Activation du support de connexion par certificat client pour un référentiel de fichiers dans les référentiels fédérés

Vous pouvez activer le support de connexion par certificat client dans un domaine configuré avec un seul référentiel de fichiers intégré ou une configuration à référentiel multiple contenant le référentiel de fichiers et d'autres référentiels.

Avant de commencer

La configuration des référentiels fédérés doit inclure un référentiel de fichiers. Voir la rubrique Utilisation d'un seul référentiel intégré basé sur des fichiers dans une nouvelle configuration sous des référentiels fédérés.

Pourquoi et quand exécuter cette tâche

La configuration par défaut du référentiel de fichiers intégré ignore une requête de connexion par certificat, renvoie un résultat de recherche vide et n'affiche aucune erreur.

Si vous souhaitez activer la connexion par certificat client pour le référentiel de fichiers intégré, suivez la procédure ci-dessous pour définir les propriétés personnalisées.

Procédure

  1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
  2. Sous Référentiel du compte utilisateur, sélectionnez Référentiels fédérés dans la zone Définitions des domaines disponibles et cliquez sur Configurer. Pour configurer un domaine spécifique dans un environnement comptant plusieurs domaines de sécurité, cliquez sur Domaines de sécurité > nom_domaine. Sous Attributs de sécurité, développez Domaine utilisateur et cliquez sur Personnalisation pour ce domaine. Sélectionnez le type de domaine Référentiels fédérés et cliquez sur Configurer.
  3. Dans Articles liés, cliquez sur Gestion des référentiels, puis sur le lien InternalFileRepository.
  4. Pour activer la connexion par certificat pour le référentiel de fichiers, entrez le nom de propriété certificateMapMode dans Propriétés personnalisées. Indiquez l'une des valeurs suivantes pour cette propriété, en fonction de vos exigences :
    Remarque : Les noms de propriété sont sensibles à la casse, à l'inverse des valeurs de propriété.
    notSupported
    Une erreur s'affiche, informant l'utilisateur que le référentiel de fichiers ne prend pas en charge la connexion par certificat.
    exactDNMode
    Tentative de connexion par mise en correspondance de la valeur PrincipalName du certificat X.509 avec le nom distinctif (DN) exact dans le référentiel. Si une entité correspondante est trouvée, la connexion aboutit. Dans le cas contraire, une erreur indiquant que l'entité est introuvable s'affiche.
    filterDescriptorMode
    Tentative de connexion à l'aide d'un filtre de certificats pour le mappage. Si une seule entité correspondante est trouvée, la connexion aboutit. Si plusieurs entités correspondantes sont trouvées, l'authentification n'aboutit pas, le résultat étant une correspondance ambiguë, et une erreur s'affiche.

    Si vous n'indiquez pas de valeur valide, une erreur est consignée lors de l'initialisation de l'adaptateur de fichier, et un résultat de recherche vide est renvoyé.

  5. Si vous attribuez la valeur filterDescriptorMode à la propriété certificateMapMode, vous devez ajouter une autre propriété personnalisée, certificateFilter. La propriété personnalisée certificateFilter spécifie le filtre qui met en correspondance les attributs du certificat client avec les entrées du référentiel.
    Remarque : Cette étape n'est pas obligatoire si vous avez attribué la valeur notSupported ou exactDNMode à la propriété certificateMapMode.
    1. Dans Propriétés personnalisées, cliquez sur Nouvelle.
    2. Dans la nouvelle ligne, entrez le nom de propriété certificateFilter. Indiquez l'expression de filtre comme étant la valeur de cette propriété.

    La syntaxe ou la structure de ce filtre est Attribut de référentiel=${Attribut de certificat client} (uid='${SubjectCN}', par exemple).

