Sélection d'un registre ou d'un référentiel
Les informations relatives aux utilisateurs et groupes sont conservées dans un registre d'utilisateurs. Dans WebSphere Application Server, un registre d'utilisateurs authentifie un utilisateur et extrait les informations sur des utilisateurs et des groupes afin d'exécuter toutes les fonctions de sécurité, notamment l'authentification et l'autorisation.
Avant de commencer
Avant de configurer le registre d'utilisateurs ou référentiel, vous devez déterminer celui qu'il convient d'utiliser. Vous pouvez configurer un registre par défaut actif pour la cellule.
Pourquoi et quand exécuter cette tâche
WebSphere Application Server fournit des implémentations qui prennent en charge plusieurs types de registres et référentiels, parmi lesquels le registre de système d'exploitation local, un registre LDAP (Lightweight Directory Access Protocol) autonome, un registre personnalisé autonome et des référentiels fédérés.
Avec WebSphere Application Server, un registre d'utilisateurs ou un référentiel (par exemple, un référentiel fédéré) permet d'authentifier un utilisateur et d'extraire des informations sur des utilisateurs et des groupes afin d'exécuter toutes les fonctions de sécurité, notamment l'authentification et l'autorisation.
- L'authentification d'un utilisateur à l'aide de l'authentification de base, la vérification d'identité ou les certificats client.
- L'extraction d'informations sur les utilisateurs et les groupes pour exécuter des fonctions d'administration liées à la sécurité, telles que le mappage d'utilisateurs et de groupes à des rôles de sécurité.
WebSphere
Application Server intègre la prise en charge
de plusieurs systèmes d'exploitation ou de registres d'utilisateurs basés sur le système
d'exploitation, tels que le registre SAF z/OS, ainsi que la plupart des registres basés sur le protocole LDAP
(Lightweight Directory Access Protocol). Vous pouvez utiliser la fonction LDAP personnalisée pour prendre en charge tout serveur LDAP en
définissant les informations de configuration qui conviennent, telles que les filtres d'utilisateurs
et de groupes. La prise en charge n'est toutefois pas étendue aux serveurs LDAP personnalisés car de nombreuses
possibilités ne peuvent pas être testées.
La configuration du registre ou référentiel approprié est nécessaire pour l'affectation d'utilisateurs et de groupes à des rôles
dans les applications. Par défaut, lorsqu'aucun registre d'utilisateurs ou référentiel n'est configuré, le registre
d'utilisateurs du système d'exploitation local reposant sur SAF est utilisé. Si vous n'avez pas choisi le registre d'utilisateurs ou le référentiel du système d'exploitation local, vous devez d'abord le configurer.
Le registre d'utilisateurs ou le référentiel est normalement configuré lors de l'activation de la sécurité administrative, du redémarrage des serveurs et de l'affectation d'utilisateurs et de groupes à des rôles pour vos applications.
En plus du système d'exploitation local, des registres fédérés et LDAP, WebSphere Application Server fournit également un plug-in pour la prise en charge des registres en ayant recours à la fonction de registre personnalisé. La fonction de registre personnalisée permet de configurer tout registre d'utilisateurs non rendu disponible via les panneaux de configuration de la sécurité de WebSphere Application Server.
La configuration du registre ou référentiel approprié est nécessaire pour l'affectation d'utilisateurs et de groupes à des rôles dans les applications. Lorsqu'aucun registre d'utilisateurs ou référentiel n'est configuré, le registre du système d'exploitation local est utilisé par défaut. Si vous ne choisissez pas le registre d'utilisateurs du système d'exploitation local, vous devez d'abord configurer votre registre ou référentiel lors de l'activation de la sécurité, redémarrer les serveurs, puis affecter des utilisateurs et des groupes à toutes vos applications.
