Utilisez ce panneau pour configurer l'administration et la stratégie de sécurité par défaut. Cette configuration des paramètres de sécurité s'applique à la stratégie de sécurité de toutes les fonctions d'administration, et est utilisée comme stratégie de sécurité par défaut pour les applications d'utilisateur. Les domaines de sécurité peuvent être définis pour remplacer et personnaliser les stratégies de sécurité des applications d'utilisateur.
Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale.
La sécurité a une incidence sur les performances de vos applications. Ces incidences peuvent varier en fonction des caractéristiques de charge de travail de l'application. Vous devez d'abord vérifier que le niveau de sécurité nécessaire est activé pour vos applications, puis évaluer l'impact de la sécurité sur les performances de ces dernières.
Une fois la sécurité configurée, validez toutes les modifications apportées aux panneaux du registre d'utilisateurs ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. Une tentative d'authentification de l'ID serveur ou de validation de l'ID administrateur (si internalServerID est utilisé) dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité administrative peut éviter des incidents lors du prochaine redémarrage du serveur.
Lance un assistant qui permet de configurer les paramètres de base de sécurité d'administration et des applications. Ce processus limite les tâches d'administration et les applications aux utilisateurs autorisés.
L'assistant permet de configurer la sécurité des applications, des ressources, de Java 2 Connector (J2C) et d'un registre d'utilisateurs. Vous pouvez configurer un registre existant et activer la sécurité d'administration, des applications et des ressources.
Lorsque vous validez les modifications apportées au moyen de l'assistant de configuration de sécurité, la sécurité d'administration est par défaut activée.
Génère un rapport qui collecte et affiche les paramètres de sécurité en cours du serveur d'applications. Les informations sont collectée sur les principaux paramètres de sécurité, les utilisateurs et les groupes d'administration, les rôles de désignation et la protection des cookies. Lorsque plusieurs domaines de sécurité sont configurés, le rapport affiche la configuration de sécurité associée à chaque domaine.
Actuellement le rapport n'affiche pas les informations concernant la sécurité au niveau de l'application. Ce rapport n'affiche pas non plus d'informations concernant la sécurité au niveau Java Message Service (JMS), du bus ou des services Web.
Active la sécurité administrative de ce domaine de serveur d'applications. Le sécurité d'administration requiert que les utilisateurs s'authentifient pour obtenir le contrôle administratif du serveur d'applications.
Pour plus d'informations, consultez les liens relatifs aux rôles d'administration et à l'authentification administrative.
Lors de l'activation de la sécurité, définissez la configuration du mécanisme d'authentification et indiquez un ID utilisateur (ou un ID administrateur valide lorsque la fonction internalServerID est utilisée) et un mot de passe valides dans la configuration du registre d'utilisateurs sélectionnée.
Vous pouvez uniquement spécifier l'option Tâche démarrée par z/OS lorsque le registre
d'utilisateurs est Système d'exploitation local.
En cas de problème, par exemple, si le serveur ne démarre pas après l'activation de la sécurité dans le domaine de sécurité, synchronisez à nouveau tous les fichiers de cette cellule par rapport à ce noeud. Pour synchroniser à nouveau les fichiers, exécutez la commande suivante à partir du noeud : syncNode -username id_utilisateur -password mot_de_passe. Ainsi, vous vous connectez au gestionnaire de déploiement et synchronisez à nouveau l'ensemble des fichiers.
Si votre serveur ne redémarre pas une fois que vous avez activé la sécurité administrative, vous pouvez désactiver la sécurité. Accédez au répertoire racine_serveur_app/bin
et exécutez la commande wsadmin -conntype NONE. A l'invite wsadmin>>,
entrez securityoff, puis exit pour revenir à l'invite de commande. Redémarrez le serveur en désactivant la sécurité afin de
vérifier les paramètres incorrects dans la console d'administration.
Utilisateurs du registre du système d'exploitation
: Lorsque vous choisissez le registre Système d'exploitation local en tant que
registre d'utilisateurs actif, il n'est pas nécessaire
d'indiquer de mot de passe dans la configuration du registre d'utilisateurs.
Valeur par défaut | Activé |
Active la sécurité pour les applications de votre environnement. Ce type de sécurité garantit l'isolement des applications et fournit les éléments nécessaires pour l'authentification des utilisateurs de l'application.