    Les conditions suivantes s'appliquent à la syntaxe du filtre de certificats pour les référentiels de fichiers :
    • La partie de la spécification de filtre qui précède le signe égal (=) doit être une propriété valide de PersonAccount dans le référentiel de fichiers.
    • La partie de la spécification de filtre qui suit le signe égal (=) est l'un des attributs publics de votre certificat client. Elle doit commencer par un symbole du dollar ($) et un crochet ouvrant ({) et se terminer par un crochet fermant (}).
    • Vous devez placer les données de toutes les propriétés de chaîne du référentiel fédéré entre guillemets simples ('). Par exemple, la propriété de référentiel fédéré cn est une chaîne. Par conséquent, un filtre de certificats qui utilise cette propriété est spécifié sous la forme cn='${IssuerCN}'.
    Vous pouvez utiliser les valeurs d'attribut de certificat suivantes sur la partie de la spécification de filtre qui suit le signe égal (=). Vous devez respecter la distinction entre les majuscules et les minuscules.
    • ${UniqueKey}
    • {PublicKey}
    • {PublicKey}
    • {Issuer<xx>}, où <xx> est remplacé par les caractères qui représentent un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de l'émetteur (Issuer Common Name).
    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${Subject<xx>}, où <xx> est remplacé par les caractères qui représentent un composant valide du nom distinctif du sujet. Par exemple, vous pouvez utiliser ${SubjectCN} pour le nom commun du sujet.
    • ${Version}
    Les exemples suivants sont des filtres de certificats complexes pour le référentiel de fichiers :
    • ((cn='${IssuerCN}') et (mobile=${SerialNumber}) et (seeAlso='${SubjectDN}'))
    • ((employeeNumber=${SerialNumber}) ou (seeAlso='${SubjectDN}')

    Il existe des différences entre la syntaxe utilisée pour spécifier des filtres de certificats pour le référentiel LDAP et le référentiel de fichiers (voir le tableau ci-dessous).

    Tableau 1. Description des différences entre la syntaxe de filtre de certificats pour LDAP et les référentiels de fichiers
    Filtres de certificats du référentiel de fichiers Filtres de certificats du référentiel LDAP
    Utiliser les notations d'infixe. Utiliser les notations de préfixe.
    Utiliser les opérateurs logiques and et or. Utiliser les opérateurs logiques perluète (&) et barre verticale (|)
    Les données de toutes les propriétés de chaîne de référentiel fédéré doivent être placées entre guillemets simples ('), Les données des propriétés de chaîne de référentiel fédéré ne doivent pas être placées entre guillemets simples ('),
    Exemple :
    cn='${Issuer	CN}' and mobile=${SerialNumber})
    Exemple :
    (& (cn=${IssuerCN}) (mobile=${SerialNumber})) 
  6. Sauvegardez les changements de configuration et redémarrez WebSphere Application Server pour que ces changements soient pris en compte.

Ajout de propriétés personnalisées à l'aide des commandes wsadmin

D'autre part, vous pouvez également utiliser les commandes wsadmin pour ajouter les propriétés personnalisées comme indiqué dans la procédure ci-après.

Procedure

  1. Entrez la commande suivante pour démarrer l'outil wsadmin.
    wsadmin –conntype none
  2. Utilisez la commande setIdMgrCustomProperty pour ajouter des propriétés personnalisées.
    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateMapMode -value mode}
    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value expression_filtre}

    Par exemple, la commande suivante permet de rechercher un utilisateur dont CN porte la valeur spécifiée par la propriété IssureCN du certificat :

    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value “cn='${IssuerCN}'”}

    La commande ci-dessous permet de rechercher un utilisateur dont CN porte la valeur spécifiée par la propriété IssuerCN du certificat et dont l'unité mobile correspond à la propriété SerialNumber du certificat.

    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value “cn='${IssuerCN}' and mobile=${SerialNumber}”}
  3. Sauvegardez les modifications de configuration.
    $AdminConfig save
  4. Redémarrez WebSphere Application Server pour que les changements soient pris en compte.

Results

A l'issue de cette procédure, la prise en charge de la connexion par certificat pour le référentiel de fichiers est activée dans les référentiels fédérés, comme le montrent les entrées ci-dessous de la configuration de l'adaptateur de fichier :
<config:CustomProperties name="certificateMapMode" value="mode"/>
<config:CustomProperties name="certificateFilter" value="expression_filtre"/>

Si la demande de connexion par certificat est honorée, la connexion aboutit. Si la demande de connexion par certificat est rejetée, une erreur s'affiche.

