Paramètres de sécurité globale
Utilisez cette page pour configurer l'administration et la stratégie de sécurité par défaut. Cette configuration des paramètres de sécurité s'applique à la stratégie de sécurité de toutes les fonctions d'administration, et est utilisée comme stratégie de sécurité par défaut pour les applications d'utilisateur. Les domaines de sécurité peuvent être définis pour remplacer et personnaliser les stratégies de sécurité des applications d'utilisateur.
Pour afficher cette page de la console d'administration, cliquez sur
.La sécurité a une incidence sur les performances de vos applications. Ces incidences peuvent varier en fonction des caractéristiques de charge de travail de l'application. Vous devez d'abord vérifier que le niveau de sécurité nécessaire est activé pour vos applications, puis évaluer l'impact de la sécurité sur les performances de ces dernières.
Une fois la sécurité configurée, validez toutes les modifications apportées aux pages du registre d'utilisateurs ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. Une tentative d'authentification de l'ID serveur ou de validation de l'ID administrateur (si internalServerID est utilisé) dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité administrative peut éviter des incidents lors du prochaine redémarrage du serveur.
Assistant de configuration de sécurité
Lance un assistant qui permet de configurer les paramètres de base de sécurité d'administration et des applications. Ce processus limite les tâches d'administration et les applications aux utilisateurs autorisés.
L'assistant permet de configurer la sécurité des applications, des ressources, de Java™ 2 Connector (J2C) et d'un registre d'utilisateurs. Vous pouvez configurer un registre existant et activer la sécurité d'administration, des applications et des ressources.
Lorsque vous validez les modifications apportées au moyen de l'assistant de configuration de sécurité, la sécurité d'administration est par défaut activée.
Rapport de configuration des paramètres de sécurité
Génère un rapport qui collecte et affiche les paramètres de sécurité en cours du serveur d'applications. Les informations sont collectée sur les principaux paramètres de sécurité, les utilisateurs et les groupes d'administration, les rôles de désignation et la protection des cookies. Lorsque plusieurs domaines de sécurité sont configurés, le rapport affiche la configuration de sécurité associée à chaque domaine.
Actuellement le rapport n'affiche pas les informations concernant la sécurité au niveau de l'application. Ce rapport n'affiche pas non plus d'informations concernant la sécurité au niveau Java Message Service (JMS), la sécurité du bus ou Web Services Security.
Activer la sécurité d'administration
Active la sécurité administrative de ce domaine de serveur d'applications. Le sécurité d'administration requiert que les utilisateurs s'authentifient pour obtenir le contrôle administratif du serveur d'applications.
Pour plus d'informations, consultez les liens relatifs aux rôles d'administration et à l'authentification administrative.
Lors de l'activation de la sécurité, définissez la configuration du mécanisme d'authentification et indiquez un ID utilisateur (ou un ID administrateur valide lorsque la fonction internalServerID est utilisée) et un mot de passe valides dans la configuration du registre d'utilisateurs sélectionnée.
- Cliquez sur .
- Sous Référentiel du compte utilisateur, sélectionnez le référentiel et cliquez sur Configurer.
Indiquez l'ID serveur et le mot de passe dans la section d'ID et de mot de passe serveur.
Vous ne pouvez spécifier l'option de tâche démarrée par
z/OS que lorsque le registre d'utilisateurs est le
système d'exploitation local.
En cas de problème, par exemple, si le serveur ne démarre pas après l'activation de la sécurité dans le domaine de sécurité, synchronisez à nouveau tous les fichiers de cette cellule par rapport à ce noeud. Pour synchroniser à nouveau les fichiers, exécutez la commande suivante à partir du noeud : syncNode -username id_utilisateur -password mot_de_passe. Ainsi, vous vous connectez au gestionnaire de déploiement et synchronisez à nouveau l'ensemble des fichiers.
Si votre serveur ne redémarre pas une fois que vous avez activé la sécurité administrative, vous pouvez désactiver la sécurité. Accédez au répertoire racine_serveur_app/bin
et exécutez la commande wsadmin -conntype NONE. A l'invite wsadmin>>,
entrez securityoff, puis exit pour revenir à l'invite de commande. Redémarrez le serveur en désactivant la sécurité afin de
vérifier les paramètres incorrects dans la console d'administration.
Utilisateurs du registre du système d'exploitation
: Lorsque vous choisissez le registre Système d'exploitation local en tant que
registre d'utilisateurs actif, il n'est pas nécessaire
d'indiquer de mot de passe dans la configuration du registre d'utilisateurs.
