Configuration de l'authentification administrative

Un mécanisme d'authentification définit des règles concernant les informations de sécurité, qui indiquent par exemple si des justificatifs peuvent être transmis à un autre processus Java™, ainsi que le format de stockage des informations de sécurité dans les justificatifs et les jetons.

Avant de commencer

Le mécanisme d'authentification de jeton RSA (Rivest Shamir Adleman) simplifie l'environnement de sécurité pour la topologie de gestion flexible, c'est-à-dire la topologie dans laquelle vous pouvez soumettre et gérer localement ou à distance les travaux d'administration via un gestionnaire de travaux qui gère les applications, effectue la maintenance du produit, modifie des configurations et contrôle l'exécution du serveur d'application. La console d'administration permet de configurer l'authentification administrative en configurant le mécanisme d'authentification RSA (Rivest Shamir Adleman) par jeton.

Eviter les incidents Eviter les incidents: Administrative authentication is set to RSA by default for servers running in a Base environment, and LTPA for servers running in a Network Deployment environment. gotcha

Les descriptions suivantes du magasin de clés, du fichier de clés certifiées et du magasin racine vous donnent une idée du lieu de stockage des certificats et de la manière dont la sécurité est configurée entre les processus.

La propriété NodeRSATokenKeyStore contient le jeton RSA (Rivest Shamir Adleman) utilisé pour ce processus. La clé publique/privée de ce certificat est utilisée pour créer des jetons RSA, mais la clé publique est également utilisée par d'autres processus pour créer des jetons. Le certificat personnel RSA est signé par un certificat racine RSA.

La propriété NodeRSATokenTrustStore contient tous les certificats de signataires RSA d'autres processus habilités pour envoyer des jetons RSA à ce processus. Les signataires de ce fichier de clés certifiées y sont placés automatiquement pendant le processus d'enregistrement. Toutefois, cette tâche permet à un administrateur de configurer l'habilitation entre des processus généralement non impliqués dans le même domaine administratif. Dans certains cas, il peut être nécessaire que deux serveurs de base communiquent de façon administrative. Lorsque le mécanisme d'authentification RSA est utilisé, les serveurs de base doivent partager des signataires RSA si les communications administratives fonctionnent dans les deux sens.

La propriété NodeRSATokenRootStore contient le certificat personnel racine utilisé pour créer de nouveaux certificats personnels RSA. N'utilisez pas le certificat racine pour créer des jetons RSA car cela pourrait compromettre les clés à durée de vie longue. N'utilisez le certificat racine que pour signer d'autres certificats.

Ces magasins de clés ne nécessitent aucune étape manuelle, ce qui permet de mettre en place une habilitation individuelle entre des processus se trouvant dans des domaines administratifs distincts. Vous pouvez également remplacer le certificat personnel RSA par un certificat personnel obtenu auprès d'une autorité de certification si vous le souhaitez. Dans ce cas, assurez-vous que le certificat racine de l'autorité de certification est placé dans tous les fichiers de clés certifiées du même domaine administratif.

Procédure

  1. Cliquez sur Sécurité > Certificat SSL et gestion des clés.
  2. Sous Articles liés, cliquez sur Magasins de clés et certificats.
  3. Sous Utilisations des magasins de clés, sélectionnez Fichiers de clés de jetons RSA.
  4. Sélectionnez le magasin de clés de jetons RSA que vous souhaitez administrer.
  5. Modifiez la description si nécessaire.
  6. Modifiez le chemin si nécessaire.
  7. Sélectionnez lecture seule, initialiser à la configuration ou les deux si nécessaire.
  8. Saisissez le mot de passe correct pour effectuer ces modifications
  9. Cliquez sur Valider et sur Sauvegarder.

Résultats

Vous avez configuré l'authentification administrative.

Que faire ensuite

Lorsque le processus est de niveau antérieur ou qu'aucun certificat RSA cible ne peut être obtenu, le mécanisme de rétromigration est le LTPA (Lightweight Third-Party Authentication), pris en charge par toutes les versions précédentes pour les communications administratives. La rétromigration est automatique. Si les clés LTPA ne sont pas partagées et qu'une rétromigration a lieu, LPTA échouera également. Toutefois, cette situation peu fréquente est généralement entraînée par le mécanisme RSA.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7config_admin_auth
Nom du fichier : tsec_7config_admin_auth.html