Configurations de sécurité d'origine
Familiarisez-vous avec les trois options de sécurité initiales ainsi que les effets de la configuration de chacune d'entre elles.
Au cours de l'installation, vous avez désormais la possibilité d'activer la sécurité administrative pendant la personnalisation initiale de la cellule. Cette procédure est appelée "sécurité clé en mains". Elle protège la cellule contre les modifications non autorisées qui peuvent se produire si la sécurité n'est pas activée.
Cet article décrit les trois options de sécurité initiales ainsi que les effets de la configuration de chacune.
Option 1 : Utiliser un produit de sécurité z/OS pour gérer l'identité des utilisateurs et les règles d'autorisation.
Le logiciel de sécurité du système z/OS est toujours utilisé pour contrôler les identités de tâches démarrées de WebSphere Application Server for z/OS ainsi que le certificat numérique du démon du service de localisation (si le SSL du démon est sélectionné). Toutefois, lorsque vous choisissez cette option de sécurité, tous les administrateurs et groupes d'administration de WebSphere Application Server doivent également être définis dans SAF. Plus tard, si la sécurité de l'application est activée, la base de données de sécurité SAF contiendra également ces identités d'utilisateurs.
Cette option convient lorsque les serveurs ou les cellules doivent résider entièrement sur des systèmes z/OS avec SAF comme registre d'utilisateurs. Les clients qui prévoient d'implémenter un protocole LDAP ou un registre d'utilisateur personnalisé mais qui mapperont les identités WebSphere Application Server vers des identités SAF et utiliseront des profils EJBROLE pour l'autorisation devront également choisir cette option de façon à effectuer la configuration initiale du profil EJBROLE SAF.
Les profils CBIND SAF sont créés et se voient accorder le groupe de configuration.
Les certificats numériques sont créés dans le système de sécurité SAF pour chaque contrôleur de serveur (gestionnaire de déploiement ou contrôleur de serveur d'applications).
Les fichiers de clés numériques sont créés dans le système de sécurité SAF pour les ID d'utilisateur d'administrateur, de contrôleur, d'adjoint de contrôleur de région et de serveur ainsi que les certificats appropriés sont joints à ces fichiers de clés.
Vous pouvez indiquer un préfixe de profil SAF quand vous choisissez cette option. Ce préfixe fera partie des noms de profils APPL, CBIND et EJBROLE employés pour la vérification des autorisations.
Option 2 : Utiliser WebSphere Application Server pour gérer l'identité des utilisateurs et les règles d'autorisation.
Le logiciel de sécurité du système z/OS est toujours utilisé pour contrôler les identités de tâches démarrées de WebSphere Application Server for z/OS ainsi que le certificat numérique du démon du service de localisation (si le SSL du démon est sélectionné). Toutefois, lorsque vous choisissez cette option de sécurité, tous les utilisateurs et groupes d'accès des administrateurs de WebSphere Application Server sont définis dans le registre d'utilisateurs de WebSphere plutôt que dans SAF. Plus tard, si la sécurité de l'application est activée, le registre d'utilisateurs de WebSphere Application Server contiendra également ces identités d'utilisateurs.
Cette option convient lorsque les serveurs ou les cellules doivent résider dans un mélange de systèmes z/OS et non-z/OS ou pour les clients qui prévoient d'implémenter un protocole LDAP mais également un registre d'utilisateur personnalisé pour remplacer le registre d'origine. (Les clients qui prévoient d'implémenter un protocole LDAP ou un registre d'utilisateur personnalisé avec un mappage d'identité vers SAF doivent opter pour la sécurité gérée par z/OS pendant la personnalisation ; voir ci-dessus.)
Si cette option est choisie pendant la personnalisation, un registre d'utilisateurs basé sur un fichier est créé dans le système de fichiers de configuration :
Un ID utilisateur d'administrateur est ajouté au registre d'utilisateurs basé sur les fichiers.
L'ID utilisateur d'administrateur est ajouté à la liste des utilisateurs de console autorisés.
Des certificats numériques auto-signés pour les serveurs sont créés automatiquement dans le système de fichiers de configuration par WebSphere Application Server.
Option 3 : Ne pas activer la sécurité
Si vous choisissez cette option, aucune sécurité d'administration n'est configurée. Quiconque ayant accès au port de la console d'administration peut apporter des modifications à la configuration du serveur ou de la cellule.