Configuration des domaines de sécurité

Cette page permet de configurer les attributs de sécurité d'un domaine et de lui attribuer des ressources de cellule. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres du domaine pour chaque attribut de sécurité.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Domaines de sécurité. Sur la page de collection des domaines de sécurité, sélectionnez un domaine existant à configurer, créez-en un, ou copiez un domaine existant.

Consultez Domaines de sécurité multiples pour mieux comprendre ce que sont les domaines de sécurité multiples et la manière dont ils sont pris en charge dans cette version de WebSphere Application Server.

Nom

Indique un nom unique pour le domaine. Il ne peut pas être modifié après la soumission initiale.

Un nom de domaine doit être unique au sein de la cellule et ne peut pas contenir de caractère invalide.

Description

Indique la description du domaine.

Portées affectées

Sélectionnez cette option pour afficher la topologie de la cellule. Vous pouvez affecter le domaine de sécurité à une cellule entière ou sélectionner les clusters, noeuds et bus d'intégration de services spécifiques à inclure dans le domaine de sécurité.

Si vous sélectionnez Toutes les portées, la topologie de cellule entière est affichée.

Si vous sélectionnez Portées affectées, la topologie de cellule est affichée avec les serveurs et les clusters affectés au domaine actuel.

Le nom d'un domaine explicitement affecté apparaît en regard de la ressource. Les cases cochées indiquent les ressources actuellement affectées au domaine. Vous pouvez également sélectionner d'autres ressources et cliquer sur Appliquer ou OK pour les affecter au domaine actuel.

Une ressource non cochée (désactivée) indique qu'elle n'est pas affectée au domaine actuel et qu'elle doit être supprimée d'un autre domaine avant de pouvoir être activée pour le domaine actuel.

Si une ressource n'a pas de domaine explicitement affecté, elle utilise le domaine affecté à la cellule. Si aucun domaine n'est affecté à la cellule, la ressource utilise des paramètres globaux.

Les membres du cluster ne peuvent pas être affectés individuellement à des domaines ; le cluster d'entrée utilise le même domaine.

Sécurité de l'application :

Sélectionnez Activer la sécurité des applications pour activer ou désactiver la sécurité des applications utilisateur. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres d'un domaine.

Lorsque cette option est désactivée, tous les EJB et les applications Web du domaine de sécurité ne sont plus protégés. L'accès à ces ressources est autorisé sans authentification de l'utilisateur. Lorsque vous activez cette sélection, la sécurité J2EE est appliquée pour tous les EJB et applications Web dans le domaine de sécurité. La sécurité J2EE est uniquement appliquée lorsque la sécurité globale est activée dans la configuration de sécurité globale, (c'est-à-dire que vous ne pouvez pas activer la sécurité de l'application sans avoir d'abord activé la sécurité globale au niveau global).

Activer la sécurité d'application

Active la sécurité pour les applications de votre environnement. Ce type de sécurité garantit l'isolement des applications et fournit les éléments nécessaires pour l'authentification des utilisateurs d'application.

Dans les éditions précédentes de WebSphere Application Server, la sécurité administrative et d'application étaient activées automatiquement lors de l'activation de la sécurité globale. Dans WebSphere Application Server version 6.1, la notion de sécurité globale inclut deux éléments distincts, la sécurité administrative et la sécurité d'application, qui peuvent être activés séparément.

Les clients WebSphere Application Server doivent désormais déterminer si la sécurité d'application est désactivée sur le serveur cible. Par défaut, la sécurité d'administration est activée. Par défaut, la sécurité d'application est désactivée. Pour activer la sécurité applicative, vous devez activer la sécurité administrative. La sécurité d'application est effective uniquement lorsque la sécurité administrative est activée.

Lorsque cette option est désactivée, tous les EJB et les applications Web du domaine de sécurité ne sont plus protégés. L'accès à ces ressources est autorisé sans authentification de l'utilisateur. Lorsque vous activez cette option, la sécurité J2EE est appliquée pour tous les EJB et applications Web dans le domaine de sécurité. La sécurité J2EE est uniquement appliquée lorsque la sécurité globale est activée dans la configuration de sécurité globale, (c'est-à-dire que vous ne pouvez pas activer la sécurité de l'application sans avoir d'abord activé la sécurité globale au niveau global).

Sécurité Java 2 :

Sélectionnez Utiliser la sécurité Java 2 pour activer ou désactiver la sécurité Java 2 au niveau du domaine ou pour affecter ou ajouter des propriétés liées à la sécurité Java 2. Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres d'un domaine.

Cette option active ou désactive la sécurité Java 2 au niveau du processus (JVM) pour que toutes les applications (d'administration et utilisateur) puissent activer ou désactiver la sécurité Java 2.

