Mécanismes et expiration d'authentification

Cette page permet de définir les clés partagées et de configurer les mécanismes d'authentification utilisées pour échanger des informations entre les serveurs. Vous pouvez également utiliser cette page pour définir la durée pendant laquelle les informations d'authentification restent valables et définir la configuration d'ouverture de session unique.

Pour afficher cette page de la console d'administration, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Authentification, cliquez sur Mécanismes d'authentification et expiration > LTPA.
Après avoir configuré les propriétés de cette page, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Définitions de domaines disponibles, vérifiez que le registre correspondant est configuré.
  3. Cliquez sur Valider. Lorsque la sécurité est activée et que l'une de ces propriétés est modifiée, revenez au panneau Sécurité globale et cliquez sur Valider pour valider les modifications.
Groupe du jeu de clés

Indique les groupes de clés publiques, privées et partagées. Ces groupes de clés permettent au serveur d'applications de gérer plusieurs ensembles de clés authentifiées via LTPA (Lightweight Third Party Authentication).

Génération de clés

Indique si un nouveau jeu de clés LTPA est généré dans le magasin de clés configuré et si la phase d'exécution est mise à jour avec les nouvelles clés. Par défaut, les clés LTPA sont régénérées tous les 90 jours, le jour de la semaine pouvant être configuré.

Chaque nouveau jeu de clés LTPA est stocké dans la magasin de clés associé au groupe de jeux de clés. Un nombre maximal de clés (voire une seule) peut être configuré. Cependant, il est recommandé d'avoir au moins deux clés ; les anciennes clés peuvent être utilisées pour validation pendant que les nouvelles clés sont distribuées.

Cette étape n'est pas nécessaire pendant l'activation de la sécurité. Un jeu de clés par défaut est créé pendant le premier démarrage du serveur. Si des noeuds sont hors service pendant l'événement de génération de clé, les noeuds doivent être synchronisés avec le gestionnaire de déploiement avant le redémarrage.

Délai d'attente de la mémoire cache d'authentification

Indique la période au cours de laquelle les justificatifs authentifiés dans la mémoire sont valides. Cette période doit être inférieure à la période spécifiée pour la zone Délai d'attente pour des justificatifs de réacheminement entre serveurs.

Si la sécurité d'infrastructure des serveurs d'applications est activée, le délai d'expiration de la mémoire cache d'authentification peut affecter les performances. Le paramètre du délai d'expiration indique la périodicité de la régénération des mémoires cache associées à la sécurité. Les informations de sécurité relatives aux beans, droits d'accès et justificatifs sont placées en cache. Lorsque le délai d'expiration de la mémoire cache est dépassé, toutes les informations qui n'ont pas fait l'objet d'un accès pendant le délai imparti sont purgées de la mémoire cache. Dès lors, toute demande portant sur l'une des ces informations implique une nouvelle consultation de la base de données. L'obtention de ces informations nécessite parfois l'appel d'un protocole LDAP (Lightweight Directory Access Protocol) ou d'un mécanisme d'authentification natif. Ces deux appels ont un impact conséquent en termes de performances. Déterminez le meilleur compromis pour l'application, en fonction des modèles d'utilisation et des besoins en matière de sécurité du site.

Ces deux délais n'ont aucune aucune relation entre eux.

[AIX Solaris HP-UX Linux Windows] [iSeries] Lors d'un test de performance de 20 minutes, il s'est avéré qu'en choisissant un délai d'expiration de la mémoire cache d'authentification tel que ce délai n'était jamais dépassé au cours des 20 minutes, les performances étaient améliorées de 40 %.

Type de données Entier
Unité Minutes et secondes
Valeur par défaut 10 minutes
Portée Supérieur à 30 secondes
Valeur du délai d'attente pour les justificatifs de réacheminement entre les serveurs

Indique la période pendant laquelle les justificatifs d'un autre serveur sont valides. Une fois que cette période est écoulée, les justificatifs de cet autre serveur doivent être revalidés.

Dans cette zone, indiquez une valeur supérieure à la valeur spécifiée pour la zone Délai d'attente de la mémoire cache d'authentification.

Type de données Entier
Unité Minutes et secondes
Valeur par défaut 120 minutes
Portée Entier compris entre 5 et 35971
Mot de passe

Entrez un mot de passe qui sera utilisé pour chiffrer et déchiffrer les clés LTPA à partir du fichier de propriétés SSO. Pendant l'importation, le mot de passe doit correspondre au mot de passe utilisé pour exporter les clés à un autre serveur LTPA (par exemple, une autre cellule de serveur d'applications, Lotus Domino Server, etc.). Pendant l'exportation, souvenez-vous de ce mot de passe afin de pouvoir le fournir pendant l'opération d'importation.

