Création de profils de proxy sécurisé

Vous pouvez créer un profil de proxy sécurisé qui servira de point d'entrée initial à votre environnement d'entreprise. En général, un serveur proxy sécurisé existe dans la zone démilitarisée ; il accepte les requêtes des clients sur Internet et les transmet aux serveurs de votre environnement d'entreprise.

Avant de commencer

Avant d'utiliser l 'outil de gestion des profils, installez les fichiers du produit principal. Vous pouvez créer deux types de profils de proxy sécurisé en fonction des fichiers produit principaux installés, Les fichiers du produit principal peuvent être destinés à une WebSphere® Application Server Network Deployment installation ou à une installation du serveur DMZ Secure Proxy.

Fonctionnalité obsolète : DMZ Secure Proxy Le serveur est obsolète.

Pour plus d'informations sur les profils créés pour les différentes installations, voir la rubrique A propos de cette tâche.

L 'outil de gestion des profils est l'interface utilisateur graphique de la manageprofiles commande.Pour plus d'informations, consultez la description de la manageprofiles commande.

Vous devez fournir suffisamment d'espace système temporaire pour la création d'un profil. Pour plus d'informations, lisez les remarques relatives aux exigences de système de fichiers pour les profils.

Attention : lorsque vous lancez l 'outil de gestion des profils, celui-ci peut se bloquer dans la situation suivante pour un utilisateur non root : connectez-vous à une machine en tant que root, utilisez l'utilitaire SetPermissions pour changer l'utilisateur de x à y. Supposons que vous êtes l'utilisateur x et que vous vous reconnectez à la machine. Lancez l 'outil de gestion des profils, cliquez sur Outil de gestion des profils, puis sur Créer. Une fois que vous avez cliqué sur Créer, l'outil peut se verrouiller au clic suivant.

Attention : lorsque vous utilisez l 'outil de gestion des profils avec l'interface utilisateur graphique Motif sous le système d'exploitation Solaris, la taille par défaut de l 'outil de gestion des profils peut être trop petite pour afficher tous les messages et boutons de l 'outil de gestion des profils. Pour résoudre ce problème, ajoutez les lignes suivantes dans le fichier racine_serveur_app/.Xdefaults :

Eclipse*spacing:0
Eclipse*fontList:-misc-fixed-medium-r-normal-*-10-100-75-75-c-60-iso8859-1

Après avoir ajouté les lignes, exécutez la commande suivante avant de lancer l 'outil de gestion des profils :

xrdb -load user_home/.Xdefaults

1. Lancez l 'outil de gestion des profils pour créer un nouvel environnement d'exécution.
   Pour démarrer l'outil, procédez de l'une des manières suivantes :

   • Exécutez la commande pour ouvrir la boîte à outils de personnalisation d' WebSphere directement à partir d'une invite de commande, puis ouvrez l 'outil de gestion des profils.
   • Sélectionnez l'option Boîte à outils de personnalisation d' WebSphere dans la console Premiers pas, puis ouvrez l 'outil de gestion des profils.
   • Utilisez le menu Démarrer pour accéder à la boîte à outils de personnalisation d' WebSphere, puis ouvrez l 'outil de gestion des profils.
   • Utilisez les menus du système d'exploitation Linux® qui servent à démarrer les programmes pour lancer la boîte à outils de personnalisation d' WebSphere, puis ouvrez l 'outil de gestion des profils.
2. Cliquez sur Créer dans l'onglet Profils pour créer un nouveau profil.

   L'onglet Profils contient la liste des profils créés sur votre machine. Aucune action ne peut être réalisée sur le profil sélectionné sauf si ce dernier peut être étendu. Le bouton Augmentation est désactivé sauf si le profil sélectionné peut être étendu.

   L'outil affiche le panneau Sélection d'environnements.

3. Sélectionnez Proxy sécurisé (configuration uniquement) pour WebSphere Application Server Network Deployment l'image ou Proxy sécurisé pour l'image DMZ, puis cliquez sur Suivant.

   Le panneau Options de création des profils apparaît.

4. Sélectionnez Création de profil type ou Création de profil avancé, puis cliquez sur Suivant.

   L'option Création d'un profil standard permet de créer un profil qui utilise les paramètres de configuration par défaut. L'option Création d'un profil avancé permet de spécifier vos propres valeurs de configuration pour un profil.

