Configuration de domaines de sécurité multiples

Par défaut, toutes les applications d'administration et utilisateur de WebSphere Application Server utilisent la configuration de sécurité globale. Par exemple, un registre d'utilisateurs défini dans la sécurité globale permet d'authentifier les utilisateurs pour chaque application de la cellule. Prêt à l'emploi, ce comportement est le même que dans les versions précédentes de WebSphere Application Server. Vous pouvez créer des domaines de sécurité WebSphere supplémentaires si vous souhaitez spécifier des attributs de sécurité différents pour tout ou partie de vos applications utilisateur. Cette section explique comment configurer un domaine de sécurité à l'aide de la console d'administration.

Avant de commencer

Seuls les utilisateurs affectés au rôle d'administrateur peuvent configurer ou créer des domaines de sécurité multiples. Activez la sécurité globale dans votre environnement avant de configurer des domaines de sécurité multiples.

Consultez Domaines de sécurité multiples pour mieux comprendre ce que sont les domaines de sécurité multiples et la manière dont ils sont pris en charge dans cette version de WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

Les domaines de sécurité permettent de définir l'utilisation de plusieurs configurations de sécurité dans votre environnement. Par exemple, vous pouvez définir une sécurité différente (un registre d'utilisateurs différent, par exemple) pour les applications utilisateur et pour les applications d'administration. Vous pouvez également définir des configurations de sécurité séparées pour les applications utilisateur déployées sur des serveurs et des clusters différents.

Pratiques recommandées Pratiques recommandées: Lorsque vous configurez un domaine d'application avec un nom de domaine identique au nom de domaine dans le domaine global, une recherche d'utilisateurs, de groupes ou d'autres attributs de registre renvoie les résultats du domaine d'application. Vous devez configurer des noms de domaine uniques pour chaque domaine.bprac

Procédez comme suit pour configurer un nouveau domaine de sécurité à l'aide de la console d'administration :

Procédure

  1. Cliquez sur Sécurité > Domaines de sécurité.
  2. Pour créer un domaine de sécurité multiple, cliquez sur Nouveau. Indiquez un nom unique et une description pour le domaine et cliquez sur Valider. Pour configurer un domaine de sécurité multiple existant, sélectionnez-le. Une fois que vous avez cliqué sur Valider le nom de domaine et les sections supplémentaires s'affichent. Une section vous permet de définir les attributs de sécurité pour le domaine et une autre vous permet de sélectionner la portée du domaine.
  3. Sous Portées affectées, sélectionnez si vous souhaitez attribuer le domaine de sécurité à l'ensemble de la cellule ou sélectionner les serveurs, clusters et bus d'intégration de services spécifiques à inclure au domaine de sécurité. La section Portées affectées comporte deux vues. La vue par défaut est la topologie de la cellule. Pour attribuer les domaines de sécurité à l'ensemble de la cellule, cliquez sur la case à cocher pour la cellule, puis cliquez sur Valider ou sur OK.

    Le nom du domaine de sécurité s'affiche en regard du nom de la cellule, ce qui indique que le domaine lui est désormais attribué. Vous pouvez développer la topologie et attribuer le domaine à un ou plusieurs serveurs et clusters. Lorsqu'un élément de la topologie est déjà attribué à un autre domaine de sécurité, la case à cocher est désactivée et le nom du domaine attribué s'affiche à côté du nom de la portée. Si vous souhaitez attribuer l'une de ces portées au domaine, vous devez d'abord le dissocier de son domaine actuel.

    Sélectionnez l'option de toutes les portées attribuées pour afficher uniquement la liste des ressources actuellement attribuées au domaine de sécurité.

  4. Personnalisez la configuration de la sécurité en spécifiant des attributs de sécurité pour le nouveau domaine. Les attributs non répertoriés ne peuvent pas être personnalisés au niveau du domaine. Les domaines héritent d'attributs de la configuration de sécurité globale.

    Il existe douze sections d'attributs de sécurité configurables individuellement. Vous pouvez développer et réduire chaque section. A l'état réduit, le nom et une valeur récapitulative pour la section sont affichés. En outre, le texte de la valeur récapitulative indique si l'attribut est défini dans la sécurité globale et réutilisé par le domaine (tel qu'indiqué en gris) ou s'il est personnalisé pour le domaine (tel qu'indiqué en noir et précédé du terme “Customized”).

    Initialement, chaque attribut de sécurité est défini de manière à utiliser les paramètres de sécurité globale. Lorsqu'un attribut est défini de manière à utiliser la sécurité globale, il n'existe pas de configuration spécifique au domaine pour cet attribut. Les applications qui utilisent le domaine utilisent également la configuration globale pour ces attributs de sécurité.

