Configurations de sécurité d'origine

Familiarisez-vous avec les trois options de sécurité initiales ainsi que les effets de la configuration de chacune d'entre elles.

Au cours de l'installation, vous avez désormais la possibilité d'activer la sécurité administrative pendant la personnalisation initiale de la cellule. Cette procédure est appelée "sécurité clé en mains". Elle protège la cellule contre les modifications non autorisées qui peuvent se produire si la sécurité n'est pas activée.

Lorsqu'un nouveau serveur d'applications autonome ou une nouvelle cellule Network Deployment est créée, il existe trois choix initiaux relatifs à la sécurité dans WebSphere Application Server for z/OS :
  • Utiliser un produit de sécurité z/OS pour gérer l'identité des utilisateurs et les règles d'autorisation.
  • Utiliser WebSphere Application Server pour gérer l'identité des utilisateurs et les règles d'autorisation.
  • Ne pas activer la sécurité

Cet article décrit les trois options de sécurité initiales ainsi que les effets de la configuration de chacune.

N'oubliez pas que WebSphere Application Server for z/OS exige systématiquement la présence d'un système de sécurité compatible SAF pour assurer la sécurité du système d'exploitation. Quelle que soit l'option de sécurité choisie :
  • Les ID utilisateur SAF des tâches WebSphere Application Server démarrées sont toujours créés au cours de la personnalisation.
  • Les groupes SAF sont créés pour la configuration, le serviteur et les groupes d'utilisateurs locaux sont créés pendant la personnalisation et se voient accorder les droits nécessaires
  • Les profils de serveur SAF sont utilisés pour contrôler l'accès des serviteurs aux régions de contrôleur.
  • Si le SSL du démon est sélectionné pendant la personnalisation, un fichier de clés et un certificat numérique pour le démon sont créés dans SAF.
Remarque : Chacune des configurations de sécurité initiales est élémentaire, elle ne nécessite que peu de choix pendant la personnalisation. Une fois la configuration terminée, du travail supplémentaire est généralement nécessaire pour faire correspondre les règles de sécurité de la cellule aux besoins de l'entreprise. Pour plus d'informations, reportez-vous à la section Sécurité du Centre de documentation.

Option 1 : Utiliser un produit de sécurité z/OS pour gérer l'identité des utilisateurs et les règles d'autorisation.

Si cette option est choisie au cours de la personnalisation :
  1. Chaque identité d'utilisateur et de groupe WebSphere Application Server correspond à un ID utilisateur ou à un groupe du système de sécurité compatible SAF du système z/OS (le RACF d'IBM ou un produit équivalent).
  2. L'accès aux rôles WebSphere Application Server est contrôlé au moyen du profil SAF EJBROLE.
  3. Les certificats numériques pour la communication SSL sont stockés dans le produit de sécurité z/OS.

Le logiciel de sécurité du système z/OS est toujours utilisé pour contrôler les identités de tâches démarrées de WebSphere Application Server for z/OS ainsi que le certificat numérique du démon du service de localisation (si le SSL du démon est sélectionné). Toutefois, lorsque vous choisissez cette option de sécurité, tous les administrateurs et groupes d'administration de WebSphere Application Server doivent également être définis dans SAF. Plus tard, si la sécurité de l'application est activée, la base de données de sécurité SAF contiendra également ces identités d'utilisateurs.

Cette option convient lorsque les serveurs ou les cellules doivent résider entièrement sur des systèmes z/OS avec SAF comme registre d'utilisateurs. Les clients qui prévoient d'implémenter un protocole LDAP ou un registre d'utilisateur personnalisé mais qui mapperont les identités WebSphere Application Server vers des identités SAF et utiliseront des profils EJBROLE pour l'autorisation devront également choisir cette option de façon à effectuer la configuration initiale du profil EJBROLE SAF.

si cette option est choisie pendant la personnalisation, les ID utilisateur SAF suivants sont créés :
  • Un ID utilisateur d'administrateur
  • Un ID d'utilisateur non autorisé pour représenter les identités WebSphere Application Server qui n'ont pas été authentifiées.
Les profils EJBROLE SAF des rôles administratifs (administrateur, configuration, déployeur, moniteur et opérateur) sont créés et l'ID utilisateur d'administrateur se voit accorder le rôle d'administrateur.