Si seul le référentiel de fichiers est configuré dans les référentiels fédérés, les résultats de la demande de connexion par certificat sont décrits dans le tableau ci-dessous.

Table 2. Résultats de la connexion par certificat dans les référentiels fédérés ne contenant qu'un seul référentiel de fichiers
Référentiel de fichiers Résultats prévus
Comportement par défaut (la propriété personnalisée certificateMapMode n'a pas été ajoutée) La demande de connexion par certificat est ignorée, un résultat vide est renvoyé et une erreur s'affiche
La connexion par certificat n'est pas prise en charge (la valeur de la propriété personnalisée certificateMapMode est notSupported) CertificateMapNotSupportedException se produit
La connexion par certificat est prise en charge (la valeur de la propriété personnalisée certificateMapMode est exactDNMode ou filterDescriptorMode) et l'utilisateur est introuvable EntityNotFoundException se produit
La connexion par certificat est prise en charge (la valeur de la propriété personnalisée certificateMapMode est exactDNMode) et une entité avec DN correspondant à PrincipalName dans le certificat a été trouvée La connexion par certificat a abouti
La connexion par certificat est prise en charge (la valeur de la propriété personnalisée certificateMapMode est filterDescriptorMode) et une seule entité correspondante a été trouvée La connexion par certificat a abouti
La connexion par certificat est prise en charge (la valeur de la propriété personnalisée certificateMapMode est filterDescriptorMode) et plusieurs entités correspondantes ont été trouvées CertificateMapFailedException se produit et le message d'erreur “Multiple principals found” (Plusieurs principaux trouvés) s'affiche

Si plusieurs référentiels sont configurés dans les référentiels fédérés, le résultat de connexion final dépend du comportement et des résultats renvoyés des autres référentiels. Les tableaux ci-dessous contiennent des exemples d'erreurs qui s'affichent dans le différents scénarii de configuration.

Table 3. Résultats de connexion par certificat dans une configuration des référentiels fédérés comportant un fichier et un référentiel LDAP
Référentiel de fichiers Référentiel LDAP Résultats prévus
Comportement par défaut La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat a abouti
Comportement par défaut La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé PasswordCheckFailedException se produit
La connexion par certificat n'est pas prise en charge La connexion par certificat est prise en charge et l'utilisateur a été trouvé CertificateMapFailedException se produit
La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat est prise en charge et l'utilisateur a été trouvé DuplicateLogonIdException se produit
La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat a abouti
La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat a abouti
La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé PasswordCheckFailedException se produit
Table 4. Résultats de connexion par certificat dans une configuration des référentiels fédérés comportant un fichier et un référentiel de système d'exploitation local
Référentiel de fichiers Référentiel de système d'exploitation local Résultats prévus
Comportement par défaut La connexion par certificat n'est pas prise en charge CertificateMapFailedException se produit
La connexion par certificat n'est pas prise en charge La connexion par certificat n'est pas prise en charge CertificateMapNotSupportedException se produit
La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat n'est pas prise en charge CertificateMapFailedException se produit
La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat n'est pas prise en charge CertificateMapFailedException se produit
Comportement par défaut La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat a abouti
Comportement par défaut La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé PasswordCheckFailedException se produit
La connexion par certificat n'est pas prise en charge La connexion par certificat est prise en charge et l'utilisateur a été trouvé CertificateMapFailedException se produit
La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat est prise en charge et l'utilisateur a été trouvé DuplicateLogonIdException se produit
La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat a abouti
La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat est prise en charge et l'utilisateur a été trouvé La connexion par certificat a abouti
La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé La connexion par certificat est prise en charge et l'utilisateur n'a pas été trouvé PasswordCheckFailedException se produit

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_filebased_cert_login
Nom du fichier : twim_filebased_cert_login.html