Configuration de l'authentification d'interopérabilité sécurisée commune (Common Secure Interoperability, CSI) à l'aide de scripts
Cette rubrique permet d'utiliser l'outil wsadmin pour configurer les communications entrantes et sortantes à l'aide du protocole CSI (Common Secure Interoperability). Le protocole Common Secure Interoperability Version 2 (CSIv2) prend en charge une interopérabilité accrue avec les différents fournisseurs, ainsi que des fonctions supplémentaires.
Avant de commencer
- Vous devez disposer du rôle administrateur ou nouvel administrateur.
- Activez la sécurité globale dans votre environnement.
- Configurez plusieurs domaines dans votre environnement à l'aide des domaines de sécurité.
Procédure
- Configurez l'authentification des communications entrantes CSI.
L'authentification entrante fait référence à la configuration qui détermine le type d'authentification acceptée pour les demandes entrantes. Cette authentification est spécifiée dans la référence IOR (Interoperable Object Reference) extraite du serveur de noms par le client.
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
- Déterminez les paramètres à configurer pour la communication entrante CSI. La commande configureCSIInbound permet de configurer différents paramètres pour la communication entrante CSI.
Tableau 1. Paramètres de commande. Examinez la liste de paramètres facultatifs suivants afin d'identifier les attributs que vous souhaitez paramétrer dans votre configuration : Paramètre Description -securityDomainName Indique le nom de la configuration de sécurité. Si vous n'indiquez aucun nom de domaine de sécurité, la commande modifie la configuration de sécurité globale. (Chaîne) -messageLevelAuth Indique si les clients communiquant avec ce serveur doivent spécifier un ID utilisateur et un mot de passe. Spécifiez Never pour désactiver cette obligation. Indiquez Pris en charge pour accepter un ID utilisateur et un mot de passe. Indiquez Requis pour exiger un ID utilisateur et un mot de passe. (Chaîne) -supportedAuthMechList Indique la méthode d'authentification à utiliser. Indiquez KRB5 pour une authentification Kerberos, LTPA pour une authentification Lightweight Third-Party, BasicAuth pour une authentification de base et custom pour utiliser votre implémentation de jeton d'authentification personnelle. Vous pouvez spécifier plusieurs types d'authentification, séparés par une barre verticale (|). (Chaîne) -clientCertAuth Indique si un client qui se connecte au serveur doit utiliser un certificat SSL. Indiquez Never pour permettre aux clients de se connecter sans certificats SSL. Indiquez Supported pour accepter les clients qui se connectent avec et sans certificats SSL. Indiquez Required pour exiger que les clients utilisent un certificat SSL. (Chaîne) -transportLayer Spécifie le niveau de prise en charge de la couche de transport. Indiquez Never pour désactiver la prise en charge de la couche de transport. Indiquez Supported pour activer la prise en charge de la couche de transport. Indiquez Required pour exiger la prise en charge de la couche de transport. (Chaîne) -sslConfiguration Spécifie l'alias de configuration SSL à utiliser pour le transport entrant. (Chaîne) -enableIdentityAssertion Indique si la vérification d'identité doit être activée. Lors de l'utilisation de la méthode d'authentification par vérification d'identité, le jeton de sécurité généré est un élément <wsse:UsernameToken> qui contient un élément <wsse:Username>. Indiquez la valeur true pour le paramètre -enableIdentityAssertion pour activer la vérification d'identité. (Valeur booléenne) -trustedIdentities Spécifie une liste des identités de serveurs accrédités, séparés par une barre verticale (|). Pour spécifier une valeur NULL, définissez la valeur du paramètre -trustedIdentities comme étant une chaîne vide (""). (Chaîne) -statefulSession Spécifie s'il faut ou non activer une session avec état. Indiquez true pour activer une session avec état. (Valeur booléenne) -enableAttributePropagation Spécifie si oui ou non activer la propagation des attributs de sécurité. La propagation des attributs de sécurité permet au serveur d'applications de transmettre du contenu authentifié et des informations sur le contexte de sécurité, d'un serveur à l'autre de votre configuration. Indiquez true pour activer la propagation des attributs de sécurité. (Booléen) - Configurez l'authentification des communications entrantes CSI.