Information | valeur |
---|---|
Valeur par défaut | Activé |
Activer la sécurité d'application
Active la sécurité pour les applications de votre environnement. Ce type de sécurité garantit l'isolement des applications et fournit les éléments nécessaires pour l'authentification des utilisateurs de l'application.
Dans les éditions précédentes de WebSphere Application Server, la sécurité administrative et d'application étaient activées automatiquement lors de l'activation de la sécurité globale. Dans WebSphere Application Server version 6.1, la notion de sécurité globale inclut deux éléments distincts, la sécurité administrative et la sécurité d'application, qui peuvent être activés séparément.
Les clients WebSphere Application Server doivent désormais déterminer si la sécurité d'application est désactivée sur le serveur cible. Par défaut, la sécurité d'administration est activée. Par défaut, la sécurité d'application est désactivée. Pour activer la sécurité applicative, vous devez activer la sécurité administrative. La sécurité d'application est effective uniquement lorsque la sécurité administrative est activée.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales
Indique s'il faut activer ou désactiver le contrôle des droits de la sécurité Java 2. Par défaut, l'accès aux ressources locales n'est pas limité. Vous pouvez désactiver la sécurité Java 2 même lorsque la sécurité d'application est activée.
Lorsque l'option Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, l'exécution de l'application peut ne pas aboutir tant que les droits requis ne sont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui ne disposent pas de tous les droits requis. Consultez les liens relatifs pour plus d'informations sur la sécurité Java 2.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Prévenir si des applications reçoivent des permissions personnalisées
Indique que l'exécution émet un avertissement, lors du déploiement de l'application et au lancement de celle-ci, si des applications se sont vues octroyer des autorisations personnalisées. Les droits d'accès personnalisés sont des droits définis par les applications utilisateur et non pas des droits d'accès à l'API Java. Les droits d'accès à l'API Java sont des droits définis dans les packages java.* et javax.*.
Le serveur d'applications fournit le support de gestion du fichier de règles. Un certain nombre de fichiers de règles sont disponibles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune base de code n'est définie et aucune base de code associée n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste de droits que vous ne souhaitez pas accorder à une application donnée, conformément à la spécification J2EE 1.4. Pour plus d'informations concernant les autorisations, consultez les liens relatifs aux fichiers de règles J2S (Java 2 Security.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Limiter l'accès aux données d'authentification des ressources
Activez cette option pour limiter l'accès de l'application aux données sensibles d'authentification de mappage JCA (Java Connector Architecture).
- La sécurité Java 2 est activée.
- Le code de l'application reçoit les droits accessRuntimeClasses
WebSphereRuntimePermission
dans le fichier was.policy qui se trouve dans le fichier EAR (Enterprise
Archive) de l'application. Par exemple, l'autorisation est accordée au code de l'application lorsque la ligne ci-dessous figure dans le fichier was.policy :
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
L'option Limiter l'accès aux données d'identification des ressources ajoute une vérification d'autorisation Java 2 security à granularité fine au mappage principal par défaut de l'implémentation WSPrincipalMappingLoginModule. Vous devez accorder explicitement l'autorisation aux applications J2EE (Java 2 Platform, Enterprise Edition) d'utiliser l'implémentation WSPrincipalMappingLoginModule directement pour la connexion JAAS (Java Authentication and Authorization Service) lorsque les options Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales et Limiter l'accès aux données d'identification des ressources sont activées.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Définition du domaine en cours
Indique le paramètre en cours pour le référentiel d'utilisateurs actif.
Cette zone est en lecture seule.
Définitions des domaines disponibles
Indique les référentiels de comptes utilisateur disponibles.
- Système d'exploitation local
- Registre LDAP autonome
- Registre personnalisé autonome
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Définir comme actuel
Active le référentiel d'utilisateurs après qu'il a été configuré.
- Référentiels fédérés
- Indiquez ce paramètre pour gérer les profils dans plusieurs référentiels sous un seul domaine. Le domaine peut se composer d'identités dans :
- le référentiel basé sur fichiers qui est intégré au système,
- un ou plusieurs référentiels externes,
- à la fois le référentiel intégré, basé sur fichiers et un ou plusieurs référentiels externes.
