![[IBM i]](../images/iseries.gif)
Sécurité des objets et des fichiers
Cette rubrique traite des différents objets et fichiers qui contiennent des informations sensibles et qui doivent être protégés.
Système de fichiers intégré sécurisé
Outre les beans enterprise et les servlets, WebSphere Application Server accède aux fichiers STREAM du système de fichiers intégré. Les fichiers qui suivent peuvent contenir des informations sensibles. Nous vous recommandons d'accorder une attention particulière à ces fichiers pour empêcher tout accès non autorisé.
- Dans le sous-répertoire /propriétés de votre profil, les fichiers suivants peuvent contenir des ID utilisateur et des mots de passe :
- sas.client.props
- soap.client.props
- sas.stdclient.properties
- sas.tools.properties
- wsserver.key
Par défaut, le sous-répertoire /propriétés se trouve dans le répertoire racine_profil. Chacun des fichiers précédents est livré avec des droits d'accès *PUBLIC définis sur *EXCLUDE. Le profil utilisateur QEJBSVR reçoit le droit d'accès *L-E pour ces fichiers. Le codage par mot de passe constitue une protection supplémentaire. Pour plus d'informations, voir la rubrique Codage et chiffrement des mots de passe.
- Dans le sous-répertoire /etc, protégez tous les fichiers de base de
données de clés (KDB) et de clés certifiées (JKS) que vous créez pour votre profil
WebSphere Application Server.
Pour les fichiers JKS, les profils d'utilisateur QEJBSVR doivent avoir les droits d'accès *R et *PUBLIC doit avoir les droits d'accès *EXCLUDE.
Pour les fichiers KDB, le profil utilisateur sous lequel le serveur Web est exécuté doit avoir les droits d'accès *RX et *PUBLIC doit avoir les droits d'accès *EXCLUDE.
Ressources de base de données sécurisées pour WebSphere Application Server
WebSphere Application conserve les données des applications utilisateur (persistance des beans enterprise et données de session de servlet) dans des tableaux. Plusieurs méthodes sont disponibles afin de contrôler quels sont les profils utilisateur autorisés à accéder à ces données utilisateur. Pour plus d'informations, voir Sécurité des accès à la base de données.
Fichiers sécurisés WebSphere Application Server
Lorsque vous activez la sécurité WebSphere Application Server, le profil et le mot de passe de l'utilisateur du serveur sont placés dans les fichiers de configuration du serveur ; l'accès à ces fichiers doit être sécurisé à l'aide du système de sécurité du système d'exploitation. Vous avez par ailleurs la possibilité de protéger par mot de passe certaines ressources WebSphere Application Server. Les mots de passe en question sont également placés dans les fichiers de configuration du serveur. Le serveur code automatiquement les mots de passe en vue de décourager les simples observateurs, mais le codage des mots de passe à lui seul ne constitue pas une protection suffisante.
- cells/nom_cellule/security.xml
- cells/nom_cellule/nodes/nom_noeud/resources.xml
- cells/nom_cellule/nodes/nom_noeud/servers/nom_serveur/server.xml
- L'ID et le mot de passe de l'utilisateur sont utilisés auprès du serveur comme identité du système lorsqu'une sécurité de bean enterprise est déployée de façon à employer SYSTEM_IDENTITY comme délégation de méthode. Dans ce cas, l'ID et le mot de passe de l'utilisateur sont utilisés lorsque des appels de méthode sont passés d'un bean enterprise à un autre.
- L'ID et le mot de passe de l'utilisateur sont requis pour authentifier les serveurs au sein d'une communication inter-serveurs. Etant donné que la sécurité de ces fichiers peut être compromise, utilisez, pour le mot de passe et l'identité serveur, un profil utilisateur qui n'est pas celui par défaut. Le profil utilisateur par défaut est QEJBSVR. Si vous utilisez le registre d'utilisateurs du système d'exploitation local, il est conseillé de créer et d'utiliser un profil utilisateur qui ne dispose d'aucun droit d'accès particulier. Pour plus d'informations, voir Utilisation des serveurs d'applications sous des profils utilisateur particuliers.
Profils utilisateur sécurisés de WebSphere Application Server
- QEJB
- Ce profil donne accès à certaines données d'administration, telles que les mots de passe.
- QEJBSVR
- Ce profil fournit le contexte dans lequel WebSphere Application Server est exécuté. Pour des raisons de sécurité ou d'administration, il est conseillé de créer d'autres profils utilisateur sous lesquels il vous sera possible d'exécuter certaines fonctionnalités de WebSphere Application Server. Pour plus d'informations, voir la rubrique Exécution des serveurs d'applications sous des profils utilisateur particuliers.