La commande configureCSIInbound permet de configurer l'authentification entrante CSIv2 dans un domaine de sécurité ou dans la configuration de sécurité globale. Lors de la première configuration entrante CSI, les objets CSI sont copiés en provenance de la sécurité globale. Les modifications sont ensuite appliquées à la configuration.
Utilisez la commande configureCSIInbound pour configurer l'authentification entrante CSI pour un domaine de sécurité ou la configuration de sécurité globale, à l'instar de l'exemple Jython suivant :AdminTask.configureCSIInbound('-securityDomainName testDomain -messageLevelAuth Supported -supportedAuthMechList KRB5|LTPA -clientCertAuth Supported -statefulSession true')
- Sauvegardez les modifications. Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
AdminConfig.save()
- Configurez l'authentification des communications sortantes CSI.
L'authentification sortante fait référence à la configuration qui détermine le type d'authentification effectué pour les demandes sortantes destinées aux serveurs en aval.
- Démarrez l'outil de scriptage wsadmin.
- Déterminez les paramètres à configurer pour la communication sortante CSI. La commande configureCSIOutbound permet de configurer différents paramètres pour la communication sortante CSI.
Tableau 2. Paramètres de commande. Examinez la liste de paramètres facultatifs suivants afin d'identifier les attributs que vous souhaitez paramétrer dans votre configuration : Paramètre Description -securityDomainName Indique le nom de la configuration de sécurité. Si vous n'indiquez aucun nom de domaine de sécurité, la commande modifie la configuration de sécurité globale. (Chaîne) -enableAttributePropagation Spécifie si oui ou non activer la propagation des attributs de sécurité. La propagation des attributs de sécurité permet au serveur d'applications de transmettre du contenu authentifié et des informations sur le contexte de sécurité, d'un serveur à l'autre de votre configuration. Indiquez true pour activer la propagation des attributs de sécurité. (Booléen) -enableIdentityAssertion Indique si la vérification d'identité doit être activée. Lors de l'utilisation de la méthode d'authentification par vérification d'identité, le jeton de sécurité généré est un élément <wsse:UsernameToken> qui contient un élément <wsse:Username>. Indiquez la valeur true pour le paramètre -enableIdentityAssertion pour activer la vérification d'identité. (Valeur booléenne) -useServerIdentity Indique s'il faut ou non utiliser l'identité de serveur pour établir une relation de confiance avec le serveur cible. Spécifiez true pour utiliser l'identité de serveur. (Booléen) -trustedId Indique l'identité de confiance utilisée par le serveur d'applications pour établir une relation de confiance avec le serveur cible. (Chaîne) -trustedIdentityPassword Indique le mot de passe de l'identité du serveur de confiance. (Chaîne) -messageLevelAuth Indique si les clients communiquant avec ce serveur doivent spécifier un ID utilisateur et un mot de passe. Spécifiez Never pour désactiver cette obligation. Indiquez Pris en charge pour accepter un ID utilisateur et un mot de passe. Indiquez Requis pour exiger un ID utilisateur et un mot de passe. (Chaîne) -supportedAuthMechList Indique la méthode d'authentification à utiliser. Indiquez KRB5 pour une authentification Kerberos, LTPA pour une authentification Lightweight Third-Party, BasicAuth pour une authentification de base et custom pour utiliser votre implémentation de jeton d'authentification personnelle. Vous pouvez spécifier plusieurs types d'authentification, séparés par une barre verticale (|). (Chaîne) -clientCertAuth Indique si un client qui se connecte au serveur doit utiliser un certificat SSL. Indiquez Never pour permettre aux clients de se connecter sans certificats SSL. Indiquez Supported pour accepter les clients qui se connectent avec et sans certificats SSL. Indiquez Required pour exiger que les clients utilisent un certificat SSL. (Chaîne) -transportLayer Spécifie le niveau de prise en charge de la couche de transport. Indiquez Never pour désactiver la prise en charge de la couche de transport. Indiquez Supported pour activer la prise en charge de la couche de transport. Indiquez Required pour exiger la prise