Activation de la sécurité

Vous trouverez ci-après des informations sur la manière de configurer la sécurité lorsque cette dernière n'a pas été activée lors de la création du profil WebSphere Application Server.

Avant de commencer

Lorsque vous installez WebSphere Application Server, il est recommandé d'effectuer l'installation avec la sécurité activée. De par sa conception, cette option garantit que tout a été correctement configuré. En activant la sécurité, vous protégez votre serveur contre les utilisateurs non autorisés. Vous pouvez également isoler les applications et répondre aux exigences d'authentification des utilisateurs d'applications.

Il est utile de comprendre la sécurité d'un point de vue infrastructure afin de connaître les avantages des différents mécanismes d'authentification, registres d'utilisateurs, protocoles d'authentification, etc. Le choix des composants de sécurité appropriés afin de répondre à vos besoins fait partie intégrante de la configuration de la sécurité. Les sections ci-après vous aident à prendre les décisions appropriées.

Une fois les composants de sécurité assimilés, vous pouvez poursuivre la configuration de la sécurité dans WebSphere Application Server.

[z/OS]Avertissement : Certaines tâches de personnalisation de la sécurité sont requises pour activer la sécurité. Elles nécessitent de mettre à jour le serveur de sécurité, tel que la fonction RACF (Resource Access Control Facility). L'administrateur de la sécurité peut être amené à intervenir.

Procédure

  1. Lancez la console d'administration WebSphere Application Server.

    Démarrez le gestionnaire de déploiement et, dans votre navigateur, tapez l'adresse du serveur WebSphere Application Server, Network Deployment. Par défaut, la console se trouve surhttp://votre_hôte.votre_domaine:9060/ibm/console.

    Si la sécurité est désactivée, vous êtes invité à saisir un ID utilisateur. Connectez-vous à l'aide d'un ID utilisateur. Cependant, lorsque la sécurité est activée, vous êtes invité à saisir un ID utilisateur ainsi qu'un mot de passe. Connectez-vous avec un ID administrateur et un mot de passe prédéfinis.

  2. Cliquez sur Sécurité > Sécurité globale.

    Utilisez l'Assistant de Configuration des paramètres de sécurité ou configurez la sécurité manuellement. L'ordre de configuration n'est pas important.

    Eviter les incidents Eviter les incidents: Vous devez activer la sécurité administrative et la sécurité des applications de manière séparée. Du fait de cette séparation, les clients WebSphere Application Server doivent déterminer si la sécurité des applications est désactivée sur le serveur cible. Par défaut, la sécurité d'administration est activée. Par défaut, la sécurité d'application est désactivée. Avant de tenter d'activer la sécurité des applications sur le serveur, vérifiez que la sécurité administrative y est activée. La sécurité des applications est effective uniquement lorsque la sécurité administrative est activée.gotcha

    Pour plus d'informations sur la configuration manuelle, voir Authentification des utilisateurs.

  3. Configurez le référentiel du compte utilisateur. Pour plus d'informations, voir Sélection d'un registre ou d'un référentiel. Dans le panneau Sécurité globale, vous pouvez configurer des référentiels de comptes d'utilisateurs tels que des référentiels fédérés, un système d'exploitation local, un registre LDAP autonome et un registre personnalisé autonome.
    Remarque : Vous pouvez choisir d'indiquer un ID serveur et un mot de passer à des fins d'interopérabilité ou d'activer une installation de WebSphere Application Server 6.1 pour générer automatiquement un ID serveur interne. Pour plus d'informations sur la génération automatique d'ID serveur, voir Paramètres du système d'exploitation local.

    L'une des informations communes à tous les registres ou référentiels d'utilisateurs est le nom de l'utilisateur administratif primaire. Cet ID est membre du référentiel sélectionné, mais il possède aussi des droits spéciaux dans WebSphere Application Server. Les droits correspondant à cet ID et ceux associés à l'ID du rôle d'administrateur sont identiques. Le nom de l'utilisateur administratif primaire peut accéder à toutes les méthodes administratives protégées.

    [Windows]Il doit être différent du nom de machine de votre système, le référentiel renvoyant parfois des informations spécifiques à la machine lorsque vous interrogez un utilisateur de même nom.

    Dans les registres LDAP autonomes, vérifiez que le nom d'utilisateur administratif primaire correspond à un membre du référentiel et n'est pas simplement l'ID du rôle d'administrateur LDAP. L'entrée doit pouvoir faire l'objet d'une recherche.