Remarque : Pour afficher la configuration des référentiels fédérés, l'utilisateur doit disposer des droits d'administrateur. - Système d'exploitation local
Définissez ce paramètre si vous souhaitez que le serveur de sécurité configuré (RACF) (Resource Access Control Facility) ou compatible SAF (System Authorization Facility) soit utilisé comme registre d'utilisateurs du serveur d'applications.
Vous ne pouvez pas utiliser Système d'exploitation local dans un environnement multi-noeuds ou lors de l'exécution d'un utilisateur autre que le superutilisateur sur une plateforme UNIX.
Le registre d'utilisateurs du système d'exploitation local n'est valide que lorsque vous utilisez un contrôleur de domaine ou que la cellule de WebSphere Application Server, Network Deployment se trouve sur une machine unique. Dans ce dernier cas, vous ne pouvez pas répartir plusieurs noeuds d'une cellule sur plusieurs machines car cette configuration, qui utilise le registre d'utilisateurs de système d'exploitation local, n'est pas valide.
- Registre LDAP autonome
Spécifiez ce paramètre pour utiliser les paramètres de registre LDAP autonome lorsque les utilisateurs et les groupes se trouvent dans un répertoire LDAP externe. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez à la page Valider ou sur OK pour valider les modifications.
et cliquez surRemarque : De multiples serveurs LDAP étant pris en charge, ce paramètre peut concerner plusieurs registres LDAP.- Registre personnalisé autonome
- Spécifiez ce paramètre pour mettre en oeuvre votre propre registre personnalisé autonome qui implémente l'interface com.ibm.websphere.security.UserRegistry. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez à la page Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.
Information | valeur |
---|---|
Valeur par défaut | Désactivée |
Configurer...
Cette option permet de configurer les paramètres de sécurité globale.
Sécurité Web et SIP
Sous Authentification, développez Sécurité Web et SIP pour afficher les liens vers :
- Paramètres généraux
- Connexion unique (SSO)
- Authentification Web SPNEGO
- Relation de confiance
Paramètres généraux
Sélectionnez cette option pour indiquer les paramètres de l'authentification Web.
Connexion unique (SSO)
Sélectionnez cette option pour indiquer les valeurs de configuration de la connexion unique (SSO).
Le support SSO permet aux utilisateurs Web de s'authentifier lors de l'accès aux ressources WebSphere Application Server, telles que les fichiers HTML, JSP, les servlets, les beans enterprise et aux ressources Lotus Domino.
Authentification Web SPNEGO
Le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fournit un moyen aux clients et au serveur Web de négocier le protocole d'authentification Web qui est utilisé afin d'autoriser les communications.
Relation de confiance
Sélectionnez cette option pour indiquer les paramètres de la relation de confiance. La relation de confiance permet de connecter des serveurs proxy inverses aux serveurs d'applications.
Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.
Sécurité RMI/IIOP
Sous Authentification, développez Sécurité RMI/IIOP pour afficher les liens vers :
- Communications entrantes CSIv2
- Communications sortantes CSIv2
Communications entrantes CSIv2
Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont reçues, et des paramètres de transport des connexions qui sont acceptées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).
- Couche d'attributs CSIv2. La couche d'attributs peut contenir un jeton d'identité, qui est une identité provenant d'un serveur en amont déjà authentifié. La couche de vérification d'identité possède la priorité la plus élevée, suivie de la couche de messages, puis enfin, de la couche de transport. Si un client envoie les trois couches, seule celle d'identité est employée. Le certificat client SSL peut uniquement être employé comme identité s'il s'agit de la seule information présentée lors de la demande. Le client extrait l'IOR (Interoperable Object Reference) de l'espace de noms et lit les valeurs du composant référencé pour déterminer ce dont le serveur a besoin en matière de sécurité.
- Couche de transport CSIv2. La couche de transport, couche inférieure, peut contenir un certificat client SSL (Secure Sockets Layer) comme identité.
Couche de messages CSIv2. La couche de messages peut contenir un ID utilisateur et un mot de passe ou un jeton d'authentification avec délai d'expiration.
Communications sortantes CSIv2
Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont envoyées, et des paramètres de transport des connexions qui sont initiées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).
- Couche d'attributs CSIv2. La couche d'attributs peut contenir un jeton d'identité, qui est une identité provenant d'un serveur en amont déjà authentifié. La couche de vérification d'identité possède la priorité la plus élevée, suivie de la couche de messages, puis enfin, de la couche de transport. Si un client envoie les trois couches, seule celle d'identité est employée. Le certificat client SSL peut uniquement être employé comme identité s'il s'agit de la seule information présentée lors de la demande. Le client extrait l'IOR (Interoperable Object Reference) de l'espace de noms et lit les valeurs du composant référencé pour déterminer ce dont le serveur a besoin en matière de sécurité.
