Configuration du mappage d'identités sortantes vers un domaine cible différent
Par défaut, lorsque WebSphere Application Server effectue une demande sortante d'un serveur vers un serveur d'un autre domaine de sécurité, la demande est rejetée. Cette rubrique détaille les solutions permettant à un serveur d'envoyer des demandes sortantes à un serveur cible d'un autre domaine.
Pourquoi et quand exécuter cette tâche
Procédure
- N'effectuez pas de mappage. A la place, autorisez la transmission des
informations de sécurité existantes au serveur cible sécurisé, même si ce dernier se
trouve dans un autre domaine. Procédez comme suit dans la console d'administration :
- Cliquez sur Sécurité > Sécurité globale.
- Sous Sécurité RMI/IIOP, cliquez sur Authentification des communications sortantes CSIv2.
- Indiquez les domaines cibles dans la zone Domaines cible sécurisés Vous pouvez spécifier chaque domaine cible sécurisé en les séparant par le signe (|). Par exemple, indiquez nom_serveur.domaine:numéro_port pour un serveur LDAP (Lightweight Directory Access Protocol) ou le nom de machine pour un système d'exploitation local. Si vous souhaitez propager les attributs de sécurité à un autre domaine cible, indiquez ce domaine dans la zone Domaines cible sécurisés.
- Utilisez la configuration de connexion d'application WSLogin JAAS
(Java™
Authentication and Authorization Service) pour créer un sujet d'authentification de base
contenant les accréditations du nouveau domaine cible. Cette configuration permet de se connecter avec un domaine, un ID utilisateur et un mot de passe spécifiques au registre d'utilisateurs du domaine cible. Vous pouvez fournir les informations de connexion à partir de
l'application Java EE (Java Platform, Enterprise Edition) qui effectue la demande
sortante ou à partir de la configuration de connexion système RMI_OUTBOUND.
Ces deux options de connexion sont décrites dans les informations ci-après.
- Utilisez la configuration de connexion d'application WSLogin à partir de l'application Java EE pour la connexion et l'obtention d'un sujet contenant l'ID utilisateur et le mot de passe du domaine cible. L'application peut encapsuler l'appel distant avec un appel WSSubject.doAs. Pour obtenir un exemple, voir Exemple : Utilisation de la configuration WSLogin pour créer un sujet d'authentification de base.
- Utilisez l'exemple de code fourni dans Exemple : Utilisation de la configuration WSLogin pour créer un sujet d'authentification de base à partir de ce point de plug-in
dans la configuration de connexion RMI_OUTBOUND. Chaque demande RMI (Remote
Method Invocation) sortante passe par cette configuration de connexion lorsqu'elle est activée. Suivez la procédure ci-après pour activer et ajouter cette configuration de connexion.
- Cliquez sur Sécurité > Sécurité globale.
- Sous Sécurité RMI/IIOP, cliquez sur Authentification des communications sortantes CSIv2.
- Sélectionnez l'option Mappage sortant personnalisé. Si l'option Propagation des attributs de sécurité est sélectionnée, WebSphere Application Server utilise déjà cette configuration de connexion et il n'est pas nécessaire d'activer le mappage sortant personnalisé.
- Développez un module de connexion personnalisé. Pour plus d'informations, voir
Développement de modules de connexion personnalisés pour une configuration de connexion système pour JAAS.
La section Exemple : Exemple de configuration de connexion pour RMI_OUTBOUND décrit un module de connexion personnalisé qui détermine si les noms de domaines correspondent. Dans cet exemple, les noms de domaine ne correspondent pas les uns aux autres. Le module WSLoginmodule est donc utilisé pour créer un sujet d'authentification standard fondé sur des règles de mappage personnalisées. Les règles de mappage personnalisées sont propres à l'environnement du client et doivent être implémentées à l'aide d'un utilitaire de mappage "domaine vers ID utilisateur et mot de passe".
- Configurez la configuration de connexion RMI_OUTBOUND de manière que votre nouveau module de connexion personnalisé soit le premier de la liste.
- Cliquez sur Sécurité > Sécurité globale.
- Sous Service JAAS (Java Authentication and Authorization Service), cliquez sur Connexions système > RMI_OUTBOUND
- Dans Propriétés supplémentaires, sélectionnez Modules de connexion JAAS > Nouveau pour ajouter votre module de connexion à la configuration RMI_OUTBOUND.
- Revenez au panneau des modules de connexion JAAS de RMI_OUTBOUND.
- Cliquez sur Définir l'ordre pour modifier l'ordre de chargement des modules de connexion afin que votre connexion personnalisée soit chargée en premier
- Ajoutez les options use_realm_callback et use_appcontext_callback au module de mappage sortant pour WSLogin. Pour ajouter ces options, effectuez les opérations ci-dessous.
- Cliquez sur Sécurité > Sécurité globale.
- Sous Service JAAS (Java Authentication and Authorization Service), cliquez sur Connexions d'application > WSLogin.
- Sous Propriétés supplémentaires, sélectionnez Modules de connexion JAAS > com.ibm.ws.security.common.auth.module.WSLoginModuleImpl.
- Dans Propriétés supplémentaires, cliquez sur Propriétés personnalisées > Nouveau.
- Dans le panneau Propriétés personnalisées, entrez use_realm_callback dans la zone Nom et true dans la zone Valeur.
- Cliquez sur OK.
- Cliquez sur Nouveau pour entrer la deuxième propriété personnalisée.
- Dans le panneau Propriétés personnalisées, entrez use_appcontext_callback dans la zone Nom et true dans la zone Valeur.
<entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin"> <loginModules xmi:id="JAASLoginModule_2" moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" authenticationStrategy="REQUIRED"> <options xmi:id="Property_2" name="delegate" value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/> <options xmi:id="Property_3" name="use_realm_callback" value="true"/> <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/> </loginModules> </entries>
Sous-rubriques
Exemple : Utilisation de la configuration WSLogin pour créer un sujet d'authentification de base
Cet exemple décrit comment utiliser la configuration de connexion d'application WSLogin à partir d'une application Java 2 Platform, Enterprise Edition (J2EE) pour se connecter et obtenir un sujet contenant l'ID utilisateur et le mot de passe du domaine cible.Exemple : Exemple de configuration de connexion pour RMI_OUTBOUND
Cet exemple décrit une configuration de connexion pour RMI_OUTBOUND qui permet de déterminer si les noms de domaine sont identiques entre deux serveurs.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_outbdiffrealm
Nom du fichier : tsec_outbdiffrealm.html