A propos de la sécurité de connexion par défaut

Build Forge inclut par défaut une sécurité de connexion. Lorsqu'un utilisateur se connecte, la demande est redirigée vers un servlet d'authentification. Le nom d'utilisateur et le mot de passe saisis sont chiffrés lors de leur utilisation par le servlet. Si la connexion réussit, l'accueil de l'interface utilisateur de la console s'affiche. Les communications des sessions suivantes entre le client et la console peuvent s'effectuer sur http (par défaut) ou sur https. L'utilisation du protocole https exige d'une configuration supplémentaire du système. Voir Activation de SSL et de HTTPS.

Au cours de l'installation, fournissez un mot de passe au magasin de clés utilisé pour le chiffrement. Vous pouvez également installer un certificat autosigné.

Messages de certificat concernant le certificat autosigné

Si Build Forge installe un certificat autosigné, les utilisateurs qui accèdent au système via un navigateur activé pour la sécurité reçoivent des messages de sécurité concernant le certificat.

Pour empêcher la réception de ces avertissements, distribuez le certificat aux utilisateurs pour qu'ils l'installent sur leur navigateur. Les caractéristiques de l'installation du certificat varient en fonction du navigateur. Consultez la documentation de ce dernier.

Le certificat se trouve dans <rép_install_bf>/keystore.

Désactivation de la sécurité de connexion par défaut

Si la sécurité de connexion est désactivée, lors de la connexion, les données d'identification de l'utilisateur sont communiquées à la console en texte clair non chiffré. La désactivation de la sécurité de connxion n'affecte pas l'utilisation de HTTPS/SSL par la console, si cette dernière est configurée pour l'utiliser.

Pour désactiver le servlet d'authentification, procédez comme suit :

  1. Arrêtez Build Forge s'il est en cours d'exécution.
  2. Modifiez <rép_install_bf>/buildforge.conf pour spécifier HTTP et le port 8080 dans les communications avec la couche de services.
    Changez cette ligne :
    services_url https://nom_hôte:8443/jas
    en :
    services_url http://nom_hôte:8080/jas
  3. Modifiez le fichier de configuration de la couche de services pour désactiver SSL forcé. Editez <rép_install_bf>/Apache/tomcat/webapps/jas/WEB-INF/web.xml. Changez le paramètre ForceHttps sur false. Si le paramètre ne figure pas dans le fichier, ajoutez-le comme indiqué en gras.
    <display-name>A Services Layer Bootstrap Servlet</display-name>
    <servlet>
       <servlet-name>ServicesBootstrap</servlet-name>
             <servlet-class>com.buildforge.services.server.web.BootstrapServlet</servlet-class>
          <init-param>
             <param-name>port</param-name>
             <param-value>3966</param-value>
          </init-param>
          <init-param>
             <param-name>sslPort</param-name>
             <param-value>49150</param-value>
          </init-param>
          <init-param>
             <param-name>ForceHttps</param-name>
             <param-value>false</param-value>
          </init-param>
          <load-on-startup>0</load-on-startup>
    </servlet>
  4. Démarrez Build Forge.
Remarque : Si le servlet d'authentification est désactivé, les données d'identification de l'utilisateur sont communiquées en texte en clair via le réseau, ce qui entraîne un risque de sécurité.

Feedback