Copie de plusieurs domaines de sécurité

Vous pouvez copier plusieurs domaines de sécurité sélectionnés à partir de la collection de domaines en vue de créer un domaine. Ceci se révèle utile si vous voulez créer un domaine similaire à un précédent domaine. Vous pouvez cependant effectuer des ajustements mineurs. Lorsque vous copiez un domaine existant, vous devez fournir un nom unique pour le nouveau domaine.

Avant de commencer

Seuls les utilisateurs affectés au rôle d'administrateur peuvent copier ou créer des domaines de sécurité multiples. Activez la sécurité globale dans votre environnement avant de copier des domaines de sécurité multiples.

Consultez Domaines de sécurité multiples pour mieux comprendre ce que sont les domaines de sécurité multiples et la manière dont ils sont pris en charge dans cette version de WebSphere Application Server.

Pourquoi et quand exécuter cette tâche

Les domaines de sécurité fournissent un mécanisme permettant d'utiliser différents paramètres de sécurité pour les applications d'administration et utilisateur. Elles offrent également la possibilité de prendre en charge plusieurs paramètres de sécurité pour que différentes applications puissent utiliser des attributs de sécurité différents, comme par exemple les configurations de registre d'utilisateurs ou de connexion.

Si vous utilisez plusieurs domaines de sécurité, vous pouvez :
  • configurer des attributs de sécurité pour les applications utilisateur et d'administration dans une cellule ;
  • consolider des configurations de serveur par la gestion de configurations de sécurité différentes dans une cellule ;
  • restreindre les accès entre applications avec des registres d'utilisateurs différents ou configurer des relations d'accréditation entre les applications pour permettre la communication entre les registres.

Procédez comme suit pour copier un domaine de sécurité existant à l'aide de la console d'administration :

Procédure

  1. Cliquez sur Sécurité > Domaines de sécurité.
  2. Facultatif : Dans les préférences, vous pouvez sélectionner le nombre maximal de lignes à afficher lorsque la collection de domaines est importante. Le nombre de lignes par défaut est 20. Au-delà, les lignes apparaissent sur les pages suivantes.
  3. Sélectionnez un domaine à copier.
  4. Cliquez sur l'option Copier le domaine sélectionné... pour copier un domaine existant à partir de la collection. Vous pouvez, facultativement choisir Copier la sécurité globale... pour copier un domaine existant en conservant ses paramètres de sécurité globale (les sélections de la collection sont ignorées). Un nouveau nom de domaine est également requis si vous sélectionnez cette option.
  5. Indiquez un nom unique pour le domaine. Cette zone est obligatoire. Un nom de domaine doit être unique au sein de la cellule et ne peut pas contenir de caractère invalide.
  6. Indiquez une description unique pour le domaine.
  7. Cliquez sur Valider. La page des détails des domaines de sécurité s'affiche à nouveau.
  8. Sous Portées affectées, affectez le domaine de sécurité à l'ensemble de la cellule ou sélectionnez les serveurs, clusters et bus d'intégration de services spécifiques à inclure au domaine de sécurité..
  9. Personnalisez la configuration de la sécurité en spécifiant des attributs de sécurité pour le nouveau domaine et en l'affectant aux ressources de cellule.
    Vous pouvez modifier les attributs de sécurité comme suit :
    Sécurité des applications
    Indique les paramètres pour la sécurité des applications et la sécurité Java™ 2. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

    Sélectionnez Activer la sécurité de l'application pour activer ou désactiver la sécurité des applications utilisateur. Lorsque cette sélection est désactivée, les EJBs et applications Web du domaine de sécurité ne sont plus protégés. L'accès à ces ressources est autorisé sans authentification de l'utilisateur. Lorsque vous activez cette sélection, la sécurité J2EE est activée pour tous les EJB et applications Web du domaine de sécurité. La sécurité J2EE est activée uniquement lorsque l'option Sécurité globale est activée dans la configuration de sécurité globale (ce qui signifie que vous ne pouvez pas activer la sécurité des applications sans activer d'abord Sécurité globale au niveau global).

