Configuration du mappage d'identités sortantes vers un domaine cible différent

Par défaut, lorsque WebSphere® Application Server effectue une demande sortante d'un serveur vers un autre serveur dans un domaine de sécurité différent, la demande est rejetée. Cette rubrique présente des alternatives pour permettre à un serveur d'envoyer des demandes sortantes à un serveur cible dans un domaine différent.

• Ne pas effectuer de mappage. Au lieu de cela, autorisez les informations de sécurité existantes à être transmises à un serveur cible sécurisé, même si le serveur cible réside dans un domaine différent.
  Procédez comme suit dans la console d'administration:
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous la sécurité RMI/IIOP, cliquez sur CSIv2.
  3. Spécifiez les domaines cible dans la zone Domaines cible sécurisés . Vous pouvez spécifier chaque domaine cible sécurisé séparé par une barre verticale (|).
     Par exemple, spécifiezserver_name.domain:port_numberpour un serveur LDAP (Lightweight Directory Access Protocol) ou le nom de la machine pour le système d'exploitation local. Si vous souhaitez propager des attributs de sécurité à un domaine cible différent, vous devez spécifier ce domaine cible dans la zone Domaines cible sécurisés .
• Utilisez la configuration de connexion de l'application WSLogin de Java™ Authentication and Authorization Service (JAAS) pour créer un sujet d'authentification de base contenant les données d'identification du nouveau domaine cible.
  Cette configuration vous permet de vous connecter avec un domaine, un ID utilisateur et un mot de passe spécifiques au registre d'utilisateurs du domaine cible. Vous pouvez fournir les informations de connexion à partir de l'application Java Platform, Enterprise Edition (Java EE) qui effectue la demande sortante ou à partir de la configuration de connexion système RMI_OUTBOUND. Ces deux options de connexion sont décrites dans les informations suivantes:
  1. Utilisez la configuration de connexion de l'application WSLogin à partir de l'application Java EE pour vous connecter et obtenir un sujet contenant l'ID utilisateur et le mot de passe du domaine cible.
     L'application peut encapsuler l'appel distant avec un appel WSSubject.doAs. Pour un exemple, voir Exemple: Utilisation de la configuration WSLogin pour créer un sujet d'authentification de base.
  2. Utilisez l'exemple de code dans Exemple: Utilisation de la configuration WSLogin pour créer un sujet d'authentification de base à partir de ce point de connexion dans la configuration de connexion RMI_OUTBOUND.
     Chaque demande RMI (Remote Method Invocation) sortante passe par cette configuration de connexion lorsqu'elle est activée. Pour activer et connecter cette configuration de connexion, procédez comme suit:

     1. Cliquez sur Sécurité > Sécurité globale.
     2. Sous Sécurité RMI/IIOP, cliquez sur CSIv2.
     3. Sélectionnez l'option Mappage sortant personnalisé . Si l'option Propagation des attributs de sécurité est sélectionnée, WebSphere Application Server utilise déjà cette configuration de connexion et vous n'avez pas besoin d'activer le mappage sortant personnalisé.
     4. Ecrivez un module de connexion personnalisé. Pour plus d'informations, voir Développement de modules de connexion personnalisés pour une configuration de connexion système pour JAAS.

        L' exemple de configuration de connexion pour RMI_OUTBOUND montre un module de connexion personnalisé qui détermine si les noms de domaine correspondent. Dans cet exemple, les noms de domaine ne correspondent pas et le module WSLoginmodule est utilisé pour créer un sujet d'authentification de base basé sur des règles de mappage personnalisées. Les règles de mappage personnalisées sont spécifiques à l'environnement client et doivent être implémentées à l'aide d'un utilitaire de mappage d'un domaine à un ID utilisateur et d'un mot de passe.

     5. Configurez la configuration de connexion RMI_OUTBOUND de sorte que votre nouveau module de connexion personnalisé figure en premier dans la liste.
        1. Cliquez sur Sécurité > Sécurité globale.
        2. Sous JAAS (Java Authentication and Authorization Service), cliquez sur Connexions système > RMI_OUTBOUND
        3. Sous Propriétés supplémentaires, cliquez sur JAAS > Nouveau pour ajouter votre module de connexion à la configuration RMI_OUTBOUND.
        4. Revenez au panneau des modules de connexion JAAS pour RMI_OUTBOUND.
        5. Cliquez sur Définir l'ordre pour modifier l'ordre de chargement des modules de connexion afin que votre connexion personnalisée soit chargée en premier.
• Ajoutez les options use_realm_callback et use_appcontext_callback au module de mappage sortant pour WSLogin.
  Pour ajouter ces options, procédez comme suit:
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous JAAS (Java Authentication and Authorization Service), cliquez sur Connexions d'application > WSLogin.
  3. Sous Propriétés supplémentaires, cliquez sur JAAS > com.ibm.ws.security.common.auth.module.WSLoginModuleImpl.
  4. Sous Propriétés supplémentaires, cliquez sur Propriétés personnalisées > Nouveau.
  5. Dans le panneau Propriétés personnalisées, entrezuse_realm_callbackdans la zone Nom ettruedans la zone Valeur .
  6. Cliquez sur OK.
  7. Cliquez sur Nouveau pour entrer la deuxième propriété personnalisée.
  8. Dans le panneau Propriétés personnalisées, entrezuse_appcontext_callbackdans la zone Nom ettruedans la zone Valeur .
  Les modifications suivantes sont apportées ausecurity.xmlfichier:

  <entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin">
   <loginModules xmi:id="JAASLoginModule_2" 
    moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" 
    authenticationStrategy="REQUIRED">
    <options xmi:id="Property_2" name="delegate" 
     value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/>
    <options xmi:id="Property_3" name="use_realm_callback" value="true"/>
    <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/>
   </loginModules>
  </entries>