Sécurisation de serveurs d'applications spécifiques

La sécurité peut être dans une certaine mesure personnalisée au niveau du serveur d'applications. Vous pouvez désactiver la sécurité d'administration sur un serveur d'applications.

Avant de commencer

Fonctionnalité obsolète: La sécurité au niveau du serveur a été dépréciée dans cette édition de WebSphere® Application Server. La prise en charge de plusieurs domaines de sécurité a été ajoutée à la place. Vous pouvez créer différentes configurations de sécurité et les affecter à différentes applications dans les processus WebSphere Application Server . En créant plusieurs domaines de sécurité, vous pouvez configurer différents attributs de sécurité pour à la fois les applications d'administration et d'utilisateur d'un environnement de cellules. Vous pouvez configurer diverses applications de manière à ce qu'elles utilisent des configurations de sécurité différentes en attribuant les serveurs, clusters ou bus d'intégration système hébergeant ces applications aux domaines de sécurité. Pour plus d'informations, voir Domaines de sécurité multiples .

Vous pouvez également modifier la sécurité Java™ 2 et certains des autres attributs de sécurité qui se trouvent dans le panneau Sécurité globale. Ce panneau permet d'accéder aux paramètres de sécurité de niveau cellule. Vous ne pouvez pas configurer un mécanisme d'authentification ou un registre d'utilisateurs différent au niveau du serveur. Cette fonctionnalité est réservée à la configuration au niveau de la cellule.

Par défaut, la sécurité serveur hérite de toutes les valeurs configurées pour la sécurité au niveau de la cellule. Pour remplacer la configuration de sécurité de niveau cellule au niveau du serveur, cliquez sur Serveurs > Serveurs d'applications > nom_serveur. Dans la section Sécurité, sélectionnez Sécurité du serveur, puis cliquez sur l'un des liens suivants :

  • Authentification des communications entrantes CSIv2
  • Authentification des communications sortantes CSIv2
  • Transport des communications entrantes CSIv2
  • Transport des communications sortantes CSIv2
  • Transport des communications entrantes SAS [AIX Solaris HP-UX Linux Windows][IBM i]
  • Transport sortant SAS [AIX Solaris HP-UX Linux Windows][IBM i]
  • [z/OS]Authentification z/SAS
  • Sécurité au niveau du serveur
[AIX Solaris HP-UX Linux Windows][IBM i]Remarque: SAS est pris en charge uniquement entre les serveurs de la version 6.0.x et les serveurs de la version précédente qui ont été fédérés dans une cellule de la version 6.1 .
[z/OS]Remarque: z/SAS est pris en charge uniquement entre les serveurs de la version 6.0.x et les serveurs de la version précédente qui ont été fédérés dans une cellule de la version 6.1 .
Une fois que la configuration a été modifiée dans l'un de ces panneaux et que vous avez cliqué sur OK ou sur Valider, la configuration de la sécurité pour ce ou ces panneaux remplace la sécurité au niveau de la cellule. D'autres panneaux non remplacés sont encore hérités au niveau de la cellule. Toutefois, vous pouvez à tout moment revenir à la configuration d'origine. Vous pouvez revenir à la configuration de la sécurité au niveau de la cellule en désactivant la case à cocher associée à l'une des options suivantes dans le panneau Sécurité du serveur :
  • Les paramètres de sécurité de ce serveur se substituent aux paramètres de cellule
  • La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule
  • La sécurité SAS de ce serveur remplace les paramètres de cellule
[z/OS]Un certain nombre d'attributs supplémentaires de Secure Authentication Services for z/OS® (z/SAS) peuvent être pris en compte pour la sécurité au niveau du serveur, par exemple:
  • Identité locale
  • l'identité distante,
  • la synchronisation par rapport à l'unité d'exécution admise.

[z/OS][AIX Solaris HP-UX Linux Windows]Pour plus d'informations, voir Serveur et sécurité administrative.

