Paramètres de sécurité globale

Utilisez ce panneau pour configurer l'administration et la stratégie de sécurité par défaut. Cette configuration des paramètres de sécurité s'applique à la stratégie de sécurité de toutes les fonctions d'administration, et est utilisée comme stratégie de sécurité par défaut pour les applications d'utilisateur. Les domaines de sécurité peuvent être définis pour remplacer et personnaliser les stratégies de sécurité des applications d'utilisateur.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale.

[AIX Solaris HP-UX Linux Windows] [iSeries] La sécurité a une incidence sur les performances de vos applications. Ces incidences peuvent varier en fonction des caractéristiques de charge de travail de l'application. Vous devez d'abord vérifier que le niveau de sécurité nécessaire est activé pour vos applications, puis évaluer l'impact de la sécurité sur les performances de ces dernières.

Une fois la sécurité configurée, validez toutes les modifications apportées aux panneaux du registre d'utilisateurs ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. Une tentative d'authentification de l'ID serveur ou de validation de l'ID administrateur (si internalServerID est utilisé) dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité administrative peut éviter des incidents lors du prochaine redémarrage du serveur.

Assistant de configuration de sécurité

Lance un assistant qui permet de configurer les paramètres de base de sécurité d'administration et des applications. Ce processus limite les tâches d'administration et les applications aux utilisateurs autorisés.

L'assistant permet de configurer la sécurité des applications, des ressources, de Java 2 Connector (J2C) et d'un registre d'utilisateurs. Vous pouvez configurer un registre existant et activer la sécurité d'administration, des applications et des ressources.

Lorsque vous validez les modifications apportées au moyen de l'assistant de configuration de sécurité, la sécurité d'administration est par défaut activée.

Rapport de configuration de sécurité

Génère un rapport qui collecte et affiche les paramètres de sécurité en cours du serveur d'applications. Les informations sont collectée sur les principaux paramètres de sécurité, les utilisateurs et les groupes d'administration, les rôles de désignation et la protection des cookies. Lorsque plusieurs domaines de sécurité sont configurés, le rapport affiche la configuration de sécurité associée à chaque domaine.

Actuellement le rapport n'affiche pas les informations concernant la sécurité au niveau de l'application. Ce rapport n'affiche pas non plus d'informations concernant la sécurité au niveau Java Message Service (JMS), du bus ou des services Web.

Activer la sécurité d'administration

Active la sécurité administrative de ce domaine de serveur d'applications. Le sécurité d'administration requiert que les utilisateurs s'authentifient pour obtenir le contrôle administratif du serveur d'applications.

Pour plus d'informations, consultez les liens relatifs aux rôles d'administration et à l'authentification administrative.

Lors de l'activation de la sécurité, définissez la configuration du mécanisme d'authentification et indiquez un ID utilisateur (ou un ID administrateur valide lorsque la fonction internalServerID est utilisée) et un mot de passe valides dans la configuration du registre d'utilisateurs sélectionnée.

Remarque : Il existe une différence entre l'ID utilisateur (normalement désigné ID administrateur), qui identifie des administrateurs gérant l'environnement, et un ID serveur, employé pour les communications entre serveurs. Il est inutile d'entrer un ID serveur et un mot de passe lorsque vous utilisez la fonction d'ID serveur interne. Toutefois, vous pouvez éventuellement indiquer un ID et un mot de passe. Pour ce faire, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Référentiel du compte utilisateur, sélectionnez le référentiel et cliquez sur Configurer.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Indiquez l'ID serveur et le mot de passe dans la section d'ID et de mot de passe serveur.

[z/OS] Vous pouvez uniquement spécifier l'option Tâche démarrée par z/OS lorsque le registre d'utilisateurs est Système d'exploitation local.

En cas de problème, par exemple, si le serveur ne démarre pas après l'activation de la sécurité dans le domaine de sécurité, synchronisez à nouveau tous les fichiers de cette cellule par rapport à ce noeud. Pour synchroniser à nouveau les fichiers, exécutez la commande suivante à partir du noeud : syncNode -username id_utilisateur -password mot_de_passe. Ainsi, vous vous connectez au gestionnaire de déploiement et synchronisez à nouveau l'ensemble des fichiers.

