Sécurisation de l'interface de planificateur externe lors de l'utilisation de la messagerie par défaut

La sécurisation de l'interface de planificateur externe nécessite de sécuriser l'application système JobSchedulerMDI et les ressources JMS qu'elle utilise.

Pourquoi et quand exécuter cette tâche

Le diagramme suivant montre les actions requises et les artefacts environnementaux auxquels elles s'appliquent. Les étapes illustrées dans le diagramme sont celles de la procédure.

Etapes de sécurisation de l'interface pilotée par messages du planificateur de travaux.

Les étapes suivantes montrent comment sécuriser l'interface de planificateur externe :

Procédure

  1. Activez la sécurité pour le bus de planificateur de travaux dans la console d'administration.
    1. Sélectionnez nom_bus > Sécurité de bus > nom_bus.
    2. Cochez la case Activer la sécurité du bus.
    3. Cliquez sur OK, puis sur Sauvegarder dans la configuration.
  2. Définissez un alias JAAS.

    La spécification d'activation JMS pour l'application JobSchedulerMDI nécessite un alias JAAS. L'ID utilisateur et le mot de passe définis pour cet alias représentent l'accès à la file d'attente JSM entrante du planificateur de travaux, com.ibm.ws.grid.InputQueue. L'alias JAAS est également utilisé à l'aide d'un programme par l'application JobSchedulerMDI pour l'authentification auprès de la file sortante qui est utilisée par le planificateur de travaux pour communiquer avec ses clients. La file sortante est com.ibm.ws.grid.OutputQueue. Définissez l'alias JAAS dans la console d'administration :

    1. Sélectionnez Sécurité > Sécurité globale > Service JAAS (Java Authentication and Authorization Service) > Données d'authentification J2C > Nouvelles.
    2. Définissez l'alias JAAS.

      Donnez à cet alias le nom de votre choix. Spécifier un ID utilisateur et un mot de passe permettant l'accès à la file d'attente JMS entrante du planificateur de travaux , com.ibm.ws.grid.InputQueue, et activant l'authentification auprès de la file d'attente sortante, com.ibm.ws.grid.OutputQueue.

    3. Cliquez sur OK, puis sur Sauvegarder pour sauvegarder la configuration.
    4. Affectez l'alias JAAS à la spécification d'activation com.ibm.ws.grid.ActivationSpec.
  3. Définissez un alias d'authentification inter-moteurs.
    1. Sélectionnez Intégration de service > Bus > bus_name.
    2. Dans la liste d'alias d'authentification inter-moteurs, sélectionnez l'alias JAAS que vous avez défini à l'étape précédente.
    3. Cliquez sur OK, puis sur Sauvegarder dans la configuration.
  4. Définissez un alias d'authentification gérée par conteneur.
    1. Sélectionnez Ressources > Adaptateurs de ressources > Fabriques de connexions J2C > com.ibm.ws.grid.ConnectionFactory.
    2. Dans la liste d'alias d'authentification gérée par conteneur, sélectionnez l'alias JAAS que vous avez défini à l'étape précédente.
    3. Cliquez sur OK, puis sur Sauvegarder dans la configuration.
  5. Affectez des rôles.

    Des rôles doivent être affectés pour autoriser l'accès au bus et à ses destinations d'entrée et de sortie. Ces affectations de rôle peuvent être effectuées dans la console d'administration : Sécurité > Sécurité du bus > nom_bus > Désactivé > Utilisateurs et groupes du rôle de connecteur du bus.

    Vous pouvez également affecter des rôles à l'aide d'une des commandes wsadmin suivantes :

    • $AdminTask addUserToBusConnectorRole {-bus busName -user username}
    • $AdminTask addGroupToBusConnectorRole {-bus nomBus –group nomGroupe}

    Effectuez les affectations de rôles suivantes :

    1. JobSchedulerBus Affectez le rôle de connecteur de bus aux ID utilisateur suivants :
      • com.ibm.ws.grid.ActivationSpec, pour permettre au planificateur de travaux d'accéder au bus.
      • Chaque identité utilisée par WSGrid pour authentifier l'accès client à la file d'attente d'entrée (voir l'étape 4). L'auteur de l'appel à WSGrid dispose alors des droits nécessaires pour accéder au bus.
    2. Autorisez l'accès à la destination com.ibm.ws.grid.InputQueue.

      Autorisez l'accès à cette destination en affectant les rôles d'expéditeur, de récepteur et d'explorateur aux mêmes ID utilisateur. Ces ID sont les mêmes que ceux auxquels vous avez affecté le rôle de connecteur de bus à l'étape précédente. Vous pouvez autoriser l'accès uniquement au moyen de commandes wsadmin :

      • Dans Jacl :
        $AdminTask addUserToDestinationRole {-type queue –bus JobSchedulerBus 
          -destination com.ibm.ws.grid.InputQueue -role Sender -user userName}
        or
        $AdminTask addGroupToDestinationRole {-type queue –bus JobSchedulerBus
          -destination com.ibm.ws.grid.InputQueue -role Sender –group groupName}
      • Dans Jython :
         AdminTask.setInheritDefaultsForDestination('-bus WSS.JobScheduler.Bus -type queue
          -destination com.ibm.ws.grid.InputQueue -inherit false')

      Répétez cette opération pour les rôles de récepteur et de navigateur.

    3. com.ibm.ws.grid.OutputQueue

      Autorisez l'accès à cette destination en affectant les mêmes rôles à la destination com.ibm.ws.grid.OutputQueue que ceux qui ont affectés pour com.ibm.ws.grid.InputQueue à l'étape précédente.

  6. Authentifiez l'accès client à la file d'entrée.
    1. Spécifiez les propriétés d'ID utilisateur et de mot de passe dans le fichier de propriétés de contrôle d'entrée de l'utilitaire WSGrid.
      submitter-userid=username
      submitter-password=password
    2. Facultatif : Codez le mot de passe à l'aide de l'utilitaire WebSphere PropFilePasswordEncoder.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tgrid_cgexsched
Nom du fichier : tgrid_cgexsched.html