Propagation des règles JACC

Lorsqu'une application est installée ou déployée sur WebSphere Application Server, les informations relatives aux règles de sécurité de l'application sont transmises au fournisseur lorsque la configuration est sauvegardée. L'ID contexte de l'application est sauvegardé dans le fichier application.xml associé, qui est utilisé pour transmettre les règles au fournisseur JACC (Java™ Authorization Contract for Containers) et pour autoriser ou refuser l'accès aux ressources Java EE (Java 2 Platform, Enterprise Edition).

Remarque : Cette rubrique fait référence à un ou plusieurs des fichiers journaux de serveur d'applications. Il est recommandé de configurer le serveur de telle sorte qu'il utilise l'infrastructure de journalisation et de trace HPEL (High Performance Extensible Logging) à la place des fichiers SystemOut.log, SystemErr.log, trace.log et activity.log sur les systèmes distribués et IBM® i. Vous pouvez également utiliser HPEL conjointement avec vos fonctions de journalisation z/OS natives. Si vous utilisez l'infrastructure HPEL, vous pouvez accéder à toutes les informations de journalisation et de trace en utilisant l'outil de ligne de commande LogViewer à partir de votre répertoire bin de profil de serveur. Pour plus d'informations sur l'utilisation de HPEL, voir les informations sur l'utilisation de HPEL en vue du traitement des incidents liés aux applications.

Lorsqu'une application est désinstallée, les informations relatives aux règles de sécurité de l'application sont supprimées du fournisseur lorsque la configuration est sauvegardée.

Si le fournisseur implémente l'interface RoleConfiguration, les informations relatives aux règles de sécurité transmises au fournisseur de règles contiennent également les informations de la table d'autorisations. Pour plus d'informations sur cette interface, voir Interfaces utilisées pour prendre en charge JACC.

Si une application ne contient pas d'informations relatives aux règles de sécurité, les objets PolicyConfiguration (et RoleConfiguration, si elle est implémentée) ne contiennent pas de données. L'existence d'objets PolicyConfiguration et RoleConfiguration vides indique que les informations relatives aux règles de sécurité du module n'existent pas.

Une fois l'application installée, vous pouvez la mettre à jour sans avoir à la désinstaller et à la réinstaller. Par exemple, un nouveau module peut être ajouté à une application existante ou un module existant peut être modifié. Dans cet exemple, les informations des modules concernés sont transmises au fournisseur par défaut. Un module est concerné lorsque ses annotations ou son descripteur de déploiement sont modifiés au cours de la mise à jour. Si le fournisseur prend en charge les interfaces RoleConfiguration, la table d'autorisations de cette application est intégralement transmise au fournisseur.

Si les informations de sécurité ne doivent pas être transmises au fournisseur lors des mises à jour de l'application, vous pouvez associer la propriété de la machine virtuelle Java com.ibm.websphere.security.jacc.propagateonappupdate à la valeur false dans le gestionnaire de déploiement pour Network Deployment ou sur le serveur d'applications de base non géré. Si cette propriété est associée à la valeur false, les mises à jour apportées à une application existante sur le serveur ne sont pas transmises au fournisseur. Vous pouvez également définir cette propriété pour chaque application en utilisant les propriétés personnalisées d'une application. L'outil wsadmin peut être utilisé pour définir la propriété personnalisée d'une application. Si cette propriété est définie au niveau de l'application, les mises à jour apportées à cette application ne sont pas transmises au fournisseur. Si la mise à jour à une application est une mise à jour complète, par exemple, un nouveau fichier EAR est utilisé pour remplacer le fichier existant et le fournisseur est actualisé avec la totalité des informations de règles de sécurité de l'application.

Lorsqu'une application est installée et sauvegardée, les informations relatives aux règles de sécurité de l'application sont mises à jour dans le fournisseur à partir du gestionnaire de déploiement. L'application n'est toutefois pas transmise à ses noeuds respectifs tant que la commande de synchronisation n'est pas exécutée. Par ailleurs, lorsqu'une application est désinstallée et sauvegardée au niveau du gestionnaire de déploiement, les règles de cette application sont supprimées du fournisseur JACC.

Toutefois, si la commande de synchronisation n'est pas entrée ni exécutée à partir du gestionnaire de déploiement sur les noeuds hébergeant l'application, les applications continuent à s'exécuter sur leurs noeuds respectifs. Dans cet exemple, l'accès à cette application doit être refusé car le fournisseur JACC ne contient pas les informations requises pour prendre des décisions relatives aux accès de cette application. Toute mise à jour apportée à une application déjà installée comme indiqué ci-dessus est également transmise au fournisseur à partir du gestionnaire de déploiement. Tant que la synchronisation n'est pas effectuée, les modifications du fournisseur ne sont pas synchronisées avec les applications des noeuds.

Comme mentionné précédemment, les informations sur les règles de sécurité sont propagées vers le fournisseur JACC lors de l'opération de sauvegarde. Le fichier SystemOut.log indique la réussite ou l'échec de la propagation au fournisseur. Vérifiez le fichier journal une fois l'installation terminée pour vous assurer que la propagation s'est correctement déroulée. Si des incidents se sont produits lors de la propagation, accédez à l'application ayant échoué alors que Tivoli Access Manager était utilisé comme fournisseur JACC.

Si les informations sur les règles de sécurité de l'application sont correctement propagées vers le fournisseur, les instructions d'audit apparaissent avec la clé de message SECJ0415I. Cependant, s'il y a eu un incident lors de la propagation des informations de règles de sécurité au fournisseur (par exemple : problèmes réseau, fournisseur JACC indisponible), les fichiers SystemOut.log contiennent le message d'erreur avec la clé de message SECJ0396E s'il s'agit d'une installation ou SECJ0398E s'il s'agit d'une modification. L'installation de l'application n'est pas arrêtée lorsque les règles de sécurité ne peuvent pas être propagées vers le fournisseur JACC. En outre, en cas d'échec, aucun message d'erreur ou d'exception n'apparaît lors de l'opération de sauvegarde. Lorsque l'incident causant cet échec est résolu, exécutez l'outil propagatePolicyToJaccProvider pour propager les informations de règles de sécurité au fournisseur sans réinstaller l'application. Pour plus d'informations, voir Transmission des règles de sécurité des applications installées à un fournisseur JACC à l'aide de wsadmin.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_jaccpolicyprop
Nom du fichier : rsec_jaccpolicyprop.html