[iSeries] [z/OS] Si votre serveur ne redémarre pas une fois que vous avez activé la sécurité administrative, vous pouvez désactiver la sécurité. Accédez au répertoire racine_serveur_app/bin et exécutez la commande wsadmin -conntype NONE. A l'invite wsadmin>>, entrez securityoff, puis exit pour revenir à l'invite de commande. Redémarrez le serveur en désactivant la sécurité afin de vérifier les paramètres incorrects dans la console d'administration.

[z/OS] Utilisateurs du registre du système d'exploitation : Lorsque vous choisissez le registre Système d'exploitation local en tant que registre d'utilisateurs actif, il n'est pas nécessaire d'indiquer de mot de passe dans la configuration du registre d'utilisateurs.

Valeur par défaut Activé
Activer la sécurité d'application

Active la sécurité pour les applications de votre environnement. Ce type de sécurité garantit l'isolement des applications et fournit les éléments nécessaires pour l'authentification des utilisateurs de l'application.

Dans les éditions précédentes de WebSphere Application Server, la sécurité administrative et d'application étaient activées automatiquement lors de l'activation de la sécurité globale. Dans WebSphere Application Server version 6.1, la notion de sécurité globale inclut deux éléments distincts, la sécurité administrative et la sécurité d'application, qui peuvent être activés séparément.

Les clients WebSphere Application Server doivent désormais déterminer si la sécurité d'application est désactivée sur le serveur cible. Par défaut, la sécurité d'administration est activée. Par défaut, la sécurité d'application est désactivée. Pour activer la sécurité applicative, vous devez activer la sécurité administrative. La sécurité d'application est effective uniquement lorsque la sécurité administrative est activée.

Valeur par défaut Désactivé
Utiliser la sécurité Java 2 pour limiter l'accès des applications aux ressources locales

Indique s'il faut activer ou désactiver le contrôle des droits de la sécurité Java 2. Par défaut, l'accès aux ressources locales n'est pas limité. Vous pouvez désactiver la sécurité Java 2 même lorsque la sécurité d'application est activée.

Lorsque l'option Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, l'exécution de l'application peut ne pas aboutir tant que les droits requis ne sont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui ne disposent pas de tous les droits requis. Consultez les liens relatifs pour plus d'informations sur la sécurité Java 2.

Valeur par défaut Désactivé
Prévenir si des applications reçoivent des permissions personnalisées

Indique que l'exécution émet un avertissement, lors du déploiement de l'application et au lancement de celle-ci, si des applications se sont vues octroyer des autorisations personnalisées. Les droits d'accès personnalisés sont des droits définis par les applications utilisateur et non pas des droits d'accès à l'API Java. Les droits d'accès à l'API Java sont des droits définis dans les packages java.* et javax.*.

Le serveur d'applications fournit le support de gestion du fichier de règles. Un certain nombre de fichiers de règles sont disponibles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune base de code n'est définie et aucune base de code associée n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste de droits que vous ne souhaitez pas accorder à une application donnée, conformément à la spécification J2EE 1.4. Pour plus d'informations concernant les droits d'accès, consultez le lien relatif aux fichiers de règles J2S (Java2 Security).

Important : Vous ne pouvez pas activer cette option sans activer celle Utiliser la sécurité Java 2 pour limiter l'accès de l'application aux ressources locales.
Valeur par défaut Désactivé
Limiter l'accès aux données d'authentification des ressources

Activez cette option pour limiter l'accès de l'application aux données sensibles d'authentification de mappage JCA (Java Connector Architecture).