Utilisation des paramètres de sécurité globaux

Sélectionnez cette option pour spécifier les paramètres de sécurité globaux utilisés.

Personnalisation pour ce domaine

Sélectionnez cette option pour spécifier les paramètres définis dans le domaine, comme les options d'activation de la sécurité de l'application et Java 2 et pour utiliser des données d'authentification du domaine.

Utiliser la sécurité Java 2 pour limiter l'accès des applications aux ressources locales

Sélectionnez cette option pour indiquer s'il est nécessaire d'activer ou de désactiver le contrôle des droits d'accès de la sécurité Java 2. Par défaut, l'accès aux ressources locales n'est pas limité. Vous pouvez désactiver la sécurité Java 2 même lorsque la sécurité d'application est activée.

Lorsque l'option Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, l'exécution de l'application peut ne pas aboutir tant que les droits requis ne sont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui ne disposent pas de tous les droits requis.

Prévenir si des applications reçoivent des permissions personnalisées

Indique que l'exécution émet un avertissement, lors du déploiement de l'application et au lancement de celle-ci, si des applications se sont vues octroyer des autorisations personnalisées. Les droits d'accès personnalisés sont des droits définis par les applications utilisateur et non pas des droits d'accès à l'API Java. Les droits d'accès à l'API Java sont des droits définis dans les packages java.* et javax.*.

Le serveur d'applications fournit le support de gestion du fichier de règles. Un certain nombre de fichiers de règles sont disponibles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune base de code n'est définie et aucune base de code associée n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste de droits que vous ne souhaitez pas accorder à une application donnée, conformément à la spécification J2EE 1.4.

Important : Vous ne pouvez pas activer cette option sans activer celle Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales.
Limiter l'accès aux données d'authentification des ressources

Cette option est désactivée si la sécurité Java 2 n'a pas été activée.

Activez cette option lorsque les deux conditions ci-dessous sont vraies :
  • La sécurité Java 2 est activée.
  • Le code de l'application reçoit les droits accessRuntimeClasses WebSphereRuntimePermission dans le fichier was.policy qui se trouve dans le fichier EAR (Enterprise Archive) de l'application. Par exemple, l'autorisation est accordée au code de l'application lorsque la ligne ci-dessous figure dans le fichier was.policy :
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

L'option Limiter l'accès aux données d'authentification des ressources ajoute une vérification d'autorisation de sécurité Java 2 à granularité fine au mappage principal par défaut de l'implémentation WSPrincipalMappingLoginModule. Vous devez octroyer explicitement des droits aux applications J2EE (Java 2 Platform, Enterprise Edition) qui utilisent l'implémentation WSPrincipalMappingLoginModule directement pour la connexion JAAS (Java Authentication and Authorization Service) lorsque les options Utiliser la sécurité Java 2 pour restreindre l'accès des applications aux ressources locales et Restriction d'accès aux données d'authentification de ressources sont activées.

Valeur par défaut Désactivé
Domaine utilisateur :

Cette section permet de configurer le registre d'utilisateurs du domaine de sécurité. Vous pouvez configurer séparément tous les registres sauf le registre fédéré utilisé au niveau du domaine. Ce référentiel peut uniquement être configuré au niveau global mais peut être utilisé au niveau du domaine.

Lors de la configuration d'un registre au niveau du domaine, vous pouvez choisir de définir votre propre nom de domaine pour le registre. Le nom de domaine permet de distinguer un registre d'utilisateurs d'un autre. Le nom de domaine est utilisé à plusieurs endroits : dans le panneau de connexion client Java pour identifier l'utilisateur, dans le cache d'authentification et lors de l'utilisation de l'autorisation native.

Au niveau de la configuration globale, le système crée le domaine pour le registre d'utilisateurs. Dans les versions précédentes de WebSphere Application Server, seul un registre d'utilisateurs est configuré dans le système. Lorsque vous possédez des domaines de sécurité multiples, vous pouvez configurer plusieurs registres dans le système. Pour les domaines uniques, configurez votre propre nom de domaine pour un domaine de sécurité. Vous pouvez également choisir le système permettant de créer un nom de domaine unique, si vous êtes sûr qu'il sera unique. Dans ce dernier cas, le nom de domaine est basé sur le registre utilisé.

Relation de confiance :

Sélectionnez cette option pour indiquer les paramètres de la relation de confiance. La relation de confiance permet de connecter des serveurs proxy inverses aux serveurs d'applications.

La relation de confiance permet d'intégrer la sécurité IBM WebSphere Application Server et des serveurs de sécurité tiers. Plus précisément, elles permettent à un serveur proxy inversé d'agir comme serveur d'authentification frontal lorsque WebSphere applique sa stratégie d'authentification aux justificatifs transmis par le proxy.