Une fois les clés générées ou importées, elles permettent de chiffrer ou de déchiffrer le jeton LTPA. Si le mot de passe est modifié, un nouveau jeu de clés LTPA est automatiquement généré lorsque vous cliquez sur OK ou sur Appliquer. Ce nouveau jeu de clés ne sera utilisé qu'une fois que les modifications apportées à la configuration auront été sauvegardées.

Type de données Chaîne
Confirmation du mot de passe

Indique le mot de passe confirmé permettant de chiffrer et de déchiffrer les clés LTPA.

Utilisez ce mot de passe lors de l'importation de ces clés dans les autres configurations de domaine d'administration de serveurs d'applications et lors de la configuration de SSO pour un serveur Lotus Domino.

Type de données Chaîne
Nom de fichier de clés qualifié complet

Indique le nom du fichier utilisé lors de l'importation ou de l'exportation de clés.

Indiquez un nom de fichier de clés complet et cliquez sur Importer les clés ou Exporter les clés.

Type de données Chaîne
ID de serveur interne

Indique l'ID de serveur utilisé pour la communication interprocessus entre les serveurs. L'ID de serveur est protégé par un jeton LTPA quand il est envoyé à distance. Vous pouvez éditer l'ID de serveur interne pour le rendre identique aux ID de serveur de plusieurs domaines d'administration de serveurs d'applications (cellules). La valeur par défaut de cet ID est le nom de la cellule.

Cet ID de serveur interne doit être uniquement utilisé dans les environnements de version 6.1 ou supérieure. Pour les cellules de versions différentes, vous devez les convertir avec un ID utilisateur de serveur et mot de passe de serveur pour l'interopérabilité.

Pour revenir à l'ID et au mot de passe utilisateur de serveur pour l'interopérabilité, procédez de la manière suivante :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez dans la liste déroulante Définition du domaine disponible, sélectionnez un registre d'utilisateur, puis cliquez sur Configurer.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Sélectionnez l'option Identité de serveur stockée dans un référentiel et tapez un ID et un mot de passe de registre valides.

[z/OS] Vous pouvez choisir l'option Identité de serveur généré automatiquement ou ID utilisateur pour la tâche z/OS démarrée.

Type de données Chaîne
Importer les clés

Indique si le serveur importe de nouvelles clés LTPA.

Pour prendre en charge la connexion unique (SSO) dans le produit de serveur d'applications dans plusieurs domaines (cellules) de serveur d'applications, partagez les clés et le mot de passe LTPA entre les domaines. Vous pouvez utiliser le bouton Importation de clés pour importer les clés LTPA d'autres domaines. Les clés LTPA sont exportées à partir d'une des cellules dans un fichier. Pour importer un nouveau jeu de clés LTPA, procédez de la manière suivante :
  1. Entrez le mot de passe approprié dans les zones Mot de passe et Confirmer le mot de passe.
  2. Cliquez sur OK et cliquez sur Sauvegarder.
  3. Dans la zone Nom du fichier de clés complet, indiquez l'emplacement du répertoire dans lequel sont stockées les clés LTPA avant de cliquer surImporter les clés.
  4. Ne cliquez pas sur OK ni sur Valider mais sauvegardez les paramètres.
Exporter les clés

Indique si le serveur exporte des clés LTPA.

Pour prendre en charge la connexion unique (SSO) dans le produit WebSphere dans plusieurs domaines (cellules) de serveur d'applications, partagez les clés et le mot de passe LTPA entre les domaines. L'option Exporter les clés permet d'exporter les clés LTPA dans d'autres domaines.

Pour exporter les clés LTPA, vérifiez que la sécurité est activée sur le système et que ce dernier utilise LTPA. Indiquez le nom de fichier dans la zone Nom du fichier de clés complet et cliquez sur Exporter les clés. Les clés chiffrées sont stockées dans le fichier spécifié.

Utiliser SWAM-aucune communication authentifiée entre les serveurs [AIX Solaris HP-UX Linux Windows]

Indique le mécanisme SWAM (Simple WebSphere Authentication). Les justificatifs non authentifiés sont réacheminés entre les serveurs. Lorsqu'un processus demandeur appelle une méthode distante, son identité n'est pas vérifiée. Des erreurs d'authentification risquent de se produire en fonction des permissions de sécurité des méthodes EJB.

SWAM est une fonction obsolète et sera supprimée dans les versions ultérieures. Il est recommandé d'utiliser LTPA pour les communications authentifiées entre les serveurs.




Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées


Nom du fichier : usec_authmechandexpire.html