    Sécurité Java 2
    Sélectionnez la sécurité Java 2 pour activer ou désactiver la sécurité Java 2 au niveau du domaine. Cette option active ou désactive la sécurité Java 2 au niveau du processus (JVM) pour que toutes les applications (d'administration et utilisateur) puissent activer ou désactiver la sécurité Java 2.
    Domaine utilisateur

    Cette section permet de configurer le registre d'utilisateurs pour le domaine de sécurité. Vous pouvez configurer séparément tout registre utilisé au niveau du domaine. Pour plus d'informations, voir Domaines de sécurité multiples.

    Relation de confiance
    Lorsque vous configurez l'intercepteur TAI au niveau d'un domaine, les intercepteurs configurés au niveau global sont copiés au niveau du domaine par souci de commodité. Vous pouvez modifier la liste des intercepteurs au niveau du domaine selon vos besoins. Configurez uniquement les intercepteurs devant être utilisés au niveau du domaine.
    Authentification Web SPNEGO
    L'authentification Web SPNEGO, qui permet de configurer SPNEGO pour l'authentification des ressources Web, peut être configurée au niveau du domaine.
    Remarque : WebSphere Application Server Version 6.1, propose un intercepteur TAI qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier en toute sécurité et authentifier les demandes HTTP portant sur des ressources sécurisées. Cette fonction est obsolète dans WebSphere Application Server 7.0. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.
    Sécurité RMI/IIOP

    L'attribut Sécurité RMI/IIOP se réfère aux propriétés du protocole CSIv2 (Common Secure Interoperability version 2). Lorsque vous configurez ces attributs au niveau du domaine, la configuration de sécurité RMI/IIOP au niveau global est copiée par souci de commodité.

    Vous pouvez modifier les attributs devant être différents au niveau du domaine. Les paramètres de couche de transport pour les communications CSIv2 entrantes doivent être identiques au niveau global et au niveau du domaine. S'ils diffèrent, les attributs au niveau du domaine sont appliqués à toutes les applications du processus.

    Connexion des applications JAAS
    Indique les paramètres de configuration pour les connexions des applications JAAS (Java Authentication and Authorization Service). Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

    Les connexions de l'application JAAS, les connexions du système JAAS et les alias de données d'authentification JAAS J2C peuvent être configurés au niveau du domaine. Par défaut, toutes les applications du système ont accès aux connexions JAAS configurées au niveau global. Le module d'exécution de sécurité recherche d'abord les connexions JAAS au niveau du domaine. S'il ne les trouve pas, il les recherche ensuite dans la configuration de sécurité globale. Configurez l'une de ces connexions JAAS au niveau d'un domaine uniquement lorsque vous devez spécifier une connexion utilisée exclusivement par les applications du domaine de sécurité.

    Connexions système JAAS
    Indique les paramètres de configuration pour les connexions système JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres de configuration d'un domaine.

    Les connexions de l'application JAAS, les connexions du système JAAS et les alias de données d'authentification JAAS J2C peuvent être configurés au niveau du domaine. Par défaut, toutes les applications du système ont accès aux connexions JAAS configurées au niveau global. L'exécution de la sécurité vérifie en premier lieu la présence des connexions JAAS au niveau du domaine. S'il ne les trouve pas, il les recherche dans la configuration de sécurité globale. Configurez l'une de ces connexions JAAS au niveau d'un domaine uniquement lorsque vous devez spécifier une connexion utilisée exclusivement par les applications du domaine de sécurité.

    Option d'authentification d'architecture J2EE Connector JAAS
    Indique les paramètres de configuration pour les données d'authentification J2C JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

    Les connexions de l'application JAAS, les connexions du système JAAS et les alias de données d'authentification JAAS J2C peuvent être configurés au niveau du domaine. Par défaut, toutes les applications du système ont accès aux connexions JAAS configurées au niveau global. L'exécution de la sécurité vérifie en premier lieu la présence des connexions JAAS au niveau du domaine. S'il ne les trouve pas, il les recherche dans la configuration de sécurité globale. Configurez l'une de ces connexions JAAS au niveau d'un domaine uniquement lorsque vous devez spécifier une connexion utilisée exclusivement par les applications du domaine de sécurité.