    [AIX Solaris HP-UX Linux Windows][IBM i]Le nom de l'administrateur principal ne peut pas exécuter de processus WebSphere Application Server. C'est l'ID de processus qui exécute les processus WebSphere Application Server.

    [AIX Solaris HP-UX Linux Windows]L'ID de processus est déterminé par le mode de démarrage du processus. Par exemple, si vous utilisez une ligne de commande pour démarrer les processus, l'ID utilisateur qui se connecte au système est l'ID de processus. En cas d'exécution en tant que service, l'ID utilisateur connecté au système est l'ID utilisateur exécutant le service. Si vous choisissez le registre du système d'exploitation local, l'ID processus requiert des droits spéciaux pour appeler les API du système d'exploitation. L'ID processus doit disposer des droits suivants (spécifiques à la plateforme) :
    • [Windows]Droits Se comporter comme partie intégrante du système d'exploitation
    • [AIX HP-UX Solaris]Droits racine

    [IBM i]Dans la configuration par défaut, les processus WebSphere Application Server fonctionnent sous le profil utilisateur QEJBSVR, fourni par le système.

    [z/OS]Lorsque vous utilisez le registre du système d'exploitation local autonome de WebSphere Application Server for z/OS, l'ID utilisateur du serveur n'est pas défini à l'aide de la console d'administration mais par le biais de la classe STARTED dans le système d'exploitation z/OS.

  4. Sélectionnez l'option Définir comme actuel après avoir configuré le référentiel du compte utilisateur. Lorsque vous cliquez sur Valider et que l'option Activer la sécurité administrative est définie, le système vérifie si l'ID d'administration a été configuré et se trouve dans le registre d'utilisateurs actif. L'ID administrateur peut être défini dans le panneau du registre d'utilisateurs actif ou à partir du lien des utilisateurs de la console. Si vous ne configurez pas un ID d'administration pour le registre d'utilisateurs actif, la validation échoue.
    Remarque : Lorsque vous basculez d'un registre d'utilisateurs à un autre, le fichier admin-authz.xml devra être vidé des ID d'administration et des noms d'applications qu'il contient. Des exceptions seront consignées dans les journaux pour les ID qui existent dans le fichier admin-authz.xml mais qui ne se trouvent pas dans le registre des utilisateurs actuels.
  5. [z/OS]Facultatif : Vous pouvez modifier votre fournisseur d'autorisations externe et le configurer sur WebSphere Authorization, System Authorization Facility (SAF) ou un fournisseur JACC externe. Pour plus d'informations, voir Autorisation SAF (System Authorization Facility) z/OS et Activation d'un fournisseur externe JACC. Pour changer de fournisseur d'autorisation, cliquez sur Sécurité > Sécurité globale.
  6. Configurez le mécanisme d'authentification.

    Configurez LTPA (Lightweight Third-Party Authentication) ou Kerberos, qui est nouveau dans cette édition de WebSphere Application Server, sous Mécanismes d'authentification et expiration. Les justificatifs LTPA peuvent être transférés sur d'autres machines. Pour des raisons de sécurité, le justificatif dispose d'une durée de validité limitée ; il vous est néanmoins possible de configurer les dates d'expiration à l'aide de la console. Les justificatifs LTPA permettent aux navigateurs de visiter différents serveurs de produit, ce qui signifie qu'il n'est pas nécessaire de s'authentifier à plusieurs reprises. Pour plus d'informations, voir Configuration du mécanisme LPTA (Lightweight Third Party Authentication)

    [z/OS]Remarque : Vous pouvez configurer le mécanisme d'authentification SWAM (Simple WebSphere Authentication Mechanism) comme étant le vôtre. Toutefois, le mécanisme SWAM est obsolète dans WebSphere Application Server Version 9.0 et sera supprimé dans une future édition. Les justificatifs SWAM ne peuvent pas être transmis à d'autres machines, c'est pourquoi ils n'expirent pas.

    Si vous souhaitez bénéficier de la prise en charge de SSO (Single Sign-On), qui permet aux navigateurs d'accéder aux différents serveurs de produits sans avoir à s'authentifier plusieurs fois, consultez Implémentation d'une connexion unique pour réduire les authentifications d'utilisateur Web. Pour les connexions par formulaire, vous devez configurer SSO lorsque vous utilisez LTPA.

  7. Facultatif : Importez et exportez les clés LTPA pour la connexion SSO intercellulaire entre les cellules. Pour plus d'informations, voir les articles suivants :
    Eviter les incidents Eviter les incidents: Si l'une des cellules à laquelle vous vous connectez réside sur un système Version 6.0.x, voir l a rubrique relative à la configuration des clés tierces d'authentification Lightweight dans le centre de documentation de la version 6.0.x pour plus d'informations.gotcha
  8. Configurez le protocole d'authentification pour satisfaire les conditions de sécurité requises par les clients Java™, si nécessaire.

