Configuration des registres du système d'exploitation local

Cette procédure permet de configurer des registres du système d'exploitation local.

Avant de commencer

Pour des informations détaillées sur l'utilisation du registre d'utilisateurs du système d'exploitation local, voir Registres du système d'exploitation local. Les étapes ci-dessous expliquent comment configurer la sécurité selon le registre d'utilisateurs du système d'exploitation local sur lequel WebSphere Application Server est installé.

[AIX Solaris HP-UX Linux Windows]A des fins de sécurité, WebSphere Application Server fournit et prend en charge l'implémentation pour les registres Windows, AIX, Solaris et pour les différentes versions du système d'exploitation Linux. Les API de chaque système d'exploitation sont appelées par les processus du logiciel (serveurs) pour authentifier l'utilisateur et par d'autres tâches de sécurité (par exemple, pour extraire des informations sur les utilisateurs ou groupes). L'accès à ces API est limité aux utilisateurs possédant des droits spéciaux. Ces droits d'accès varient en fonction du système d'exploitation. Ils sont décrits ultérieurement.

[z/OS]Lorsqu'un registre de système d'exploitation local est choisi, l'identité de la tâche démarrée est celle du serveur. Aucun ID utilisateur ou mot de passe n'est requis pour configurer le serveur.

[z/OS]Important : Chaque tâche démarrée, par exemple, un contrôleur, un processus de serveur ou un démon, peut avoir une identité différente. Etant donné que vous devez attribuer à chacun d'eux des autorisations d'accès aux ressources différentes, les ID utilisateur des contrôleurs et des dispositifs servants doivent être différents. L'outil de gestion de profils z/OS définit ces identités.
[Windows][AIX Solaris HP-UX Linux Windows]Prenez en compte les remarques ci-dessous.
  • L'ID serveur doit être différent du nom du système Windows sur lequel le produit est installé. Par exemple, si le nom de la machine Windows est vicky et que l'ID du serveur de sécurité est vickyy, le système Windows n'arrive pas à obtenir les informations (informations de groupe, par exemple) pour l'utilisateur vicky.
  • WebSphere Application Server détermine de manière dynamique si le système fait partie d'un domaine système Windows.
  • WebSphere Application Server ne prend pas en charge les domaines sécurisés Windows.
  • Si un système fait partie d'un domaine Windows, le registre d'utilisateurs du domaine et le registre d'utilisateurs local du système participent aux procédures d'authentification et de mappage des rôles de sécurité.
  • Si vous utilisez un ID d'utilisateur de domaine Windows pour installer et exécuter WebSphere Application Server, cet ID doit détenir les privilèges suivants :
    • Etre membre des groupes d'administration de domaine dans le contrôleur de domaines.
    • Disposer du droit Agir en tant que partie du système d'exploitation dans la règle de sécurité du domaine du contrôleur de domaine.
    • Disposer du droit Agir en tant que partie du système d'exploitation dans la règle de sécurité locale sur la machine locale.
    • Disposer du droit Ouvrir une session en tant que service sur la machine locale si le serveur s'exécute en tant que service.
  • Le registre d'utilisateurs du domaine est prioritaire par rapport au registre d'utilisateurs local du système. Des résultats indésirables peuvent apparaître si des utilisateurs possédant le même mot de passe sont définis dans le registre d'utilisateurs.
  • L'utilisateur pour lequel les processus du logiciel s'exécutent doit posséder les droits Administrateur et Agir en tant que partie du système d'exploitation pour appeler les API du système d'exploitation Windows qui authentifient ou collectent les informations sur les utilisateurs et les groupes. Le processus a besoin d'une autorité spéciale qui lui est conférée par ces droits. L'utilisateur de cet exemple peut être différent de l'ID du serveur de sécurité mais il doit correspondre à un utilisateur valide défini dans le registre. Cet utilisateur se connecte au système (en utilisant la ligne de commande pour lancer le processus du produit ou le paramètre de connexion dans le panneau des services si les processus du produit ont été lancés à l'aide des services).
[AIX Solaris HP-UX Linux Windows]Prenez en compte les points ci-dessous.
  • [AIX HP-UX Solaris][Linux]L'utilisateur pour lequel les processus du logiciel s'exécutent doit disposer des droits root. Ces droits sont nécessaires pour appeler les API du système d'exploitation afin d'authentifier ou de collecter des informations sur les utilisateurs et les groupes. Ce processus a besoin d'une autorité spéciale qui lui est conférée par le droit root. Cet utilisateur peut être différent de l'ID du serveur de sécurité mais il doit correspondre à un utilisateur valide défini dans le registre. Il se connecte au système et exécute les processus du logiciel.
  • [AIX HP-UX Solaris]L'utilisateur qui active la sécurité administrative doit disposer des droits d'accès root si vous utilisez le registre du système d'exploitation local. Sinon, une erreur signalant l'échec de la validation s'affiche.
  • [Linux]Il peut être nécessaire de placer le fichier shadow de mots de passe sur votre système.

Pourquoi et quand exécuter cette tâche

[z/OS]Lorsque vous configurez un registre d'utilisateurs pour WebSphere Application Server, SAF (System Authorization Facility) interagit avec le registre d'utilisateurs pour autoriser l'exécution d'applications sur le serveur. Pour plus d'informations sur les fonctions SAF, voir Registres d'utilisateurs SAF (System Authorization Facility). Effectuez les opérations ci-après pour configurer des propriétés supplémentaires associées au registre d'utilisateurs du système d'exploitation local et à la configuration SAF.

[z/OS]Important : Le système d'exploitation local ne constitue pas un référentiel de comptes utilisateur valide dans un environnement de cellules mixte comprenant des noeuds z/OS et non-z/OS.