    Authentification Java Authentication SPI (JASPI)

    Spécifie les paramètres de configuration d'un fournisseur d'authentification Java Authentication SPI (JASPI). Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres d'un domaine. Pour configurer les fournisseurs d'authentification JASPI d'un domaine, sélectionnez Personnaliser en fonction de ce domaine et activez ensuite JASPI. Sélectionnez Fournisseurs pour définir les fournisseurs du domaine.

    Remarque : Le fournisseur d'authentification JASPI peut être activé à l'aide des fournisseurs configurés au niveau du domaine. Par défaut, toutes les applications du système ont accès aux fournisseurs d'authentification JASPI configurés au niveau global. Le module d'exécution de sécurité recherche d'abord les fournisseurs d'authentification JASPI au niveau du domaine. S'il ne les trouve pas, il les recherche ensuite dans la configuration de sécurité globale. Configurez les fournisseurs d'authentification JASPI au niveau du domaine uniquement lorsque le fournisseur doit être utilisé exclusivement pas les applications de ce domaine de sécurité.
    Attributs du mécanisme d'authentification

    Indique les divers paramètres de cache devant être appliqués au niveau du domaine.

    Sélectionnez Paramètres de la mémoire cache d'authentification pour spécifier vos paramètres de cache d'authentification. La configuration indiquée sur ce panneau s'applique uniquement à ce domaine.

    Sélectionnez Délai d'attente LTPA pour configurer une valeur de délai d'attente LTPA différente au niveau du domaine. La valeur de la durée d'attente par défaut, définie au niveau global, est de 120 minutes. Si le délai d'attente LTPA est définie au niveau du domaine, tout jeton créé dans le domaine de sécurité lors de l'accès aux applications utilisateur est créé avec ce délai d'expiration.

    Lorsque Utilisation des noms d'utilisateur complets du domaine est activée, les noms d'utilisateur renvoyés par les méthodes telles que getUserPrincipal() sont qualifiés à l'aide du domaine de sécurité (registre d'utilisateurs) utilisé par les applications dans le domaine de sécurité.

    Fournisseur d'autorisations

    Vous pouvez configurer un fournisseur JACC (Java Authorization Contract for Containers) tiers externe au niveau du domaine. Le fournisseur JAAC de Tivoli Access Manager peut être configuré uniquement au niveau global. Les domaines de sécurité peuvent toujours l'utiliser s'ils ne remplacent pas le fournisseur d'autorisations par un autre fournisseur JACC ou par l'autorisation native intégrée.

    [z/OS]Vous pouvez également configurer les options d'autorisation SAF suivantes au niveau du domaine de sécurité :
    • ID utilisateur non authentifié ;
    • associateur de profil SAF ;
    • activation ou non de la délégation SAF ;
    • utilisation ou non du profil APPL pour restreindre l'accès à WebSphere Application Server ;
    • suppression ou non des messages en échec d'autorisation ;
    • stratégie d'enregistrement d'audit SMF ;
    • préfixe de profil SAF.

    [z/OS]Pour plus d'informations sur les options d'autorisation SAF, voir Autorisation SAF (System Authorization Facility) z/OS.

    [z/OS]
    Options de sécurité z/OS
    Vous pouvez définir les options de sécurité spécifiques à z/OS au niveau du processus (JVM) de manière à ce que toutes les applications (utilisateur et d'administration) puissent activer ou désactiver ces options. Ces propriétés sont les suivantes :
    • Activer la synchronisation des identités d'unité d'exécution des serveurs d'applications et de z/OS
    • Activer l'identité d'unité d'exécution RunAs du gestionnaire des connexions.

    Pour plus d'informations sur les options de sécurité z/OS, voir Options de sécurité z/OS

    Propriétés personnalisées
    Définissez des propriétés personnalisées au niveau du domaine qui sont soit nouvelles soit différentes de celles au niveau global. Par défaut, toutes les applications de la cellule peuvent accéder à toutes les propriétés personnalisées au niveau de la configuration de sécurité globale. Le code du module d'exécution de sécurité recherche d'abord la propriété personnalisée au niveau du domaine. S'il ne la trouve pas, il tente de l'obtenir dans la configuration de sécurité globale.
  10. Cliquez sur Valider.
  11. Après avoir sauvegardé les modifications apportées à la configuration, redémarrez le serveur pour qu'elles prennent effet.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_copy
Nom du fichier : tsec_sec_domains_copy.html