Dans les éditions précédentes de WebSphere Application Server, la sécurité administrative et d'application étaient activées automatiquement lors de l'activation de la sécurité globale. Dans WebSphere Application Server version 6.1, la notion de sécurité globale inclut deux éléments distincts, la sécurité administrative et la sécurité d'application, qui peuvent être activés séparément.
Les clients WebSphere Application Server doivent désormais déterminer si la sécurité d'application est désactivée sur le serveur cible. Par défaut, la sécurité d'administration est activée. Par défaut, la sécurité d'application est désactivée. Pour activer la sécurité applicative, vous devez activer la sécurité administrative. La sécurité d'application est effective uniquement lorsque la sécurité administrative est activée.
Valeur par défaut | Désactivé |
Indique s'il faut activer ou désactiver le contrôle des droits de la sécurité Java 2. Par défaut, l'accès aux ressources locales n'est pas limité. Vous pouvez désactiver la sécurité Java 2 même lorsque la sécurité d'application est activée.
Lorsque l'option Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, l'exécution de l'application peut ne pas aboutir tant que les droits requis ne sont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui ne disposent pas de tous les droits requis. Consultez les liens relatifs pour plus d'informations sur la sécurité Java 2.
Valeur par défaut | Désactivé |
Indique que l'exécution émet un avertissement, lors du déploiement de l'application et au lancement de celle-ci, si des applications se sont vues octroyer des autorisations personnalisées. Les droits d'accès personnalisés sont des droits définis par les applications utilisateur et non pas des droits d'accès à l'API Java. Les droits d'accès à l'API Java sont des droits définis dans les packages java.* et javax.*.
Le serveur d'applications fournit le support de gestion du fichier de règles. Un certain nombre de fichiers de règles sont disponibles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune base de code n'est définie et aucune base de code associée n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste de droits que vous ne souhaitez pas accorder à une application donnée, conformément à la spécification J2EE 1.4. Pour plus d'informations concernant les droits d'accès, consultez le lien relatif aux fichiers de règles J2S (Java2 Security).
Valeur par défaut | Désactivé |
Activez cette option pour limiter l'accès de l'application aux données sensibles d'authentification de mappage JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
L'option Limiter l'accès aux données d'authentification des ressources ajoute une vérification d'autorisation de sécurité Java 2 à granularité fine au mappage principal par défaut de l'implémentation WSPrincipalMappingLoginModule. Vous devez octroyer explicitement des droits aux applications J2EE (Java 2 Platform, Enterprise Edition) qui utilisent l'implémentation WSPrincipalMappingLoginModule directement pour la connexion JAAS (Java Authentication and Authorization Service) lorsque les options Utiliser la sécurité Java 2 pour restreindre l'accès des applications aux ressources locales et Restriction d'accès aux données d'authentification de ressources sont activées.
Valeur par défaut | Désactivé |
Indique le paramètre en cours pour le référentiel d'utilisateurs actif.
Cette zone est en lecture seule.
Indique les référentiels de comptes utilisateur disponibles.
Active le référentiel d'utilisateurs après qu'il a été configuré.
Un registre LDAP ou un registre
d'utilisateurs personnalisé est nécessaire lors de l'exécution d'un utilisateur UNIX
différent du superutilisateur ou dans un environnement multi-noeuds.
Définissez ce paramètre si vous souhaitez que le serveur de sécurité configuré
(RACF)
(Resource Access Control Facility) ou compatible SAF (System
Authorization Facility) soit utilisé comme registre d'utilisateurs du
serveur d'applications.
Vous ne pouvez pas utiliser Système d'exploitation local dans un environnement multi-noeuds ou lors de l'exécution d'un utilisateur autre que le superutilisateur sur une plateforme UNIX.
Le registre d'utilisateurs du système d'exploitation local n'est valide que lorsque vous utilisez un contrôleur de domaine ou que la cellule de déploiement de réseau se trouve sur une machine unique. Dans ce dernier cas, vous ne pouvez pas répartir plusieurs noeuds d'une cellule sur plusieurs machines car cette configuration, qui utilise le registre d'utilisateurs de système d'exploitation local, n'est pas valide.
Spécifiez ce paramètre pour utiliser les paramètres de registre LDAP autonome lorsque les utilisateurs et les groupes se trouvent dans un répertoire LDAP externe. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez au panneau Sécurité > Sécurité globale et cliquez sur Valider ou sur OK pour valider les modifications.