Procédure

  1. Démarrez la console d'administration pour le gestionnaire de déploiement.
    Pour accéder à la console d'administration, accédez àhttp://host.domain:port_number/ibm/console. Si la sécurité est désactivée, vous pouvez entrer n'importe quel ID. Sinon, vous devez entrer un ID et un mot de passe valides ; l'ID administrateur configuré pour le registre d'utilisateurs ou un ID utilisateur ayant des droits d'administrateur. Pour ajouter un ID utilisateur ayant des droits d'administrateur, cliquez sur Administration du système > Utilisateurs de la console.
  2. Configurez la sécurité au niveau de la cellule si ce n'est déjà fait.
    Pour connaître les étapes détaillées, voir Activation de la sécurité . Une fois la sécurité configurée, définissez la sécurité au niveau du serveur.
    Attention: La sécurité au niveau du serveur n'est pas activée lorsque vous sélectionnez l'option Activer la sécurité des applications dans les paramètres de sécurité au niveau du serveur de la console d'administration. Vous devez également activer la sécurité au niveau de la cellule en sélectionnant l'option Activer la sécurité administrative dans le panneau Paramètres de sécurité globale de la console d'administration.
  3. Pour configurer la sécurité au niveau du serveur, cliquez sur Serveurs > Serveurs d'applications > nom du serveur. Dans le menu Sécurité, cliquez sur Sécurité du serveur.
    Le niveau de sécurité actif pour ce serveur d'applications s'affiche.

    [AIX Solaris HP-UX Linux Windows][IBM i]Par défaut, vous pouvez voir que votre configuration de sécurité au niveau de la cellule, CSI (Common Secure Interoperability) et SAS n'a pas été remplacée au niveau du serveur. CSI et SAS sont des protocoles d'authentification pour les demandes de sécurité RMI/IIOP. Le panneau Sécurité au niveau serveur répertorie les attributs figurant dans le panneau Sécurité globale et pouvant être remplacés au niveau du serveur. Les attributs du panneau Sécurité globale ne peuvent pas tous être remplacés au niveau du serveur ; c'est le cas du référentiel de compte utilisateur.

    [z/OS]Vous constaterez que par défaut, la configuration de la sécurité au niveau de la cellule et l'authentification CSI (Common Secure Interoperability) et z/SAS n'ont pas été remplacées au niveau du serveur. CSI et z/SAS sont des protocoles d'authentification pour les demandes de sécurité RMI/IIOP. Le panneau Sécurité au niveau serveur répertorie les attributs figurant dans le panneau Sécurité globale et pouvant être remplacés au niveau du serveur. Les attributs du panneau Sécurité globale ne peuvent pas tous être remplacés au niveau du serveur ; c'est le cas du référentiel de compte utilisateur.

  4. Pour activer la sécurité administrative pour ce serveur d'applications, accédez au panneau de sécurité au niveau du serveur, sélectionnez les paramètres de sécurité de ce serveur qui remplacent le paramètre de cellule et les options Activer la sécurité de l'application .
    Les modifications effectuées dans le panneau de sécurité au niveau du serveur remplacent les paramètres de sécurité au niveau de la cellule.
  5. Cliquez sur Appliquer et sur Sauvegarder.
  6. Pour activer la sécurité RMI/IIOP pour le serveur d'applications, accédez au panneau de sécurité au niveau du serveur, sélectionnez l'option La sécurité RMI/IIOP pour ce serveur remplace les paramètres de cellule et cliquez sur Appliquer.
    Si vous sélectionnez l'option La sécurité RMI/IIOP de ce serveur se substitue aux paramètres de cellule, les modifications que vous apportez aux paramètres d'authentification CSIv2 ou de transport sont appliquées au niveau de la cellule.

Etape suivante

La sécurité de niveau serveur est généralement employée pour désactiver la sécurité utilisateur pour un serveur d'applications spécifique. Toutefois, elle peut aussi permettre de désactiver ou d'activer le gestionnaire de sécurité Java 2, ainsi que de configurer les conditions d'authentification pour les demandes RMI/IIOP entrantes et sortantes.

Une fois que vous avez modifié la configuration d'un serveur d'applications donné, vous devez redémarrer ce dernier. Pour ce faire, sélectionnez Serveurs > Serveurs d'applications et cliquez sur le nom du serveur récemment modifié. Cliquez sur Arrêter , puis sur Démarrer.

Si vous avez désactivé la sécurité pour le serveur d'applications, vous pouvez tester les adresses Web qui sont protégées lorsque la sécurité est activée.

[AIX Solaris HP-UX Linux Windows][IBM i]L'application snoop est l'une des applications URL qui est généralement installée lors de l'installation de DefaultApplication. Si le site DefaultApplication est installé sur le serveur d'application, vérifiez que la sécurité est désactivée en allant sur le site URL :http://host.domain:9080/snoop. Si la sécurité est désactivée, une invite ne s'affiche pas. Cette adresse URL est l'une des méthodes permettant de valider la configuration. Indiquez que la configuration est adaptée à vos applications.