    [AIX Solaris HP-UX Linux Windows][IBM i]Vous pouvez configurer CSIv2 (Common Secure Interoperability Version 2) en utilisant les liens du panneau Sécurité globale. Le protocole SAS (Security Authentication Service ) est fourni à des fins de compatibilité en amont avec les éditions précédentes du produit, mais il est obsolète. Des liens vers les panneaux du protocole SAS s'affichent sur le panneau Sécurité globale si votre environnement contient des serveurs qui utilisent des versions précédentes de WebSphere Application Server et prennent en charge le protocole SAS. Pour plus d'informations sur la configuration de CSIv2 ou SAS, lisez l'article intituléConfiguration des paramètres de communication entrants et sortants CSIV2 (Common Secure Interoperability Version 2).

    [z/OS]Vous pouvez configurer CSIv2 (Common Secure Interoperability Version 2) en utilisant les liens du panneau Sécurité globale. Le protocole z/SAS (z/OS Security Authentication Service) est fourni à des fins de compatibilité en amont avec les éditions précédentes du produit, mais il est obsolète. Des liens vers les panneaux du protocole z/SAS s'affichent sur le panneau Sécurité globale si votre environnement contient des serveurs qui utilisent des versions précédentes de WebSphere Application Server et prennent en charge le protocole SAS. Pour plus d'informations sur la configuration de CSIv2 ou z/SAS, lisez l'article intitulé Configuration des paramètres de communication entrants et sortants CSIV2 (Common Secure Interoperability Version 2).
    Important : z/SAS est pris en charge uniquement sur les serveurs version 6.0.x et versions antérieures qui ont été fédérés dans une cellule version 6.1.
    [AIX Solaris HP-UX Linux Windows][IBM i]Avertissement : IBM® ne vend plus et ne prend plus en charge le protocole de sécurité IIOP SAS(Secure Authentication Service). Il est donc préférable d'utiliser dorénavant le protocole CSIv2 (Common Secure Interoperability version 2).
    [z/OS]Avertissement : IBM ne vend plus et ne prend plus en charge le protocole de sécurité IIOP z/SAS (z/OS Secure Authentication Service). Il est donc préférable d'utiliser dorénavant le protocole CSIv2 (Common Secure Interoperability version 2). CSIv2 interagit avec les versions antérieures de WebSphere Application Server, excepté avec le client de la version 4.
  9. [AIX Solaris HP-UX Linux Windows][IBM i]Le protocole SSL (Secure Socket Layers) est préconfiguré par défaut ; aucune modifications n'est nécessaire à moins d'avoir des exigences SSL personnalisées. Vous pouvez modifier une configuration SSL existante ou en créez une. L'intégrité des messages envoyés via Internet est ainsi protégée. Le produit offre un emplacement centralisé pour configurer des configurations SSL pouvant être utilisées parmi les diverses fonctionnalités de WebSphere Application Server utilisant le protocole SSL, notamment le registre LDAP, le conteneur Web et le protocole d'authentification RMI/IIOP (CSIv2). Pour plus d'informations, voir la rubrique Création d'une configuration SSL (Secure Sockets Layer). Suite à la modification d'une configuration ou à la création d'une nouvelle configuration, définissez-là dans le panneau Configurations SSL. Pour accéder au panneau des configurations SSL, procédez comme suit :
    1. Cliquez sur Sécurité > Gestion des certificats SSL et des clés.
    2. Sous Paramètres de configuration, cliquez sur Gérer les configurations des sécurités de noeud final > nom_configuration.
    3. Sous Articles liés de chaque portée, (par exemple, noeud, cluster, serveur), sélectionnez l'un des nombreux liens de configuration pouvant être étendus aux ressources visitées.

    Vous pouvez éditer le fichier DefaultSSLConfig ou créer une configuration SSL avec un nouvel alias. Dans ce cas, vous devez changer tous les emplacements référençant l'alias de configuration SSL DefaultSSLConfig. La liste ci-dessous indique où les alias de configuration SSL sont utilisés dans la configuration de WebSphere Application Server.