Les intercepteurs de relations de confiance Tivoli Access Manager peuvent être configurés uniquement au niveau global. La configuration de domaine peut également les utiliser, mais elle ne peut pas être de version différente de celle de l'intercepteur de relations de confiance. Il ne peut exister qu'une seule instance des intercepteurs de relation de confiance de Tivoli Access Manager dans le système.

Remarque : L'utilisation d'intercepteurs de relations de confiance (TAI) pour l'authentification SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) est obsolète. Les panneaux d'authentification Web SPNEGO permettent de configurer SPNEGO plus facilement.
Intercepteurs

Sélectionnez cette option pour spécifier ou accéder aux informations sécurisées pour les serveurs proxy inverses.

Enable trust association

Sélectionnez cette option pour activer l'intégration de la sécurité IBM WebSphere Application Server et des serveurs de sécurité tiers. Plus précisément, elles permettent à un serveur proxy inversé d'agir comme serveur d'authentification frontal lorsque WebSphere applique sa stratégie d'authentification aux justificatifs transmis par le proxy.

Authentification Web SPNEGO :

Indique les paramètres pour SPNEGO (Simple and Protected GSS-API Negotiation) en tant que mécanisme d'authentification.

L'authentification Web SPNEGO, qui vous permet de configurer SPNEGO pour l'authentification des ressources Web, peut être configurée au niveau du domaine.

Remarque : WebSphere Application Server Version 6.1, propose un intercepteur TAI qui utilise le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) pour négocier en toute sécurité et authentifier les demandes HTTP portant sur des ressources sécurisées. Dans WebSphere Application Server 7.0, cette fonction est désormais obsolète. L'authentification Web SPNEGO fournit un rechargement dynamique des filtres SPNEGO et active la rétromigration sur la méthode de connexion d'application.
Sécurité RMI/IIOP :

Indique les paramètres pour RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Un courtier ORB (Object Request Broker) gère l'interaction entre les clients et les serveurs, à l'aide du protocole IIOP (Internet InterORB Protocol). Dans un environnement réseau réparti, il permet aux clients d'adresser des demandes aux serveurs et de recevoir des réponses de ces serveurs.

Lorsque vous configurez ces attributs au niveau du domaine, la configuration de sécurité RMI/IIOP au niveau global est copiée pour des raisons pratiques. Vous pouvez modifier au niveau du domaine les attributs qui doivent être différents Les paramètres de la couche de transport pour les communications CSIv2 entrantes doivent être les mêmes pour le niveau global et celui du domaine. S'ils sont différents, les attributs du niveau du domaine sont appliqués à toutes les applications du processus.

Lorsqu'un processus communique avec un autre processus avec un domaine différent, l'authentification LTPA et les jetons de propagation sont propagés sur le serveur en aval sauf si le serveur est répertorié dans la liste des domaines de confiance sortants. Pour cela, vous pouvez utiliser le lien Domaines d'authentification sécurisés - sortant du panneau Communications sortantes CSIv2.

Communications entrantes CSIv2

Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont reçues, et des paramètres de transport des connexions qui sont acceptées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).

WebSphere Application Server vous permet de définir l'authentification IIOP (Internet Inter-ORB Protocol) pour les demandes d'authentification entrantes et sortantes. Pour les demandes entrantes, vous pouvez définir le type d'authentification accepté, par exemple une authentification de base.

Communications sortantes CSIv2

Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont envoyées, et des paramètres de transport des connexions qui sont initiées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).

WebSphere Application Server vous permet de définir l'authentification IIOP (Internet Inter-ORB Protocol) pour les demandes d'authentification entrantes et sortantes. Pour les demandes sortantes, vous pouvez définir des propriétés telles que le type d'authentification, la vérification d'identité ou les configurations de connexion utilisées pour les demandes aux serveurs en aval.

Connexions des applications JAAS

Sélectionnez cette option pour définir les configurations de connexion utilisées par JAAS.

Les connexions de l'application JAAS, les connexions du système JAAS et les alias de données d'authentification JAAS J2C peuvent être configurés au niveau du domaine. Par défaut, toutes les applications dans le système ont accès aux connexions JAAS configurées au niveau global. Le module d'exécution de sécurité recherche d'abord les connexions JAAS au niveau du domaine. S'il ne les trouve pas, il les recherche dans la configuration de sécurité globale. Configurez l'une de ces connexions JAAS au niveau d'un domaine uniquement lorsque vous devez spécifier une connexion utilisée exclusivement par les applications du domaine de sécurité.

Pour les propriétés JAAS et personnalisées uniquement, une fois les attributs globaux personnalisés pour un domaine, ils peuvent toujours être utilisés par des applications utilisateur.