5. Si vous avez sélectionné Création d'un profil type au début de ces étapes, passez à l'étape qui affiche la sécurité administrative.
6. Indiquez un nom de profil ainsi que le chemin d'accès pour le répertoire de profil, ou acceptez les valeurs par défaut. Ensuite, cliquez sur Suivant.
   Instructions concernant l'attribution d'un nom au profil : les caractères codés sur deux octets sont pris en charge. Le nom de profil peut être un nom unique avec les restrictions suivantes. N'utilisez aucun de ces caractères quand vous attribuez un nom à votre profil :

   • Espaces
   • Les caractères spéciaux ne sont pas admis dans le nom d'un répertoire sur votre système d'exploitation. Exemple : *&?,
   • Barres obliques (/) ou (\)

   Le profil par défaut

   Le premier profil que vous créez sur une machine est le profil par défaut. Ce profil est la cible par défaut pour les commandes exécutées à partir du répertoire bin dans la racine d'installation du produit. Si un seul profil existe sur une machine, toutes les commandes fonctionnent sur l'unique processus serveur de la configuration. Lorsque vous créez un autre profil, vous pouvez faire en sorte qu'il devienne le nouveau profil par défaut en sélectionnant l'option Faire de ce profil la valeur par défaut dans le panneau Nom et emplacement du profil de Création d'un profil avancé. Vous pouvez également définir un autre profil comme profil par défaut en utilisant la commande manageprofiles après avoir créé le profil en question.

   Adressage d'un profil dans un environnement à profils multiples

   Si plusieurs profils existent sur votre machine, il est nécessaire, dans certains cas, d'indiquer le profil auquel la commande s'applique si le profil n'est pas le profil par défaut. Ces commandes utilisent le paramètre -profileName pour identifier le profil à traiter. L'utilisation des commandes se trouvant dans le répertoire bin de chaque profil peut s'avérer plus facile.

   Utilisez ces commande pour interroger le shell de commandes afin de déterminer le profil appelant et d'attribuer ces commandes au profil appelant.

   Informations de profil par défaut

   Le nom du profil par défaut est <profile_type><profile_number>:

   • <profile_type> est une valeur de AppSrv, Dmgr, Custom, AdminAgent JobMgr, ou SecureProxySrv.
   • <profile_number> est un numéro séquentiel utilisé pour créer un nom de profil unique

   Le répertoire de profils par défaut est app_server_root /profiles, où app_server_root est le répertoire racine de l'installation.

   Le répertoire de profils par défaut est app_server_root \profiles, où app_server_root correspond à la racine d'installation.

7. Dans le panneau Nom de noeud et d'hôte, spécifiez un nom de noeud unique, un nom de serveur et le nom d'hôte de la machine. Cliquez sur Suivant.

   Tableau 1. Caractéristiques du nœud serveur proxy sécurisé.

   Ce tableau présente les caractéristiques du noeud du proxy sécurisé.

   Nom de la zone	Valeur par défaut	Contraintes	Descriptif
   Nom de noeud	shortHostName Node où : nomHôteAbrégé est un nom d'hôte abrégé. numéroNoeud est un nombre séquentiel commençant par 01.	Utilisez un nom unique pour le serveur proxy sécurisé.	Le nom est utilisé pour l'administration dans la cellule du gestionnaire de déploiement.
   Nom du serveur	proxy1	Indique le nom logique du serveur. Les noms de serveur doivent être uniques dans un noeud. Cependant, dans un cluster comportant plusieurs noeuds, des serveurs différents peuvent porter le même nom tant que les paires serveur-noeud sont uniques.	Le nom du serveur est utilisé pour l'administration dans la cellule du gestionnaire de déploiement.
   Nom d'hôte	Forme longue du nom DNS.	Le nom d'hôte doit être adressable via votre réseau.	Utilisez le nom DNS ou l'adresse IP de ordinateur machine pour communiquer avec lui. Voir les autres informations concernant le nom d'hôte mentionné après le tableau.

   Noms réservés : évitez d'utiliser des noms de dossier réservés comme valeurs de zone. L'utilisation des noms de dossier réservés peut entraîner des résultats imprévisibles. Les termes suivants sont réservés pour les noms de dossier :

   • cellules
   • nodes
   • servers
   • clusters
   • applications
   • déploiements

   Longueur du chemin de répertoire :

   Le nombre de caractères dans le répertoire profiles_directory_path\profile_name doit être inférieur ou égal à 80 caractères.

   Remarques sur le nom d'hôte :

   Le nom d'hôte correspond au nom de réseau de la machine physique sur laquelle le noeud est installé. Il doit être converti en noeud réseau physique sur le serveur. Si le serveur contient plusieurs cartes réseau, le nom d'hôte ou l'adresse IP doit être converti sur l'une d'elles. Les noeuds éloignés utilisent le nom d'hôte pour se connecter à ce noeud et communiquer avec lui. Il est primordial de sélectionner un nom d'hôte auquel d'autres machines peuvent accéder sur le réseau. N'utilisez pas l'identificateur générique localhost pour cette valeur. De plus, n'essayez pas d'installer les produits WebSphere Application Server sur un ordinateur dont le nom d'hôte utilise des caractères issus d'un jeu de caractères à double octet (DBCS). Les caractères à deux octets ne sont pas pris en charge dans le nom d'hôte.

