[z/OS]

Sécurité WebSphere Application Server pour z/OS

WebSphere Application Server pour z/OS prend en charge l'accès aux ressources par les clients et les serveurs dans un environnement distribué. Déterminez comment contrôler l'accès à ces ressources et éviter toute destruction accidentelle ou malveillante du système ou des données.

Les éléments ci-dessous doivent être pris en compte dans l'environnement distribué.
  • Vous devez autoriser les serveurs à accéder aux services du système d'exploitation de base dans z/OS. Ces services incluent la sécurité SAF (System Authorization Facility) et la gestion de la base de données et des transactions.
    • Pour les clusters de serveurs, vous devez différencier les contrôleurs et les serviteurs. Les contrôleurs exécutent le code système autorisé et ils sont donc dignes de confiance. Les serviteurs exécutent le code d'application et bénéficient d'un accès aux ressources ; il convient donc de gérer leurs autorisations de manière appropriée.
    • Vous devez également différencier le niveau de droits d'accès des serveurs d'exécution et ceux des serveurs d'applications. Par exemple, le noeud doit disposer des droits d'accès nécessaires pour démarrer d'autres clusters, alors que ces droits sont inutiles pour les serveurs d'applications.
  • Vous devez autoriser des clients (utilisateurs) auprès des serveurs et des objets installés sur ces derniers. Les caractéristiques de chaque client doivent être prises en compte :
    • S'agit-il d'un client éloigné ou d'un client installé sur le système local ? La sécurité du réseau est un facteur à prendre en compte pour les clients éloignés.
    • Souhaitez-vous autoriser tous les clients non identifiés (non authentifiés) à accéder au système ? Certaines ressources du système peuvent être conçues pour un accès public, tandis que d'autres doivent être protégées. Pour accéder aux ressources protégées, les clients doivent établir leur identité et être autorisés à les utiliser.
  • L'authentification est le processus permettant d'établir l'identité d'un client dans un contexte particulier. Un client peut être un utilisateur final, une machine ou une application. Dans WebSphere Application Server sous z/OS le terme "mécanisme d'authentification" désigne la fonction par le biais de laquelle WebSphere identifie une identité authentifiée à l'aide des fonctions HTTP et JMX (Java™ Management Extensions). Lors de la configuration d'une cellule, .vous devez sélectionner un mécanisme d'authentification Les options de mécanismes d'authentification incluent :
    • SWAM (Simple WebSphere Authorization Mechanism) - uniquement disponible sur le serveur d'applications de base et pas dans la configuration Network Deployment
      Remarque : SWAM est obsolète dans WebSphere Application Server Version 9.0 et sera supprimé dans une version ultérieure.
    • Lightweight Third Party Authentication
    • Kerberos
  • Les informations relatives aux utilisateurs et groupes sont conservées dans un registre d'utilisateurs. Dans WebSphere Application Server, le registre d'utilisateurs authentifie un utilisateur et extrait les informations sur des utilisateurs et des groupes afin d'exécuter toutes les fonctions de sécurité, notamment l'authentification et l'autorisation. L'implémentation est fournie pour prendre en charge plusieurs registres d'utilisateurs de système d'exploitation ou fondés sur l'environnement d'exploitation. Lors de la configuration d'une cellule, vous devez sélectionner un registre d'utilisateurs unique. Le registre d'utilisateurs peut être local ou éloigné. Les options de registre d'utilisateurs incluent :
    • Registre local basé sur SAF (par défaut lorsqu'un produit z/OS est choisi pour la sécurité administrative lors de la personnalisation)
    • Registre LDAP Lightweight Directory Access Protocol) autonome - le registre LDAP peut être local ou éloigné
    • Registre d'utilisateurs personnalisé autonome - un registre d'utilisateurs personnalisé est configuré afin de répondre aux besoins du registre unique WebSphere Application Server fournit un exemple de registre d'utilisateurs simple appelé FileBasedRegistrySample.
    • Référentiels fédérés (par défaut lorsque WebSphere Application Server est choisi pour la sécurité administrative lors de la personnalisation)
Si vous devez protéger les ressources, il convient d'identifier les utilisateurs autorisés à y accéder. Ainsi, le système de sécurité requiert l'identification du client (utilisateur) également connue sous le nom d'authentification. Dans un réseau distribué pris en charge par WebSphere Application Server pour z/OS, les clients peuvent accéder aux ressources provenant :
  • du même système que celui d'un serveur,
  • du même sysplex que le serveur,
  • de systèmes z/OS éloignés
  • de systèmes hétérogènes, tels que WebSphere Application Server sur des plateformes réparties, CICS (Customer Information Control System), ou d'autres systèmes compatibles Java Platform, Enterprise Edition.

De plus, les clients peuvent demander un service pour lequel un serveur doit transmettre la demande à un autre cluster. Dans ce cas, le système doit traiter la délégation, la disponibilité de l'identité du client devant être utilisée par les clusters intermédiaires et les clusters cible.

Et enfin, dans un réseau distribué, comment vérifier que les messages transmis sont confidentiels et n'ont pas été falsifiés ? Comment vérifier que les clients sont bien qui ils prétendent être ? Comment mapper les identités réseau vers les identités z/OS ? Tous ces facteurs sont traités par la prise en charge des éléments suivants dans WebSphere Application Server pour z/OS:
  • Utilisation de SSL (Secure Sockets Layer) et des certificats numériques
  • Kerberos
  • CSIv2 (Common Secure Interoperability, Version 2)
  • Simple and Protected GSS-API Negotiation Mechanism (SPNEGO)
  • Fonction de mappage d'identités réparties dans SAF

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_settingup
Nom du fichier : csec_settingup.html