    Configurez uniquement les attributs de sécurité que vous souhaitez modifier. Pour configurer un attribut de sécurité pour un domaine, développez la section des attributs de sécurité. Les propriétés clé de la configuration globale s'affichent sous l'option d'utilisation de la sécurité globale. Ces propriétés sont fournies par souci de commodité.

    Pour personnaliser la configuration pour ce domaine, sélectionnez Personnalisation pour ce domaine. Configurez la propriété, puis cliquez sur OK ou Valider.
    Remarque : En général, lorsque vous sélectionnez Personnalisation pour ce domaine, vous remplacez toutes les configurations de sécurité définies pour cette section dans la sécurité globale. Les données de connexion aux applications, de connexion au système et d'authentification J2C font partie des exceptions. Lorsque vous définissez des entrées pour un domaine, les applications de celui-ci peuvent accéder aux entrées globales en plus de celles spécifiques au domaine.

    Par exemple, vous pouvez utiliser un registre d'utilisateurs différent pour les applications utilisant le domaine de sécurité mais également utiliser la configuration de sécurité globale pour toutes les autres propriétés de sécurité. Dans ce cas, développez la section Domaine utilisateur et sélectionnez Personnalisation pour ce domaine. Sélectionnez un type de registre d'utilisateurs, cliquez sur Configurer et fournissez les détails de configuration appropriés sur le panneau suivant.

    Vous pouvez modifier les attributs de sécurité comme suit :
    Sécurité des applications
    Indique les paramètres pour la sécurité des applications et la sécurité Java™ 2. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

    Sélectionnez Activer la sécurité de l'application pour activer ou désactiver la sécurité des applications utilisateur. Lorsque cette sélection est désactivée, les EJBs et applications Web du domaine de sécurité ne sont plus protégés. L'accès à ces ressources est autorisé sans authentification de l'utilisateur. Lorsque vous activez cette sélection, la sécurité J2EE est activée pour tous les EJB et applications Web du domaine de sécurité. La sécurité J2EE est activée uniquement lorsque l'option Sécurité globale est activée dans la configuration de sécurité globale (ce qui signifie que vous ne pouvez pas activer la sécurité des applications sans activer d'abord Sécurité globale au niveau global).

    Sécurité Java 2
    Sélectionnez Sécurité Java 2 pour activer ou désactiver la sécurité Java 2 au niveau du domaine. Cette option active ou désactive la sécurité Java 2 au niveau du processus (JVM) pour que toutes les applications (d'administration et utilisateur) puissent activer ou désactiver la sécurité Java 2.
    Domaine utilisateur

    Cette section permet de configurer le registre d'utilisateurs pour le domaine de sécurité. Vous pouvez configurer séparément tout registre utilisé au niveau du domaine. Pour plus d'informations, voir Domaines de sécurité multiples.

    Relation de confiance
    Lorsque vous configurez l'intercepteur TAI au niveau d'un domaine, les intercepteurs configurés au niveau global sont copiés au niveau du domaine par souci de commodité. Vous pouvez modifier la liste des intercepteurs au niveau du domaine selon vos besoins. Configurez uniquement les intercepteurs devant être utilisés au niveau du domaine.
    Authentification Web SPNEGO
    L'authentification Web SPNEGO, qui permet de configurer SPNEGO pour l'authentification des ressources Web, peut être configurée au niveau du domaine.
    Remarque : WebSphere Application Server Version 6.1, propose un intercepteur TAI qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier en toute sécurité et authentifier les demandes HTTP portant sur des ressources sécurisées. Cette fonction est obsolète dans WebSphere Application Server 7.0. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.
    Sécurité RMI/IIOP

    L'attribut Sécurité RMI/IIOP se réfère aux propriétés du protocole CSIv2 (Common Secure Interoperability version 2). Lorsque vous configurez ces attributs au niveau du domaine, la configuration de sécurité RMI/IIOP au niveau global est copiée par souci de commodité.

    Vous pouvez modifier les attributs devant être différents au niveau du domaine. Les paramètres de couche de transport pour les communications CSIv2 entrantes doivent être identiques au niveau global et au niveau du domaine. S'ils diffèrent, les attributs au niveau du domaine sont appliqués à toutes les applications du processus.