en charge de la couche de transport. (Chaîne) -sslConfiguration Spécifie l'alias de configuration SSL à utiliser pour le transport entrant. (Chaîne) -statefulSession Spécifie s'il faut ou non activer une session avec état. Indiquez true pour activer une session avec état. (Valeur booléenne) -enableCacheLimit Indiquez si la taille du cache des sessions CSIv2 doit être limitée. Si vous spécifiez une valeur true, une limite est ajoutée à la taille du cache. La valeur de la limite est déterminée par les valeurs que vous définissez avec les paramètres -maxCacheSize et -idleSessionTimeout. La valeur par défaut, false, ne limite pas la taille du cache. Pensez à ajouter une valeur true pour ce paramètre si votre environnement utilise l'authentification Kerberos et si le décalage d'horloge du centre de distribution de clés est court. Un petit décalage d'horloge est considéré comme petit s'il est inférieur à 20 minutes. Ce paramètre s'applique lorsque vous définissez le paramètre -statefulSession sur true. (Booléen) -maxCacheSize Indique la taille maximale du cache de session au-delà de laquelle les sessions ayant expiré sont supprimées du cache. Les sessions ayant expiré sont des sessions qui restent inactives plus longtemps que le délai que vous indiquez avec le paramètre -idleSessionTimeout. Pensez à indiquer une valeur true pour ce paramètre si votre environnement utilise l'authentification Kerberos et si le décalage d'horloge du centre de distribution de clés est court. Un petit décalage d'horloge est considéré comme petit s'il est inférieur à 20 minutes. Augmentez la valeur de ce paramètre si une petite taille de cache amène la récupération d'espace à s'exécuter fréquemment et affecte alors les performances du serveur d'applications. Ce paramètre s'applique lorsque vous définissez les paramètres -statefulSession et -enableCacheLimit sur true et définissez une valeur pour le paramètre -idleSessionTimeout. La plage de valeurs valide pour ce paramètre est comprise entre 100 et 1000. (Entier) -idleSessionTimeout Indique la durée, en millisecondes, pendant laquelle une session CSIv2 demeure inactive avant d'être supprimée. La session est supprimée si vous définissez le paramètre -enableCacheLimit sur true et si la valeur du paramètre -maxCacheSize est dépassée. Pensez à indiquer une valeur inférieure pour ce paramètre si votre environnement utilise l'authentification Kerberos et si le décalage d'horloge du centre de distribution de clés est court. Si le décalage d'horloge est faible, un grand nombre de sessions CSIv2 peuvent être rejetées. Toutefois, si vous entrez une petite valeur pour ce paramètre, le serveur d'applications peut nettoyer plus souvent les sessions rejetées et réduire le risque d'être à court de ressources. La plage de valeurs admise pour ce paramètre est comprise entre 60 000 et 86 400 000 millisecondes. (Entier) -enableOutboundMapping Spécifie si oui ou non activer le mappage d'identité sortant personnalisé. Spécifiez true pour activer le mappage d'identité sortant personnalisé. (Valeur booléenne) -trustedTargetRealms Spécifie une liste de domaines sécurisés cibles, dignes de confiance. Séparez chaque nom de domaine par une barre verticale (|). (Chaîne) - Configurez l'authentification des communications sortantes CSI.
La commande configureCSIOutbound permet de configurer l'authentification sortante CSIv2 dans un domaine de sécurité ou dans la configuration de sécurité globale. Lors de la première configuration sortante CSI, le serveur d'applications copie les objets CSI en provenance de la sécurité globale. Puis, il applique les modifications à cette configuration.
Utilisez la commande configureCSIOutbound pour configurer l'authentification sortante CSI, pour un domaine de sécurité ou la configuration de sécurité globale, à l'instar de l'exemple Jython suivant :AdminTask.configureCSIOutbound('-securityDomainName testDomain -enableIdentityAssertion true -trustedId myID -trustedIdentityPassword myPassword123 -messageLevelAuth Required -trustedTargetRealms realm1|realm2|realm3')
- Sauvegardez les modifications. Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
AdminConfig.save()


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7configcsi
Nom du fichier : txml_7configcsi.html