- Couche de transport CSIv2. La couche de transport, couche inférieure, peut contenir un certificat client SSL (Secure Sockets Layer) comme identité.
Couche de messages CSIv2. La couche de messages peut contenir un ID utilisateur et un mot de passe ou un jeton d'authentification avec délai d'expiration.
JAAS (Java authentication and authorization Service)
Sous Authentification, développez Java Authentication and Authorization Service pour afficher les liens vers :
- Connexions d'application
- Connexions de système
- Données d'authentification J2C
Connexions d'application
Sélectionnez cette option pour définir les configurations de connexion qui sont utilisées par JAAS.
Ne supprimez pas les configurations de connexion ClientContainer, DefaultPrincipalMapping et WSLogin car d'autres applications peuvent les utiliser. Si ces configurations sont supprimées, d'autres applications peuvent échouer.
Connexions de système
Sélectionnez cette option pour définir les configurations de connexion JAAS qui sont utilisées par les ressources système, notamment le mécanisme d'authentification, le mappage principal et le mappage du justificatif.
Données d'authentification J2C
Sélectionnez cette option pour définir les paramètres des données d'authentification J2C (Java 2 Connector) de JAAS (Java Authentication and Authorization Service).
Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.
LTPA
Sélectionnez cette option pour chiffrer les informations d'authentification de sorte que le serveur d'applications puisse envoyer des données entre deux serveurs en toute sécurité.
Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme LTPA (Lightweight Third-Party Authentication).
Kerberos et LTPA
Sélectionnez cette option pour chiffrer les informations d'authentification de sorte que le serveur d'applications puisse envoyer des données entre deux serveurs en toute sécurité.
Configuration Kerberos
Permet de chiffrer les informations d'authentification afin que le serveur d'applications puisse envoyer des données d'un serveur à un autre en toute sécurité.
Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme KRB5 ou LTPA.
Paramètres de la mémoire cache d'authentification
Permet de configurer les paramètres de votre mémoire cache d'authentification.
Activer l'authentification Java SPI (JASPI)
Sélectionnez l'authentification JASPI (Java Authentication SPI) pour l'activer.
Vous pouvez ensuite cliquer sur Fournisseurs pour créer ou éditer un fournisseur d'authentification JASPI et des modules d'authentification associés dans la configuration des paramètres de la sécurité globale.
Utilisation des noms d'utilisateur complets du domaine
Spécifie que les noms d'utilisateur renvoyés par les méthodes (méthode getUserPrincipal, par exemple) sont qualifiés avec le domaine de sécurité dans lequel elles se trouvent.
Domaines de sécurité
Utilisez le lien Domaine de sécurité pour configurer d'autres configurations des paramètres de sécurité pour les applications d'utilisateur.
Par exemple, si vous voulez utiliser un autre registre d'utilisateurs pour un ensemble d'applications d'utilisateur autre que celle qui est utilisée au niveau global, vous pouvez créer une configuration des paramètres de sécurité avec ce registre d'utilisateurs, puis l'associer à cet ensemble d'applications. Ces configurations des paramètres de sécurité supplémentaires peuvent être associées aux différentes portées (cellule, clusters/serveurs, SIBuses). Une fois que les configurations des paramètres de sécurité ont été associées avec une portée de toutes les applications d'utilisateur de cette portée, utilisez cette configurations des paramètres de sécurité. Pour plus de détails, voir Domaines de sécurité multiples.
Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres du domaine pour chaque attribut de sécurité.
Fournisseurs d'autorisations externes
Sélectionnez cette option pour spécifier si vous devez utiliser la configuration d'autorisation par défaut ou un fournisseur d'autorisations externe.
Les fournisseurs externes doivent reposer sur la spécification JAAC (Java Authorization Contract for Containers) pour gérer l'autorisation Java EE (Java Platform, Enterprise Edition). Ne modifiez pas les paramètres dans les pages du fournisseur d'autorisations sauf si vous avez configuré un fournisseur de sécurité externe comme fournisseur d'autorisations JACC.
Propriétés personnalisées.
Sélectionnez cette option pour spécifier les paires de données nom-valeur, où le nom est une clé de propriété et la valeur est une chaîne.