[IBM i]

Sécurité des objets et des fichiers

Cette rubrique traite des différents objets et fichiers qui contiennent des informations sensibles et qui doivent être protégés.

Système de fichiers intégré sécurisé

Outre les beans enterprise et les servlets, WebSphere Application Server accède aux fichiers STREAM du système de fichiers intégré. Les fichiers qui suivent peuvent contenir des informations sensibles. Nous vous recommandons d'accorder une attention particulière à ces fichiers pour empêcher tout accès non autorisé.

  • Dans le sous-répertoire /propriétés de votre profil, les fichiers suivants peuvent contenir des ID utilisateur et des mots de passe :
    • sas.client.props
    • soap.client.props
    • sas.stdclient.properties
    • sas.tools.properties
    • wsserver.key

    Par défaut, le sous-répertoire /propriétés se trouve dans le répertoire racine_profil. Chacun des fichiers précédents est livré avec des droits d'accès *PUBLIC définis sur *EXCLUDE. Le profil utilisateur QEJBSVR reçoit le droit d'accès *L-E pour ces fichiers. Le codage par mot de passe constitue une protection supplémentaire. Pour plus d'informations, voir la rubrique Codage et chiffrement des mots de passe.

  • Dans le sous-répertoire /etc, protégez tous les fichiers de base de données de clés (KDB) et de clés certifiées (JKS) que vous créez pour votre profil WebSphere Application Server.

    Pour les fichiers JKS, les profils d'utilisateur QEJBSVR doivent avoir les droits d'accès *R et *PUBLIC doit avoir les droits d'accès *EXCLUDE.

    Pour les fichiers KDB, le profil utilisateur sous lequel le serveur Web est exécuté doit avoir les droits d'accès *RX et *PUBLIC doit avoir les droits d'accès *EXCLUDE.

Ressources de base de données sécurisées pour WebSphere Application Server

WebSphere Application conserve les données des applications utilisateur (persistance des beans enterprise et données de session de servlet) dans des tableaux. Plusieurs méthodes sont disponibles afin de contrôler quels sont les profils utilisateur autorisés à accéder à ces données utilisateur. Pour plus d'informations, voir Sécurité des accès à la base de données.

Fichiers sécurisés WebSphere Application Server

Lorsque vous activez la sécurité WebSphere Application Server, le profil et le mot de passe de l'utilisateur du serveur sont placés dans les fichiers de configuration du serveur ; l'accès à ces fichiers doit être sécurisé à l'aide du système de sécurité du système d'exploitation. Vous avez par ailleurs la possibilité de protéger par mot de passe certaines ressources WebSphere Application Server. Les mots de passe en question sont également placés dans les fichiers de configuration du serveur. Le serveur code automatiquement les mots de passe en vue de décourager les simples observateurs, mais le codage des mots de passe à lui seul ne constitue pas une protection suffisante.

Les fichiers suivants sont situés dans le sous-répertoire /config de votre profil et peuvent contenir des mots de passe et des identifiants utilisateur :
  • cells/nom_cellule/security.xml
  • cells/nom_cellule/nodes/nom_noeud/resources.xml
  • cells/nom_cellule/nodes/nom_noeud/servers/nom_serveur/server.xml
Par exemple, d'après le profil par défaut, le nom_serveur est server1.
Le profil et le mot de passe de l'utilisateur du serveur sont utilisés pour l'authentification du serveur lors de son démarrage. Cette authentification est obligatoire pour les raisons suivantes :
  • L'ID et le mot de passe de l'utilisateur sont utilisés auprès du serveur comme identité du système lorsqu'une sécurité de bean enterprise est déployée de façon à employer SYSTEM_IDENTITY comme délégation de méthode. Dans ce cas, l'ID et le mot de passe de l'utilisateur sont utilisés lorsque des appels de méthode sont passés d'un bean enterprise à un autre.
  • L'ID et le mot de passe de l'utilisateur sont requis pour authentifier les serveurs au sein d'une communication inter-serveurs. Etant donné que la sécurité de ces fichiers peut être compromise, utilisez, pour le mot de passe et l'identité serveur, un profil utilisateur qui n'est pas celui par défaut. Le profil utilisateur par défaut est QEJBSVR. Si vous utilisez le registre d'utilisateurs du système d'exploitation local, il est conseillé de créer et d'utiliser un profil utilisateur qui ne dispose d'aucun droit d'accès particulier. Pour plus d'informations, voir Utilisation des serveurs d'applications sous des profils utilisateur particuliers.

Profils utilisateur sécurisés de WebSphere Application Server

Lorsque vous installez WebSphere Application Server pour la première fois, celui-ci utilise par défaut les profils utilisateur suivants :
QEJB
Ce profil donne accès à certaines données d'administration, telles que les mots de passe.
QEJBSVR
Ce profil fournit le contexte dans lequel WebSphere Application Server est exécuté. Pour des raisons de sécurité ou d'administration, il est conseillé de créer d'autres profils utilisateur sous lesquels il vous sera possible d'exécuter certaines fonctionnalités de WebSphere Application Server. Pour plus d'informations, voir la rubrique Exécution des serveurs d'applications sous des profils utilisateur particuliers.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_secisobj
Nom du fichier : rsec_secisobj.html