Activez cette option lorsque les deux conditions ci-dessous sont vraies :
  • La sécurité Java 2 est activée.
  • Le code de l'application reçoit les droits accessRuntimeClasses WebSphereRuntimePermission dans le fichier was.policy qui se trouve dans le fichier EAR (Enterprise Archive) de l'application. Par exemple, l'autorisation est accordée au code de l'application lorsque la ligne ci-dessous figure dans le fichier was.policy :
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

L'option Limiter l'accès aux données d'authentification des ressources ajoute une vérification d'autorisation de sécurité Java 2 à granularité fine au mappage principal par défaut de l'implémentation WSPrincipalMappingLoginModule. Vous devez octroyer explicitement des droits aux applications J2EE (Java 2 Platform, Enterprise Edition) qui utilisent l'implémentation WSPrincipalMappingLoginModule directement pour la connexion JAAS (Java Authentication and Authorization Service) lorsque les options Utiliser la sécurité Java 2 pour restreindre l'accès des applications aux ressources locales et Restriction d'accès aux données d'authentification de ressources sont activées.

Valeur par défaut Désactivé
Définition du domaine en cours

Indique le paramètre en cours pour le référentiel d'utilisateurs actif.

Cette zone est en lecture seule.

Définitions des domaines disponibles

Indique les référentiels de comptes utilisateur disponibles.

Les sélections s'affichent dans une liste déroulante contenant :
  • Système d'exploitation local
  • Registre LDAP autonome
  • Registre personnalisé autonome.
Définir comme actuel [AIX Solaris HP-UX Linux Windows] [z/OS]

Active le référentiel d'utilisateurs après qu'il a été configuré.

[AIX Solaris HP-UX Linux Windows] Un registre LDAP ou un registre d'utilisateurs personnalisé est nécessaire lors de l'exécution d'un utilisateur UNIX différent du superutilisateur ou dans un environnement multi-noeuds.

Vous pouvez configurer les paramètres de l'un des référentiels d'utilisateurs suivants :
Référentiels fédérés
Indiquez ce paramètre pour gérer les profils dans plusieurs référentiels sous un seul domaine. Le domaine peut se composer d'identités dans :
  • le référentiel basé sur fichiers qui est intégré au système,
  • un ou plusieurs référentiels externes,
  • à la fois le référentiel intégré, basé sur fichiers et un ou plusieurs référentiels externes.
Remarque : Pour afficher la configuration des référentiels fédérés, l'utilisateur doit disposer des droits d'administrateur.
Système d'exploitation local

[z/OS] Définissez ce paramètre si vous souhaitez que le serveur de sécurité configuré (RACF) (Resource Access Control Facility) ou compatible SAF (System Authorization Facility) soit utilisé comme registre d'utilisateurs du serveur d'applications.

[AIX Solaris HP-UX Linux Windows] [iSeries] Vous ne pouvez pas utiliser Système d'exploitation local dans un environnement multi-noeuds ou lors de l'exécution d'un utilisateur autre que le superutilisateur sur une plateforme UNIX.

[AIX Solaris HP-UX Linux Windows] Le registre d'utilisateurs du système d'exploitation local n'est valide que lorsque vous utilisez un contrôleur de domaine ou que la cellule de déploiement de réseau se trouve sur une machine unique. Dans ce dernier cas, vous ne pouvez pas répartir plusieurs noeuds d'une cellule sur plusieurs machines car cette configuration, qui utilise le registre d'utilisateurs de système d'exploitation local, n'est pas valide.

Registre LDAP autonome

Spécifiez ce paramètre pour utiliser les paramètres de registre LDAP autonome lorsque les utilisateurs et les groupes se trouvent dans un répertoire LDAP externe. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez au panneau Sécurité > Sécurité globale et cliquez sur Valider ou sur OK pour valider les modifications.

Remarque : De multiples serveurs LDAP étant pris en charge, ce paramètre peut concerner plusieurs registres LDAP.
Registre personnalisé autonome.
Spécifiez ce paramètre pour mettre en oeuvre votre propre registre personnalisé autonome qui implémente l'interface com.ibm.websphere.security.UserRegistry. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez au panneau Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.
Valeur par défaut Désactivé
Configurer...

Cette option permet de configurer les paramètres de sécurité globale.

Sécurité Web et SIP

Sous Authentification, développez Sécurité Web et SIP pour afficher les liens vers :

  • Paramètres généraux
  • Connexion unique (SSO)
  • Authentification Web SPNEGO
  • Relation de confiance
Paramètres généraux

Sélectionnez cette option pour indiquer les paramètres de l'authentification Web.