    Connexion des applications JAAS
    Indique les paramètres de configuration pour les connexions des applications JAAS (Java Authentication and Authorization Service). Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres d'un domaine.
    Remarque : Les alias des connexions des applications JAAS, des connexions système JAAS et des données d'authentification J2C JAAS peuvent tous être configurés au niveau du domaine. Par défaut, toutes les applications du système ont accès aux connexions JAAS configurées au niveau global. L'exécution de la sécurité vérifie en premier lieu la présence des connexions JAAS au niveau du domaine. S'il ne les trouve pas, il les recherche ensuite dans la configuration de sécurité globale. Configurez l'une de ces connexions JAAS au niveau d'un domaine uniquement lorsque vous devez spécifier une connexion utilisée exclusivement par les applications du domaine de sécurité.
    Connexions système JAAS
    Indique les paramètres de configuration pour les connexions système JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres de configuration pour un domaine.
    Option d'authentification d'architecture J2EE Connector JAAS
    Indique les paramètres de configuration pour les données d'authentification J2C JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.
    Authentification Java Authentication SPI (JASPI)

    Spécifie les paramètres de configuration d'un fournisseur d'authentification Java Authentication SPI (JASPI) et des modules d'authentification associés. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres d'un domaine. Pour configurer les fournisseurs d'authentification JASPI d'un domaine, sélectionnez Personnaliser en fonction de ce domaine et activez ensuite JASPI. Sélectionnez Fournisseurs pour définir les fournisseurs du domaine.

    Remarque : Le fournisseur d'authentification JASPI peut être activé à l'aide des fournisseurs configurés au niveau du domaine. Par défaut, toutes les applications dans le système ont accès aux fournisseurs d'authentification JASPI configurés au niveau global. Le module d'exécution de sécurité recherche d'abord les fournisseurs d'authentification JASPI au niveau du domaine. S'il ne les trouve pas, il les recherche ensuite dans la configuration de sécurité globale. Configurez les fournisseurs d'authentification JASPI au niveau du domaine uniquement lorsque le fournisseur doit être utilisé exclusivement pas les applications de ce domaine de sécurité.
    Attributs du mécanisme d'authentification

    Indique les divers paramètres de cache devant être appliqués au niveau du domaine.

    Sélectionnez Paramètres de la mémoire cache d'authentification pour spécifier vos paramètres de cache d'authentification. La configuration indiquée sur ce panneau s'applique uniquement à ce domaine.

    Sélectionnez Délai d'attente LTPA pour configurer une valeur de délai d'attente LTPA différente au niveau du domaine. La valeur de la durée d'attente par défaut, définie au niveau global, est de 120 minutes. Si le délai d'attente LTPA est définie au niveau du domaine, tout jeton créé dans le domaine de sécurité lors de l'accès aux applications utilisateur est créé avec ce délai d'expiration.

    Lorsque Utilisation des noms d'utilisateur complets du domaine est activée, les noms d'utilisateur renvoyés par les méthodes telles que getUserPrincipal() sont qualifiés à l'aide du domaine de sécurité (registre d'utilisateurs) utilisé par les applications dans le domaine de sécurité.

    Fournisseur d'autorisations

    Vous pouvez configurer un fournisseur JACC (Java Authorization Contract for Containers) tiers externe au niveau du domaine. Le fournisseur JAAC de Tivoli Access Manager peut être configuré uniquement au niveau global. Les domaines de sécurité peuvent toujours l'utiliser s'ils ne remplacent pas le fournisseur d'autorisations par un autre fournisseur JACC ou par l'autorisation native intégrée.

    [z/OS]Vous pouvez également configurer les options d'autorisation SAF suivantes au niveau du domaine de sécurité :
    • ID utilisateur non authentifié ;
    • associateur de profil SAF ;
    • activation ou non de la délégation SAF ;
    • utilisation ou non du profil APPL pour restreindre l'accès à WebSphere Application Server ;
    • suppression ou non des messages en échec d'autorisation ;
    • stratégie d'enregistrement d'audit SMF ;
    • préfixe de profil SAF.

    [z/OS]Pour plus d'informations sur les options d'autorisation SAF, voir Autorisation SAF (System Authorization Facility) z/OS.

    [z/OS]
    Options de sécurité z/OS
    Vous pouvez définir les options de sécurité spécifiques à z/OS au niveau du processus (JVM) de manière à ce que toutes les applications (utilisateur et d'administration) puissent activer ou désactiver ces options. Ces propriétés sont les suivantes :
    • Activer la synchronisation des identités d'unité d'exécution des serveurs d'applications et de z/OS
    • Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions.

    Pour plus d'informations sur les options de sécurité z/OS, voir Options de sécurité z/OS

    les propriétés personnalisées.
    Définissez des propriétés personnalisées au niveau du domaine qui sont soit nouvelles soit différentes de celles au niveau global. Par défaut, toutes les applications de la cellule peuvent accéder à toutes les propriétés personnalisées au niveau de la configuration de sécurité globale. Le code du module d'exécution de sécurité recherche d'abord la propriété personnalisée au niveau du domaine. S'il ne la trouve pas, il tente de l'obtenir dans la configuration de sécurité globale.
  5. Une fois que vous avez configuré les attributs de sécurité et attribué le domaine à une ou plusieurs portées, cliquez sur Valider ou OK.
  6. Redémarrez tous les serveurs et clusters pour que les modifications prennent effet.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
Nom du fichier : tsec_sec_domains_config.html