Ne supprimez pas les configurations de connexion ClientContainer, DefaultPrincipalMapping et WSLogin car d'autres applications peuvent les utiliser. Si ces configurations sont supprimées, d'autres applications peuvent échouer.

Utiliser des connexions globales et spécifiques au domaine

Sélectionnez cette option pour spécifier les paramètres définis dans le domaine, comme les options d'activation de la sécurité de l'application et Java 2 et pour utiliser des données d'authentification du domaine.

Connexions système JAAS :

Indique les paramètres de configuration pour les connexions système JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres de configuration d'un domaine.

Connexions au système

Sélectionnez cette option pour définir les configurations de connexion JAAS utilisées par des ressources système, y compris les mécanismes d'authentification, le mappage principal, et le mappage des droits d'accès

Données d'authentification d'architecture J2EE Connector JAAS :

Indique les paramètres des données d'authentification d'architecture J2EE Connector JAAS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

Les entrées de données d'authentification du connecteur J2EE (Java 2 Platform, Enterprise Edition) sont utilisées par les adaptateurs de ressources et les sources de données JDBC (Java DataBase Connectivity).

Utiliser des entrées globales et spécifiques au domaine

Sélectionnez cette option pour spécifier les paramètres définis dans le domaine, comme les options d'activation de la sécurité de l'application et Java 2 et pour utiliser des données d'authentification du domaine.

Attributs du mécanisme d'authentification :

Indique les différents paramètres de mémoire cache à appliquer au niveau du domaine.

  • Paramètres de la mémoire cache d'authentification - pour indiquer vos paramètres de la mémoire cache d'authentification. La configuration indiquée sur ce panneau s'applique uniquement à ce domaine.
  • Délai d'attente LTPA - Vous pouvez configurer un délai d'attente LTPA différent au niveau du domaine. La valeur de la durée d'attente par défaut, définie au niveau global, est de 120 minutes. Si le délai d'attente LTPA est définie au niveau du domaine, tout jeton créé dans le domaine de sécurité lors de l'accès aux applications utilisateur est créé avec ce délai d'expiration.
  • Utilisation des noms d'utilisateur complets du domaine - Lorsque cette option est activée, les noms d'utilisateur renvoyés par des méthodes telles que getUserPrincipal( ) sont qualifiés avec le domaine de sécurité (registre d'utilisateurs) utilisé par les applications dans le domaine de sécurité.
Fournisseurs d'autorisations :

Indique les paramètres du fournisseur d'autorisations. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

Vous pouvez configurer un fournisseur JACC (Java Authorization Contract for Containers) tiers externe au niveau du domaine. Le fournisseur JAAC de Tivoli Access Manager peut être configuré uniquement au niveau global. Les domaines de sécurité peuvent toujours l'utiliser s'ils ne remplacent pas le fournisseur d'autorisations par un autre fournisseur JACC ou par l'autorisation native intégrée.

Sélectionnez Autorisation par défaut ou Autorisation externe à l'aide d'un fournisseur JAAC. Le bouton Configurer est uniquement activé lorsque Autorisation externe à l'aide d'un fournisseur JAAC est sélectionné.

[z/OS] Pour l'autorisation SAF (System Authorization Facility), si vous définissez le préfixe de profil SAF au niveau du domaine, il est appliqué au niveau du serveur afin que toutes les applications (d'administration et utilisateur) l'activent ou le désactivent sur ce serveur.

Options de sécurité z/OS :

Indique les paramètres pour z/OS. Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

Propriétés personnalisées

Sélectionnez cette option pour spécifier les paires de données nom-valeur, où le nom est une clé de propriété et la valeur est une chaîne.

Définissez des propriétés personnalisées au niveau du domaine qui sont soit nouvelles soit différentes de celles au niveau global. Par défaut, toutes les propriétés personnalisées de la configuration de sécurité globale sont accessibles par toutes les applications du système. Le code d'exécution de sécurité recherche d'abord la propriété personnalisée au niveau du domaine. S'il ne la trouve pas, il tente de l'obtenir dans la configuration de sécurité globale.

Liaisons des services Web

Cliquez sur Liaisons de l'ensemble de règles par défaut pour définir le fournisseur par défaut du domaine et les liaisons client.




Les liens marqués (en ligne) requièrent un accès à Internet.

Concepts associés
Référence associée
Paramètres de registre LDAP autonome
Paramètres de définition de configuration pour JAAS (Java Authentication and Authorization Service)
Paramètres d'entrée de données d'authentification pour le connecteur Java 2
Paramètres du fournisseur Java Authorization Contract for Containers externe
Information associée
Propriétés personnalisées de sécurité


Nom du fichier : usec_sec_domains_edit.html