Droits d'accès au fichier filter.policy
La sécurité Java™ 2 utilise plusieurs fichiers de règles pour déterminer les droits accordés à chaque programme Java. Le filtrage des stratégies Java 2 Security n'est appliqué que si Java 2 Security est activé.
Reportez-vous à Protection des ressources système et des API (sécurité Java 2) pour le développement des applications. La stratégie de filtrage définie dans le fichier filter.policy s'applique à toute la cellule. Le fichier filter.policy est le seul fichier de règles utilisé pour restreindre les droits au lieu de les accorder. Les droits répertoriés dans le fichier de règles de filtre sont filtrés depuis le fichier app.policy et le fichier was.policy. Les droits d'accès définis dans d'autres fichiers de règles ne sont pas affectés par le fichier filter.policy.
Lorsqu'un droit est éliminé, un message de suivi est consigné. Toutefois, si les droits définis dans les fichiers app.policy et was.policy sont composés, tels que java.security.AllPermission par exemple, ils ne sont pas supprimés. Un message d'avertissement est consigné. Si l'indicateur Emettre un avertissement de droit d'accès est activé (par défaut) et si les fichiers app.policy et was.policy contiennent des droits personnalisés (droit API non Java, nom du package de droits commençant par des caractères autres que java et javax), un message d'avertissement est consigné et les droits ne sont pas supprimés. Vous pouvez modifier la valeur de l'option Avertir si des droits d'accès personnalisés sont accordés aux applications sur le panneau Sécurité globale. Il n'est pas recommandé d'utiliser AllPermission pour l'application d'entreprise.
Certaines autorisations par défaut sont définies dans le fichier filter.policy. Il s'agit des droits minimaux recommandés par le produit. Si d'autres droits sont ajoutés au fichier filter.policy, certaines opérations peuvent échouer pour les applications d'entreprise. Soyez prudent lors de l'ajout de droits au fichier filter.policy.
Vous ne pouvez utiliser l'outil de règles pour modifier le fichier filter.policy. La modification doit être effectuée dans un éditeur de texte. Vérifiez bien que le fichier filter.policy ne contient aucune erreur de syntaxe. Si le fichier filter.policy contient des erreurs de syntaxe, il ne sera pas chargé par l'environnement d'exécution de la sécurité du produit et par conséquent, le filtrage sera désactivé.
Pour extraire le fichier filter.policy, entrez la commande suivante à l'aide des informations dont vous disposez sur votre environnement :
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
set obj [$AdminConfig extract cells/cell_name/filter.policy c:/temp/test/filter.policy]
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
set obj [$AdminConfig extract cells/cell_name/filter.policy /temp/test/filter.policy]
Pour vérifier le fichier de règles, entrez la commande suivante à l'aide des informations dont vous disposez sur votre environnement :
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
$AdminConfig checkin cells/cell_name/filter.policy c:/temp/test/filter.policy $obj
![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
$AdminConfig checkin cells/cell_name/filter.policy /temp/test/filter.policy $obj
Le fichier filter.policy mis à jour est appliqué à toutes les applications d'entreprise WebSphere Application Server après le redémarrage des serveurs. Le fichier filter.policy est géré par les services de configuration et de réplication des fichiers.
Les modifications apportées à ce fichier sont répliquées sur d'autres noeuds dans la cellule.
Le fichier filter.policy fourni par WebSphere Application Server se trouve dans app_server_root/profiles/profile_name/config/cells/cell_name/filter.policy.
Le fichier filter.policy fourni par
by WebSphere Application Server se trouve dans profile_root/config/cells/cell_name/filter.policy.
filterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
runtimeFilterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
Les droits définis dans filterMask sont destinés au filtrage des règles statiques. Le module d'exécution de la sécurité tente de supprimer les droits des applications au démarrage de ces dernières. Les droits composés ne sont pas supprimés, mais sont émis avec un avertissement et le déploiement des applications est arrêté si ces applications contiennent des droits définis dans filterMask et si les scripts sont utilisés. runtimeFilterMask définit les droits utilisés par l'environnement d'exécution de la sécurité pour refuser l'accès de ces droits à l'unité d'exécution de l'application. N'ajoutez pas de droits supplémentaires au filtre runtimeFilterMask. L'application risque de ne pas démarrer ou de fonctionner de manière incorrecte. Ajoutez avec précaution des droits supplémentaires au filtre runtimeFilterMask. Généralement, vous n'avez besoin d'ajouter des droits qu'à la stance filterMask.
- exitVM
- Un servlet, un fichier JSP, un bean enterprise ou une autre bibliothèque utilisés par WebSphere Application Server peuvent appeler l'API System.exit et provoquer l'arrêt total du processus WebSphere Application Server.
- setSecurityManager
- Une application peut installer son propre gestionnaire de sécurité pour accorder davantage de droits ou ignorer la stratégie par défaut appliquée par le gestionnaire de sécurité de WebSphere Application Server.
Pour que le fichier filter.policy mis à jour soit appliqué, redémarrez les processus Java associés.