Valeur par défaut | Désactivé |
Cette option permet de configurer les paramètres de sécurité globale.
Sous Authentification, développez Sécurité Web et SIP pour afficher les liens vers :
Sélectionnez cette option pour indiquer les paramètres de l'authentification Web.
Sélectionnez cette option pour indiquer les valeurs de configuration de la connexion unique (SSO).
Le support SSO permet aux utilisateurs Web de s'authentifier lors de l'accès aux ressources WebSphere Application Server, telles que les fichiers HTML, JSP, les servlets, les beans enterprise et aux ressources Lotus Domino.
Le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fournit un moyen aux clients et au serveur Web de négocier le protocole d'authentification Web qui est utilisé afin d'autoriser les communications.
Sélectionnez cette option pour indiquer les paramètres de la relation de confiance. La relation de confiance permet de connecter des serveurs proxy inverses aux serveurs d'applications.
Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.
Sous Authentification, développez Sécurité RMI/IIOP pour afficher les liens vers :
Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont reçues, et des paramètres de transport des connexions qui sont acceptées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).
Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont envoyées, et des paramètres de transport des connexions qui sont initiées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).
Sous Authentification, développez Java Authentication and Authorization Service pour afficher les liens vers :
Sélectionnez cette option pour définir les configurations de connexion qui sont utilisées par JAAS.
Ne supprimez pas les configurations de connexion ClientContainer, DefaultPrincipalMapping et WSLogin car d'autres applications peuvent les utiliser. Si ces configurations sont supprimées, d'autres applications peuvent échouer.
Sélectionnez cette option pour définir les configurations de connexion JAAS qui sont utilisées par les ressources système, notamment le mécanisme d'authentification, le mappage principal et le mappage du justificatif.
Sélectionnez cette option pour définir les paramètres des données d'authentification J2C (Java 2 Connector) du service JAAS (Java Authentication and Authorization Service).
Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.
Sélectionnez cette option pour chiffrer les informations d'authentification de sorte que le serveur d'applications puisse envoyer des données entre deux serveurs en toute sécurité.
Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme LTPA (Lightweight Third-Party Authentication).
Sélectionnez cette option pour chiffrer les informations d'authentification de sorte que le serveur d'applications puisse envoyer des données entre deux serveurs en toute sécurité.
Permet de chiffrer les informations d'authentification afin que le serveur d'applications puisse envoyer des données d'un serveur à un autre en toute sécurité.
Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme KRB5 ou LTPA.
Permet de configurer les paramètres de votre mémoire cache d'authentification.
Spécifie que les noms d'utilisateur renvoyés par les méthodes (méthode getUserPrincipal, par exemple) sont qualifiés avec le domaine de sécurité dans lequel elles se trouvent.
Utilisez le lien Domaine de sécurité pour configurer d'autres configurations des paramètres de sécurité pour les applications d'utilisateur.
Par exemple, si vous voulez utiliser un autre registre d'utilisateurs pour un ensemble d'applications d'utilisateur autre que celle qui est utilisée au niveau global, vous pouvez créer une configuration des paramètres de sécurité avec ce registre d'utilisateurs, puis l'associer à cet ensemble d'applications. Ces configurations des paramètres de sécurité supplémentaires peuvent être associées aux différentes portées (cellule, clusters/serveurs, SIBuses). Une fois que les configurations des paramètres de sécurité ont été associées avec une portée de toutes les applications d'utilisateur de cette portée, utilisez cette configurations des paramètres de sécurité. Pour plus de détails, voir Domaines de sécurité multiples.
Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres du domaine pour chaque attribut de sécurité.
Sélectionnez cette option pour spécifier si vous devez utiliser la configuration d'autorisation par défaut ou un fournisseur d'autorisations externe.
Les fournisseurs externes doivent être basés sur la spécification JAAC (Java Authorization Contract for Containers) pour gérer l'autorisation J2EE (Java(TM) 2 Platform, Enterprise Edition). Ne modifiez pas les paramètres dans les panneaux du fournisseur d'autorisations sauf si vous avez configuré un fournisseur de sécurité externe comme fournisseur d'autorisations JACC.
Sélectionnez cette option pour spécifier les paires de données nom-valeur, où le nom est une clé de propriété et la valeur est une chaîne.
Les liens marqués (en ligne) requièrent un accès à Internet.