Configuration LTPA et utilisation de clés

Vous devez configurer l'authentification LTPA (Lightweight Third Party Authentication) lors de la configuration initiale de la sécurité. LTPA est le mécanisme d'authentification par défaut pour WebSphere Application Server. Après avoir configuré LTPA, vous pouvez générer des clés LTPA manuellement ou automatiquement.

Procédure

  1. Configurez LTPA et générez les premières clés LTPA.
    1. Utilisez la console d'administration pour configurer LTPA ou Kerberos lors de la configuration initiale de la sécurité. Les clés LTPA sont automatiquement générées la première fois. Pour plus d'informations, consultez la rubrique Configuration du mécanisme LPTA (Lightweight Third Party Authentication). Le protocole LTPA permet aux serveurs d'applications répartis dans plusieurs noeuds et cellules de communiquer de façon sécurisée. Les groupes d'ensembles de clés contiennent des listes d'ensembles de clés et de plannings de génération de clés d'authentification LTPA. Chaque ensemble de clés contient des références aux clés contenues dans les magasins de clés. Pour que les clés soient générées automatiquement, chaque ensemble de clés doit être membre d'un groupe d'ensembles de clés.

      Pour plus d'informations, consultez la rubrique Ensembles de clés et groupes d'ensembles de clés LTPA (Lightweight Third Party Authentication).

      Dans certaines configurations de clé, les clés doivent être générées conjointement. La paire de clés LTPA est référencée dans un ensemble de clés tandis que la clé secrète ou privée est contenue dans un autre. Lors de la création du groupe d'ensembles de clés, les deux ensembles de clés sont ajoutés en tant que membres de ce groupe. Les paramètres de groupe d'ensembles de clés déterminent si les clés des deux ensembles de clés sont générées conjointement de manière automatique ou manuelle.

      Le groupe d'ensembles de clés contient les attributs suivants :
      • Ensembles de clés définis comme membres
      • Choix entre la génération automatique ou manuelle des clés dans les ensembles de clés définis comme membres
      • Planification de la génération automatique des clés
  2. Générez les clés manuellement ou automatiquement et contrôlez le nombre de clés actives.
    1. WebSphere Application Server génère automatiquement des clés LTPA (Lightweight Third Party Authentication) lors du premier démarrage du serveur. Vous pouvez générer des clés supplémentaires, selon vos besoins, dans le panneau Mécanismes d'authentification et expiration. Vous pouvez désactiver la génération automatique de clés LTPA pour les ensembles de clés appartenant à un groupe d'ensembles de clés. La génération automatique crée des clés selon un programme spécifié lorsque vous configurez un groupe d'ensembles de clés, qui gère un ou plusieurs ensembles de clés. WebSphere Application Server utilise les groupes d'ensembles de clés pour générer automatiquement des clés cryptographiques ou des ensembles de clés synchronisés.

      La génération manuelle des clés, ou l'activation ou la désactivation de la génération de clés, sont des tâches qui vous obligent à recycler les agents de noeud et les serveurs d'applications pour leur faire accepter les nouvelles clés. Si l'un des agents de noeud est arrêté, exécutez manuellement un utilitaire de synchronisation des fichiers à partir de la machine de l'agent de noeud pour synchroniser la configuration de la sécurité à partir du gestionnaire de déploiement.

      Les ensembles de clés gèrent les clés LTPA dans un magasin de clés basé sur un préfixe d'alias de clé. Un préfixe d'alias de clé est généré automatiquement lorsque vous générez une nouvelle clé et que vous l'enregistrez dans un magasin de clés. Les magasins de clés contiennent plusieurs versions de clés pour un préfixe d'alias de clé déterminé. Vous pouvez spécifier un nombre maximal de clés actives dans la configuration de l'ensemble de clés.

      Pour plus d'informations, consultez la rubrique Génération de clés LTPA (Lightweight Third Party Authentication).

  3. Importez et exportez les clés.
    1. Pour prendre en charge la connexion unique (SSO) dans plusieurs domaines ou cellules WebSphere Application Server, vous devez partager les clés LTPA et le mot de passe entre les domaines. Vous pouvez importer des clés LTPA d'autres domaines et exporter les clés vers d'autres domaines.
      Remarque : Désactivez la génération automatique de clé lorsque vous importez ou exportez des clés dans une autre cellule. Cette opération entraîne la perte des clés importées et empêche les clés exportées d'interagir avec la cellule.

      Vous devez recycler les agents de noeud et les serveurs d'applications pour accepter les nouvelles clés. Si l'un des agents de noeud est arrêté, exécutez manuellement un utilitaire de synchronisation des fichiers à partir de la machine de l'agent de noeud pour synchroniser la configuration de la sécurité à partir du gestionnaire de déploiement.

      Pour plus d'informations, consultez les rubriques Importation des clés LTPA (Lightweight Third Party Authentication) et Exportation des clés LTPA (Lightweight Third Party Authentication).

  4. Gérez les clés LTPA dans plusieurs cellules.
    1. Vous pouvez désigner les clés partagées et configurer le mécanisme d'authentification utilisé pour échanger des informations entre les serveurs afin d'importer et d'exporter des clés LTPA dans plusieurs cellules WebSphere Application Server. Redémarrez le serveur pour appliquer les modifications.

      Pour plus d'informations, consultez la rubrique Gestion des clés LTPA dans plusieurs cellules WebSphere Application Server


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ltpa_and_keys
Nom du fichier : tsec_ltpa_and_keys.html