    Pour les transports qui utilisent les nouvelles chaînes de canaux d'entrée et de sortie réseau, notamment HTTP et JMS Java Message Service), vous pouvez modifier les alias des répertoires de configuration dans l'emplacement suivant pour chaque serveur :.
    • Cliquez sur Serveur > Serveurs d'applications > nom_serveur. Dans la section Communications, cliquez sur Ports. Recherchez une chaîne de transport où SSL est activé et cliquez sur Afficher les transports associés. Cliquez sur nom_chaîne_transport. Dans la section Canaux de transport, cliquez sur Canal des communications entrantes SSL (SSL_2).
    • Cliquez sur Administration du système > Gestionnaire de déploiement. Dans le menu Propriétés supplémentaires, cliquez sur Ports. Recherchez une chaîne de transport où SSL est activé et cliquez sur Afficher les transports associés. Cliquez sur nom_chaîne_transport. Dans la section Canaux de transport, cliquez sur Canal des communications entrantes SSL (SSL_2).
    • Cliquez sur Administration du système > Agents de noeud > nom_agent_noeud. Dans le menu Propriétés supplémentaires, cliquez sur Ports. Recherchez une chaîne de transport où SSL est activé et cliquez sur Afficher les transports associés. Cliquez sur nom_chaîne_transport. Dans la section Canaux de transport, cliquez sur Canal des communications entrantes SSL (SSL_2).
    Pour les transports SSL ORB, vous pouvez modifier les alias des répertoires de configuration SSL dans les sections suivantes : Ces configurations s'appliquent au niveau du serveur de WebSphere Application Server et au niveau de la cellule de WebSphere Application Server, Network Deployment.
    • Cliquez sur Sécurité > Sécurité globale. Sous Sécurité RMI/IIOP, cliquez sur Communications entrantes CSIv2.
    • Cliquez sur Sécurité > Sécurité globale. Sous Sécurité RMI/IIOP, cliquez sur Communications sortantes CSIv2.

    Pour le protocole LDAP (Lightweight Directory Access Protocol), vous pouvez modifier les alias du répertoire de configuration SSL en cliquant sur Sécurité > Sécurité globale. Sous Référentiel du compte d'utilisateur, cliquez sur la liste déroulante Définitions des domaines disponibles, puis sélectionnez Registre LDAP autonome.

  10. [z/OS]Définissez l'autorisation. Si vous choisissez d'utiliser un produit de sécurité z/OS lors de la personnalisation, l'autorisation est définie par défaut sur l'utilisation de l'autorisation SAF (System Authorization Facility) (profils EJBROLE). Sinon, le paramètre par défaut est l'autorisation WebSphere Application Server. Facultativement, vous pouvez définir une autorisation externe JACC(Java Authorization Contract for Containers). Voir Remarques sur le contrôle d'accès aux rôles de nommage à l'aide du mécanisme d'autorisation SAF ou Fournisseurs d'autorisation.
  11. [z/OS]Vérifiez les répertoires SSL (Secure Sockets Layer) à utiliser par WebSphere Application Server. Les exemples de travaux de personnalisation générés par l'outil de gestion des profils WebSphere z/OS ou la commande zpmt génère des exemples de travaux pour créer des fichiers de clés SSL utilisable si RACF est votre serveur de sécurité. Ces travaux créent un certificat d'autorité de certification RACF unique pour votre installation, ainsi qu'un ensemble de certificats serveur signés par cette autorité de certification. L'ID de la tâche démarrée par le contrôleur du serveur d'applications est associé à un fichier de clés SAF contenant ces certificats. De même, dans un environnement WebSphere Application Server, Network Deployment, les fichiers de clés RACF appartenant à l'ID utilisateur du gestionnaire de déploiement et les ID utilisateur de l'agent de noeud sont créés.

    Un fichier de clés RACF est identifié de manière unique à la fois par son nom dans le répertoire et par l'ID utilisateur MVS du processus du contrôleur du serveur. Si plusieurs processus du contrôleur WebSphere Application Server ont des ID utilisateur MVS uniques, vous devez vous assurer qu'un fichier de clés RACF et une clé privée sont générés, même s'ils partagent le même répertoire.

    Il existe deux types de répertoire SSL configurables :
    • Le répertoire SSL est utilisé pour les communications HTTPS et IIOP (Internet InterORB Protocol), ainsi que pour les transports natifs. Pour utiliser la console d'administration une fois la sécurité activée, définissez et sélectionnez un répertoire système de type SSL pour HTTP. Vous devez définir un répertoire système SSL et indiquer si la sécurité IIOP requiert ou prend en charge le transport SSL ou si un connecteur RMI (Remote Method Invocation) sécurisé est sélectionné pour les demandes d'administration.
    • Le répertoire Java Secure Socket Extension (JSSE) s'applique aux communications SSL Java.