Les profils CBIND SAF sont créés et se voient accorder le groupe de configuration.

Les certificats numériques sont créés dans le système de sécurité SAF pour chaque contrôleur de serveur (gestionnaire de déploiement ou contrôleur de serveur d'applications).

Les fichiers de clés numériques sont créés dans le système de sécurité SAF pour les ID d'utilisateur d'administrateur, de contrôleur, d'adjoint de contrôleur de région et de serveur ainsi que les certificats appropriés sont joints à ces fichiers de clés.

Vous pouvez indiquer un préfixe de profil SAF quand vous choisissez cette option. Ce préfixe fera partie des noms de profils APPL, CBIND et EJBROLE employés pour la vérification des autorisations.

Option 2 : Utiliser WebSphere Application Server pour gérer l'identité des utilisateurs et les règles d'autorisation.

Si cette option est choisie au cours de la personnalisation :
  1. Chaque identité d'utilisateur et de groupe WebSphere Application Server correspond à une entrée dans le registre d'utilisateurs de WebSphere Application Server. Le registre d'utilisateurs initial est simplement un registre d'utilisateurs basé sur un fichier créé pendant la personnalisation et se trouvant dans le système de fichiers de configuration.
  2. L'accès aux rôles WebSphere Application Server est contrôlé au moyen de liaisons de rôles WebSphere Application Server. Plus particulièrement, les rôles administratifs sont contrôlés au moyen des paramètres Utilisateurs et groupes de la console de la console d'administration.
  3. Les certificats numériques pour la communication SSL sont stockés dans le système de fichiers de configuration.

Le logiciel de sécurité du système z/OS est toujours utilisé pour contrôler les identités de tâches démarrées de WebSphere Application Server for z/OS ainsi que le certificat numérique du démon du service de localisation (si le SSL du démon est sélectionné). Toutefois, lorsque vous choisissez cette option de sécurité, tous les utilisateurs et groupes d'accès des administrateurs de WebSphere Application Server sont définis dans le registre d'utilisateurs de WebSphere plutôt que dans SAF. Plus tard, si la sécurité de l'application est activée, le registre d'utilisateurs de WebSphere Application Server contiendra également ces identités d'utilisateurs.

Cette option convient lorsque les serveurs ou les cellules doivent résider dans un mélange de systèmes z/OS et non-z/OS ou pour les clients qui prévoient d'implémenter un protocole LDAP mais également un registre d'utilisateur personnalisé pour remplacer le registre d'origine. (Les clients qui prévoient d'implémenter un protocole LDAP ou un registre d'utilisateur personnalisé avec un mappage d'identité vers SAF doivent opter pour la sécurité gérée par z/OS pendant la personnalisation ; voir ci-dessus.)

Si cette option est choisie pendant la personnalisation, un registre d'utilisateurs basé sur un fichier est créé dans le système de fichiers de configuration :

Un ID utilisateur d'administrateur est ajouté au registre d'utilisateurs basé sur les fichiers.

L'ID utilisateur d'administrateur est ajouté à la liste des utilisateurs de console autorisés.

Des certificats numériques auto-signés pour les serveurs sont créés automatiquement dans le système de fichiers de configuration par WebSphere Application Server.

Option 3 : Ne pas activer la sécurité

Si vous choisissez cette option, aucune sécurité d'administration n'est configurée. Quiconque ayant accès au port de la console d'administration peut apporter des modifications à la configuration du serveur ou de la cellule.

Une configuration de sécurité post-personnalisation est conseillée.

Les options initiales de configuration de la sécurité de WebSphere Application Server sont très élémentaires et sont supposées ne fournir qu'un niveau de sécurité administrative de départ. Une fois que votre serveur ou votre cellule sera fonctionnel, vous devrez peut-être :
  • Passer à un autre registre d'utilisateurs. Vous pouvez utiliser le protocole LDAP ou un registre d'utilisateurs personnalisé à la place de la base de données de sécurité SAF ou d'un registre basé sur un fichier.
  • Définir d'autres administrateurs ou distribuer des rôles d'administration
  • Implémenter la sécurité de l'application

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
Nom du fichier : rins_initsec.html