[AIX Solaris HP-UX Linux Windows][IBM i]Les étapes ci-après sont nécessaires à l'exécution de cette tâche lorsque vous configurez la sécurité pour la première fois.

Procédure

  1. Cliquez surSécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, sélectionnez Système d'exploitation local et cliquez sur Configurer.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Entrez un nom d'utilisateur valide dans la zone Nom de l'utilisateur administratif primaire. Cette valeur correspond au nom d'un utilisateur disposant de privilèges d'administration défini dans le registre. Ce nom d'utilisateur permet d'accéder à la console d'administration ou est utilisé par wsadmin.
  4. [z/OS]Si l'autorisation SAF n'est pas activée, entrez un nom d'utilisateur valide dans la zone Nom d'utilisateur administratif principal. Cette valeur correspond au nom d'un utilisateur disposant de privilèges d'administration défini dans le registre. Ce nom d'utilisateur permet d'accéder à la console d'administration ou est utilisé par wsadmin.
  5. Facultatif : [z/OS]Sélectionnez l'option Ignorer la casse pour l'autorisation pour que WebSphere Application Server effectue une vérification d'autorisation sans différencier les minuscules des majuscules lorsque vous utilisez l'autorisation par défaut.
  6. Cliquez sur Valider.
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Sélectionnez l'option Identité de serveur généré automatiquement ou Identité de serveur stockée dans un référentiel. Si vous sélectionnez l'option Identité de serveur stockée dans un référentiel, entrez les informations suivantes :
    ID utilisateur du serveur ou administrateur
    Indiquez le nom abrégé du compte sélectionné lors de la seconde étape.
    Mot de passe administrateur
    Indiquez le mot de passe du compte sélectionné lors de la seconde étape.
  8. [z/OS]Sélectionnez Identité de serveur généré automatiquement ou Identité d'utilisateur associée à la tâche démarrée par z/OS.
  9. [IBM i]Entrez un nom de profil utilisateur valide dans la zone Nom de l'utilisateur administratif primaire.

    Le nom d'utilisateur administratif primaire indique le profil d'utilisateur à utiliser lorsque le serveur s'authentifie auprès du système d'exploitation sous-jacent. Cette identité correspond également à l'utilisateur qui possède le droit initial d'accès à l'application d'administration via la console d'administration. L'ID administrateur est commun à tous les registres d'utilisateurs. Il s'agit d'un membre du registre sélectionné qui dispose de droits spéciaux dans WebSphere Application Server. Toutefois, il ne possède pas de droits spéciaux dans le registre qu'il représente. En d'autres termes, vous pouvez sélectionner tout ID administrateur valide dans le registre comme ID administrateur.

    Dans la zone Nom d'utilisateur administratif primaire, vous pouvez spécifier tout profil d'utilisateur qui correspond aux critères suivants :
    • le statut du profil d'utilisateur est *ENABLED.
    • le mot de passe du profil d'utilisateur est valide,
    • le profil d'utilisateur n'est pas utilisé comme profil de groupe.
      Important : Un profil de groupe est associé à un numéro d'ID de groupe unique, qui ne correspond pas à un profil d'utilisateur standard. Exécutez la commande d'affichage du profil d'utilisateur DSPUSRPRF pour déterminer si le profil d'utilisateur que vous voulez utiliser comme nom d'utilisateur administratif primaire possède un numéro d'ID de groupe. Si la zone ID groupe a pour valeur *NONE, vous pouvez utiliser le profil d'utilisateur comme nom d'utilisateur administratif primaire.
  10. Facultatif : [z/OS]Activez et configurez l'autorisation SAF.
    1. Cliquez sur Sécurité > Sécurité globale > Fournisseurs d'autorisations externes.
    2. Sélectionnez l'option Autorisation SAF (System Authorization Facility) pour activer le fournisseur d'autorisations SAF.
    3. Sous Articles liés, cliquez sur Autorisation SAF z/OS pour configurer l'autorisation SAF. Pour afficher une explication des options d'autorisation SAF, voir Autorisation SAF (System Authorization Facility) z/OS.
  11. Cliquez sur OK.

    La console d'administration ne valide pas l'ID utilisateur ni le mot de passe lorsque vous cliquez sur OK. La validation est exécutée uniquement lorsque vous cliquez sur les boutons OK ou Valider dans le panneau Sécurité globale. Assurez-vous de sélectionner Système d'exploitation local comme définition de domaine disponible dans la section Référentiel de compte utilisateur et cliquez sur Définir comme actuel. Si la sécurité était déjà été activée lorsque que vous avez modifié l'ID utilisateur et le mot de passe dans ce panneau, affichez le panneau Sécurité globale et cliquez sur OK ou sur Valider pour valider les modifications. Si les modifications ne sont pas validées, le serveur risque de ne pas démarrer.

    Important : Tant que vous n'autorisez pas d'autres utilisateurs à effectuer des opérations d'administration, vous ne pouvez accéder à la console d'administration qu'avec l'ID utilisateur de serveur et le mot de passe que vous avez spécifiés. Pour plus d'informations, voir Autorisation de l'accès pour des rôles d'administration.

Résultats

Pour que les modifications apportées dans ce panneau soient appliquées, vous devez sauvegarder, arrêter et démarrer tous les serveurs du produit et notamment les gestionnaires de déploiement, les noeuds et les serveurs d'applications. Si le serveur démarre sans problème, la configuration est correcte.

Une fois cette procédure terminée, WebSphere Application Server peut utiliser le registre du système d'exploitation local pour identifier les utilisateurs autorisés.

Que faire ensuite

Effectuez les étapes restantes pour activer la sécurité. Pour plus d'informations, voir Activation de la sécurité.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
Nom du fichier : tsec_localos.html