- référentiel fédéré,
- système d'exploitation local
(reposant sur SAF par exemple),
Restriction : La configuration d'un serveur LDAP transparent sous le registre de système d'exploitation local et pour lequel l'authentification des utilisateurs est effectuée via le système d'exploitation à l'aide de LDAP n'est plus prise en charge. - Registre LDAP (Lightweight Directory Access Protocol) autonome
- Registre personnalisé autonome
// Extrait le contexte initial par défaut pour ce serveur.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();
// Extrait l'objet UserRegistry local.
com.ibm.websphere.security.UserRegistry reg =
(com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");
// Extrait l'ID unique (uniqueID) de registre d'après le nom d'utilisateur (userName) spécifié
// dans NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Supprime le nom de domaine et extrait l'ID unique réel
marqueString uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);
// Extrait le nom de sécurité du registre d'utilisateurs d'après l'ID unique.
String securityName = reg.getUserSecurityName(uid);
Vous pouvez utiliser une interface de fournisseur de service (SPI) pour cette fonction d'analyse. $AdminApp deleteUserAndGroupEntries yourAppName
où
nomApp est le nom de l'application. Il est recommandé de
sauvegarder l'ancienne application avant d'effectuer cette opération. Toutefois, si les
deux conditions suivantes sont remplies, vous devez pouvoir changer de registre sans
supprimer les informations relatives aux utilisateurs et aux groupes : - Tous les noms d'utilisateurs et de groupes, y compris le mot de passe des utilisateurs du rôle RunAs, dans toutes les applications, correspondent dans les deux registres d'utilisateurs.
- Le fichier de liaisons de l'application ne contient pas les ID accès qui sont propres à chaque registre d'utilisateurs, y compris pour le même nom d'utilisateur ou de groupe.
Par défaut, une application ne contient pas d'ID accès dans le fichier de liaisons. Ces ID sont générés au démarrage des applications. Toutefois, si vous avez migré une application d'une version antérieure ou utilisé le script wsadmin pour ajouter des ID accès aux applications dans le but d'améliorer leurs performances, vous devez supprimer les informations relatives aux utilisateurs et aux groupes après avoir configuré le nouveau registre d'utilisateurs.
Pour plus d'informations sur la mise à jour des ID accès, consultez l'article relatif aux ID updateAccess pour les commandes de l'objet AdminApp.
![[AIX]](../images/aixlogo.gif)
- ˋ
- #
- =
- \
- :
- "
- ,
- /
- ?
- '
- Caractère espace
Pour connaître la liste exhaustive des caractères non alphanumériques qui ne sont pas pris en charge, voir la documentation du système d'exploitation AIX.
![[HP-UX]](../images/hpux.gif)
- ˋ
- :
- "
- /
- Caractère espace
Pour configurer votre registre d'utilisateurs, procédez de l'une des manières suivantes :
Procédure
- Configuration des registres du système d'exploitation local
- Configuration des registres d'utilisateurs LDAP (Lightweight Directory Access Protocol)
- Configuration des registres d'utilisateurs autonomes.
- Gestion du domaine dans une configuration de référentiel fédéré
Que faire ensuite
- Si vous activez la sécurité, suivez les étapes restantes. Vérifiez que le référentiel de compte utilisateur figurant dans le panneau Sécurité globale est associé au registre ou au référentiel approprié. En dernier lieu, validez l'ID utilisateur et le mot de passe en cliquant sur Valider dans le panneau Sécurité globale. Sauvegardez, arrêtez et démarrez tous les serveurs WebSphere Application Server.
- Pour que les modifications effectuées dans les panneaux des registres d'utilisateurs
soient prises en compte, validez-les en cliquant sur Valider dans le panneau Sécurité globale. Après validation, sauvegardez la configuration, puis arrêtez et démarrez tous les WebSphere
Application Servers, y compris les cellules, les noeuds et tous les serveurs
d'applications. Pour éviter les incohérences entre
les processus WebSphere
Application Server, vérifiez que les modifications apportées au registre ou au référentiel sont
effectuées lorsque tous les processus sont actifs. Si l'un des processus est arrêté, forcez la synchronisation afin que celui-ci puisse être
lancé ultérieurement.
Si le ou les serveurs démarrent normalement, la configuration est correcte.
Si le mécanisme d'autorisation SAF (System Authorization Facility) est sélectionné comme nouveau registre ou référentiel via le système d'exploitation local, les valeurs du fichier de liaisons sont ignorées, à l'exception de l'ID et du mot de passe (ou phrase de mot de passe) des utilisateurs du rôle RunAs.