. Vous n'avez pas à sélectionner le noeud du gestionnaire de déploiement.
    2. Cliquez sur Resynchronisation intégrale pour vous assurer que les fichiers ont été synchronisés. Un message peut signaler que les noeuds sont déjà synchronisés. Vous pouvez l'ignorer. Une fois la synchronisation lancée, vérifiez que le statut Synchronisé est affiché pour tous les noeuds.
  3. Arrêtez le gestionnaire de déploiement. Redémarrez manuellement le gestionnaire de déploiement à partir de la ligne de commande ou du service correspondant. Pour arrêter le gestionnaire de déploiement, cliquez sur Administration du système > Gestionnaire de déploiement, puis sur Arrêter. Cette opération vous déconnecte de la console d'administration et arrête le processus du gestionnaire de déploiement.
  4. Relancez le gestionnaire de déploiement.

    [AIX Solaris HP-UX Linux Windows]Pour redémarrer le processus du gestionnaire de déploiement, recherchez le répertoire racine_serveur_app/bin et entrez startManager.bat ou startManager.sh. Une fois l'initialisation du gestionnaire de déploiement terminée, revenez à la console d'administration pour achever cette tâche. N'oubliez pas que la sécurité est désormais uniquement activée dans le gestionnaire de déploiement. Si vous avez activé la fonction de connexion unique (SSO), indiquez le nom de domaine complet de votre adresse Web, par exemple, http://monhôte.domaine:numéro_port/ibm/console. A l'invite du système, entrez l'ID utilisateur et le mot passe que vous avez définis en tant qu'ID administrateur dans le registre d'utilisateurs configuré.

    [z/OS]Pour redémarrer le processus du gestionnaire de déploiement, entrez la commande suivante :
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=cell_short_name.node_short_name.server_short_name
    Vous devez entrer cette commande sur une seule ligne. Elle est scindée ici à des fins d'illustration (reportez-vous aux liens connexes suivants pour plus d'informations sur l'utilisation des commandes système z/OS MVS). Une fois l'initialisation du gestionnaire de déploiement terminée, revenez à la console d'administration pour achever cette tâche. La sécurité est activée dans le gestionnaire de déploiement seulement. Si vous avez activé la fonction de connexion unique (SSO), indiquez le nom de domaine complet de votre adresse Web, par exemple, http://myhost.domain:numéro_port/ibm/console. A l'invite du système, entrez l'ID utilisateur et le mot passe que vous avez définis en tant qu'ID administrateur dans le registre d'utilisateurs configuré.
  5. [IBM i]Relancez le gestionnaire de déploiement. Pour redémarrer le processus du gestionnaire de déploiement, ouvrez l'environnement Qshell et recherchez le répertoire racine_serveur_app/bin. La variable racine_serveur_app fait référence au répertoire par défaut racine_serveur_app/bin/. Sur la ligne de commande Qshell, entrez startManager.

    Une fois l'initialisation du gestionnaire de déploiement terminée, revenez à la console d'administration pour achever cette tâche. N'oubliez pas que la sécurité est désormais uniquement activée dans le gestionnaire de déploiement. Si vous avez activé la fonction de connexion unique (SSO), indiquez le nom de domaine complet de votre adresse Web, par exemple, http://monhôte.domaine:numéro_port/ibm/console. A l'invite du système, entrez l'ID utilisateur et le mot passe que vous avez définis en tant qu'ID administrateur dans le registre d'utilisateurs configuré.

  6. Si le gestionnaire de déploiement ne démarre pas après l'activation de la sécurité, désactivez la sécurité à l'aide d'un script et redémarrez-le. Désactivez la sécurité en exécutant la commande suivante dans le répertoire DeploymentManager/bin :
    ./wsadmin.sh -conntype NONE
    A l'invite du système, entrez securityoff.
  7. Redémarrez tous les agents de noeuds pour que la sécurité leur soit appliquée. Vous devez avoir redémarré le gestionnaire de déploiement lors d'une étape précédente avant d'effectuer cette étape. Si vous activez la sécurité de l'agent de noeud avant le gestionnaire de déploiement, celui-ci ne parvient pas à l'interroger pour connaître son statut ou lui transmettre des commandes. Pour arrêter tous les agents de noeuds, procédez comme suit :
    1. Accédez à Administration du système > Agents de noeud et sélectionnez l'option correspondant à tous les agents de noeud. Cliquez sur Redémarrer. A message similar to the following example is displayed: The node agent on node NODE NAME was restarted successfully.
    2. Si vous n'avez pas arrêté les serveurs d'applications auparavant, vous pouvez aussi redémarrer tous les serveurs d'un noeud spécifique en sélectionnant Administration du système > Agents de noeuds et en cliquant sur les agents de noeuds pour lesquels vous voulez redémarrer tous les serveurs. Cliquez sur Redémarrer tous les serveurs du noeud. Cette action redémarre l'agent du noeud et tous les serveurs d'applications déjà démarrés.
  8. Si un quelconque agent de noeud ne parvient pas à redémarrer, effectuez une resynchronisation manuelle de la configuration. Cette étape consiste à aller sur le noeud physique et à exécuter la commande syncNode du client. Ce client se connecte au gestionnaire de déploiement et copie tous les fichiers de configuration sur l'agent de noeud. Cette action permet de s'assurer que la sécurité de la configuration est activée. Si l'agent de noeud est démarré, mais qu'il ne communique pas avec le gestionnaire de déploiement, arrêtez-le à l'aide de la commande stopServer.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
Nom du fichier : tsec_egs.html