    Les utilisateurs doivent configurer un répertoire SSSL (System SSL) pour l'utilisation du protocole HTTP ou IIOP, et un connecteur JMX (Java Management Extensions) doit être configuré pour l'utilisation du protocole SSL. Si le connecteur HTTP SOAP est choisi, un répertoire JSSE doit être sélectionné pour le sous-système d'administration. Dans un environnement WebSphere Application Server, Network Deployment, cliquez sur Administration du système > Gestionnaire de déploiement > Services d'administration > Connecteur JMX > Connecteur SOAP > Propriétés personnalisées > sslConfig.

    Un ensemble de répertoires SSL est configuré dans les boîtes de dialogue d'installation de z/OS. Ces boîtes de dialogue sont configurées pour désigner des fichiers de clés SAF et des fichiers enrichis par le processus de personnalisation, lors de la génération des commandes RACF.
    Tableau 1. Répertoires SSL de configuration des boîtes de dialogue d'installation de z/OS.

    Ce tableau répertorie les répertoires SSL configurés par les boîtes de dialogue d'installation de z/OS.

    Nom du répertoire Type Utilisation par défaut
    [z/OS]NodeDefaultSSLSettings [z/OS]JSSE [z/OS](base uniquement) configuration pour connecteur JMX SOAP, cLient SOAP, transport HTTP de conteneur Web
    [z/OS]CellDefaultSSLSettings [z/OS]JSSE [z/OS](Network Deployment uniquement) configuration pour connecteur JMX SOAP, cLient SOAP, transport HTTP de conteneur Web
    [z/OS]DefaultIIOPSSL [z/OS]SSSL [z/OS]Utilisé uniquement lorsque DAEMON SSL est activé

    Aucune opération supplémentaire n'est requise si ces paramètres suffisent pour répondre à vos besoins. Si vous souhaitez créer ou modifier ces paramètres, vous devez vérifier si les fichiers de magasin de clés qu'ils désignent sont créés.

  12. Cliquez sur Sécurité > Sécurité globale pour configurer le reste des paramètres de sécurité et activer la sécurité. Pour obtenir des informations sur ces paramètres, voir Paramètres de sécurité globale.

    Pour plus d'informations, voir Serveur et sécurité administrative.

  13. Validez la configuration de la sécurité en cliquant sur OK ou sur Appliquer. Si des problèmes surviennent, ils s'affichent en rouge.
  14. En l'absence de problèmes de validation, cliquez sur Sauvegarder pour enregistrer les paramètres dans un fichier que le serveur utilise au redémarrage. La sauvegarde écrit les paramètres dans le référentiel de configuration.
    Important : Si vous ne cliquez pas sur Valider ou sur OK dans le panneau Sécurité globale avant de cliquer sur Sauvegarder, vos modifications ne sont pas sauvegardées dans le référentiel. Vous devez relancer le serveur pour que les modifications soient prises en compte lorsque vous démarrez la console d'administration.

    L'action de sauvegarde permet au gestionnaire de déploiement d'utiliser les paramètres modifiés après redémarrage de WebSphere Application Server. Pour plus d'informations, voir Activation de la sécurité pour le domaine. Une configuration de gestionnaire de déploiement diffère d'un serveur d'applications de base autonome. La configuration est stockée de manière temporaire dans le gestionnaire de déploiement jusqu'à ce qu'elle soit synchronisée avec tous les agents de noeud.

    En outre, vérifiez que tous les agents de noeud sont actifs dans le domaine. Arrêtez tous les serveurs d'applications durant cette procédure. Si l'un des agents de noeud est arrêté, exécutez manuellement un utilitaire de synchronisation des fichiers à partir de la machine de l'agent de noeud pour synchroniser la configuration de la sécurité à partir du gestionnaire de déploiement. Si vous ne le faites pas, l'agent de noeud qui ne fonctionne pas correctement ne communique pas avec le gestionnaire de déploiement une fois la sécurité activée sur le gestionnaire de déploiement.

  15. Lancez la console d'administration WebSphere Application Server.

    Démarrez le gestionnaire de déploiement et, dans votre navigateur, tapez l'adresse du serveur WebSphere Application Server, Network Deployment. Par défaut, la console se trouve surhttp://votre_hôte.votre_domaine:9060/ibm/console.

    Si la sécurité est désactivée, connectez-vous avec un quelconque ID utilisateur. Si la sécurité est activée, connectez-vous avec un ID administrateur et un mot de passe prédéfinis. Cet ID correspond généralement à l'ID utilisateur du serveur spécifié lorsque vous avez configuré le registre utilisateur.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
Nom du fichier : tsec_csec2.html