Connexion unique (SSO)

Sélectionnez cette option pour indiquer les valeurs de configuration de la connexion unique (SSO).

Le support SSO permet aux utilisateurs Web de s'authentifier lors de l'accès aux ressources WebSphere Application Server, telles que les fichiers HTML, JSP, les servlets, les beans enterprise et aux ressources Lotus Domino.

Authentification Web SPNEGO

Le mécanisme SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) fournit un moyen aux clients et au serveur Web de négocier le protocole d'authentification Web qui est utilisé afin d'autoriser les communications.

Relation de confiance

Sélectionnez cette option pour indiquer les paramètres de la relation de confiance. La relation de confiance permet de connecter des serveurs proxy inverses aux serveurs d'applications.

Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

Remarque : L'utilisation des intercepteurs de relations de confiance (TAI) pour l'authentification SPNEGO est désormais obsolète. Les panneaux de l'authentification Web SPNEGO fournissent désormais un moyen bien plus simple de configurer SPNEGO.
Sécurité RMI/IIOP

Sous Authentification, développez Sécurité RMI/IIOP pour afficher les liens vers :

  • Communications entrantes CSIv2
  • Communications sortantes CSIv2
Communications entrantes CSIv2

Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont reçues, et des paramètres de transport des connexions qui sont acceptées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).

Les fonctions d'authentification incluent trois couches d'authentification pouvant être utilisées simultanément :
  • Couche d'attribut CSIv2. La couche attributs peut contenir un jeton d'identité, qui est une identité provenant d'un serveur en amont qui est déjà authentifié. La couche de vérification d'identité possède la priorité la plus élevée, suivie de la couche de message, puis enfin, de la couche de transport. Si un client envoie les trois couches, seule celle d'identité est employée. Le certificat client SSL peut uniquement être employé comme identité s'il s'agit de la seule information présentée lors de la demande. Le client extrait l'IOR (Interoperable Object Reference) de l'espace de noms et lit les valeurs du composant référencé pour déterminer ce dont le serveur a besoin en matière de sécurité.
  • Couche de transport CSIv2. La couche de transport, couche inférieure, peut contenir un certificat client SSL (Secure Sockets Layer) comme identité.
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Couche de message CSIv2. La couche messages peut contenir un ID utilisateur et un mot de passe ou un jeton d'authentification avec délai d'expiration.
Communications sortantes CSIv2

Sélectionnez cette option pour spécifier les paramètres d'authentification des demandes qui sont envoyées, et des paramètres de transport des connexions qui sont initiées par ce serveur à l'aide du protocole d'authentification CSI (Common Secure Interoperability) d'OMG (Object Management Group).

Les fonctions d'authentification incluent trois couches d'authentification pouvant être utilisées simultanément :
  • Couche d'attribut CSIv2. La couche attributs peut contenir un jeton d'identité, qui est une identité provenant d'un serveur en amont qui est déjà authentifié. La couche de vérification d'identité possède la priorité la plus élevée, suivie de la couche de message, puis enfin, de la couche de transport. Si un client envoie les trois couches, seule celle d'identité est employée. Le certificat client SSL peut uniquement être employé comme identité s'il s'agit de la seule information présentée lors de la demande. Le client extrait l'IOR (Interoperable Object Reference) de l'espace de noms et lit les valeurs du composant référencé pour déterminer ce dont le serveur a besoin en matière de sécurité.
  • Couche de transport CSIv2. La couche de transport, couche inférieure, peut contenir un certificat client SSL (Secure Sockets Layer) comme identité.
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Couche de message CSIv2. La couche messages peut contenir un ID utilisateur et un mot de passe ou un jeton d'authentification avec délai d'expiration.
JAAS (Java authentication and authorization Service)

Sous Authentification, développez Java Authentication and Authorization Service pour afficher les liens vers :

  • Connexions d'application
  • Connexions de système
  • Données d'authentification J2C
Connexions d'application

Sélectionnez cette option pour définir les configurations de connexion qui sont utilisées par JAAS.

Ne supprimez pas les configurations de connexion ClientContainer, DefaultPrincipalMapping et WSLogin car d'autres applications peuvent les utiliser. Si ces configurations sont supprimées, d'autres applications peuvent échouer.

Connexions de système

Sélectionnez cette option pour définir les configurations de connexion JAAS qui sont utilisées par les ressources système, notamment le mécanisme d'authentification, le mappage principal et le mappage du justificatif.

Données d'authentification J2C

Sélectionnez cette option pour définir les paramètres des données d'authentification J2C (Java 2 Connector) du service JAAS (Java Authentication and Authorization Service).

Vous pouvez utiliser les paramètres de sécurité globale ou personnaliser les paramètres pour un domaine.

LTPA

Sélectionnez cette option pour chiffrer les informations d'authentification de sorte que le serveur d'applications puisse envoyer des données entre deux serveurs en toute sécurité.

Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme LTPA (Lightweight Third-Party Authentication).

Kerberos et LTPA

Sélectionnez cette option pour chiffrer les informations d'authentification de sorte que le serveur d'applications puisse envoyer des données entre deux serveurs en toute sécurité.

Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme Kerberos.
Remarque : Kerberos doit être configuré avant de pouvoir sélectionner cette option.
Configuration Kerberos

Permet de chiffrer les informations d'authentification afin que le serveur d'applications puisse envoyer des données d'un serveur à un autre en toute sécurité.

Le chiffrement des informations d'authentification échangées entre les serveurs implique le mécanisme KRB5 ou LTPA.

Paramètres de la mémoire cache d'authentification

Permet de configurer les paramètres de votre mémoire cache d'authentification.

Utilisation des noms d'utilisateur complets du domaine

Spécifie que les noms d'utilisateur renvoyés par les méthodes (méthode getUserPrincipal, par exemple) sont qualifiés avec le domaine de sécurité dans lequel elles se trouvent.

Domaines de sécurité

Utilisez le lien Domaine de sécurité pour configurer d'autres configurations des paramètres de sécurité pour les applications d'utilisateur.

Par exemple, si vous voulez utiliser un autre registre d'utilisateurs pour un ensemble d'applications d'utilisateur autre que celle qui est utilisée au niveau global, vous pouvez créer une configuration des paramètres de sécurité avec ce registre d'utilisateurs, puis l'associer à cet ensemble d'applications. Ces configurations des paramètres de sécurité supplémentaires peuvent être associées aux différentes portées (cellule, clusters/serveurs, SIBuses). Une fois que les configurations des paramètres de sécurité ont été associées avec une portée de toutes les applications d'utilisateur de cette portée, utilisez cette configurations des paramètres de sécurité. Pour plus de détails, voir Domaines de sécurité multiples.

Vous pouvez utiliser les paramètres de la sécurité globale ou personnaliser les paramètres du domaine pour chaque attribut de sécurité.

Fournisseurs d'autorisations externes

Sélectionnez cette option pour spécifier si vous devez utiliser la configuration d'autorisation par défaut ou un fournisseur d'autorisations externe.

Les fournisseurs externes doivent être basés sur la spécification JAAC (Java Authorization Contract for Containers) pour gérer l'autorisation J2EE (Java(TM) 2 Platform, Enterprise Edition). Ne modifiez pas les paramètres dans les panneaux du fournisseur d'autorisations sauf si vous avez configuré un fournisseur de sécurité externe comme fournisseur d'autorisations JACC.

Propriétés personnalisées

Sélectionnez cette option pour spécifier les paires de données nom-valeur, où le nom est une clé de propriété et la valeur est une chaîne.




Les liens marqués (en ligne) requièrent un accès à Internet.

Concepts associés
Tâches associées
[AIX Solaris HP-UX Linux Windows] [iSeries]
Référence associée
Paramètres d'authentification des marqueurs RSA
Mécanismes et expiration d'authentification
Paramètres du système d'exploitation local
Paramètres de registre LDAP autonome
[z/OS] Récapitulatif des contrôles
Registre personnalisé autonome
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
Configuration des domaines de sécurité
Information associée
[AIX Solaris HP-UX Linux Windows] [iSeries] Programme de validation de module cryptographique (en ligne)


Nom du fichier : usec_secureadminappinfra.html