   Si vous définissez des noeuds coexistant sur le même système avec des adresses IP uniques, définissez chaque adresse IP dans une table de recherche DNS (Domain Name Server). Les fichiers de configuration des serveurs d'applications autonomes ne fournissent pas de fonction de résolution du nom de domaine pour les adresses IP définies sur un système doté d'une adresses réseau unique.

   La valeur indiquée pour le nom d'hôte est utilisée pour la valeur de propriété hostName dans les fichiers de configuration du serveur d'applications autonome. Indiquez la valeur du nom d'hôte dans l'un des formats suivants :

   • Chaîne représentant le nom d'hôte DNS (Domain Name Server) complet, tel que xmachine.manhattan.ibm.com
   • Nom d'hôte DNS abrégé par défaut, tel que xmachine
   • Adresse IP numérique, telle que 127.1.255.3

   Le nom d'hôte DNS complet permet d'éviter toute ambiguïté et est extrêmement souple. Vous avez la possibilité de modifier l'adresse IP réelle du système hôte sans modifier la configuration du serveur d'applications. La valeur définie pour le nom d'hôte est particulièrement utile si vous avez l'intention de modifier fréquemment l'adresse IP lorsque vous utilisez DHCP (Dynamic Host Configuration Protocol) pour affecter des adresses IP. L'inconvénient de ce format est qu'il dépend d'un serveur DNS. Si le serveur DNS n'est pas disponible, la connectivité est compromise.

   Le nom d'hôte abrégé peut être résolu de manière dynamique. Par ailleurs, ce format peut être redéfini dans le fichier hosts local pour permettre au système d'exécuter le serveur d'applications même lorsqu'il est déconnecté du réseau. Pour lancer l'exécution en étant déconnecté, associez le nom abrégé à l'adresse de bouclage 127.0.0.1 dans le fichier hosts. L'inconvénient de ce format est qu'il dépend d'un serveur DNS pour l'accès distant. Si le serveur DNS n'est pas disponible, la connectivité est compromise.

   Dans ce dernier cas, la résolution du nom via DNS n'est pas nécessaire. Un noeud éloigné peut se connecter à l'hôte désigné par une adresse IP sans avoir recours au serveur DNS. L'inconvénient de ce format est que l'adresse IP numérique est fixe. Vous devez modifier le paramètre de la propriété hostName dans les fichiers de configuration Express lorsque vous modifiez l'adresse IP du système. Par conséquent, n'utilisez pas d'adresse IP si vous utilisez le protocole DHCP (Dynamic Host Configuration Protocol) ou si vous changez souvent d'adresse IP. En outre, vous ne pouvez pas utiliser le noeud si l'adresse IP de l'hôte est déconnectée du réseau.

   Après avoir affiché les noms du noeud, du serveur et de l'hôte pour le profil de proxy sécurisé, l'outil affiche le panneau Sélection du niveau de sécurité.

8. Acceptez les paramètres par défaut ou modifiez le niveau de sécurité du proxy et les protocoles, puis cliquez sur Suivant.

   Vous pouvez modifier les paramètres de sécurité une fois que vous avez créé le profil de serveur proxy sécurisé. Voir la rubrique Optimisation des propriétés de sécurité pour le serveur proxy sécurisé.

   Après avoir affiché les options de niveau de sécurité, l'outil affiche le panneau Sécurité administrative.

9. Activez éventuellement la sécurité administrative, puis cliquez sur Suivant.

   Vous pouvez désormais activer la sécurité administrative pendant la création de profil ou par la suite à partir de la console. Si vous activez la sécurité administrative maintenant, entrez un nom d'utilisateur et un mot de passe pour vous connecter à la console d'administration.

   Une fois les caractéristiques de sécurité spécifiées, l'outil affiche le panneau du certificat de sécurité si vous avez sélectionné Création d'un profil avancé.

10. Si vous avez sélectionné Création d'un profil type au début de ces étapes, passez à l'étape qui affiche le panneau Résumé du profil.
11. Créez un certificat personnel par défaut et un certificat de signature racine, ou importez un certificat personnel et un certificat de signature racine à partir de fichiers de stockage de clés, puis cliquez sur Suivant.

    Vous pouvez créer ou importer les deux certificats ou créer l'un et importer l'autre.

    Meilleure pratique : lorsque vous importez un certificat personnel comme certificat personnel par défaut, importez également le certificat racine qui a signé le certificat personnel. Sinon, l 'outil de gestion des profils ajoute le signataire du certificat personnel au fichier trust.p12.

    Si vous importez le certificat personnel par défaut ou le certificat signataire racine, spécifiez le chemin et le mot de passe et sélectionnez le type et l'alias du magasin de clés pour chaque certificat que vous importez.

12. Vérifiez que les informations du certificat sont correctes, puis cliquez sur Suivant.

    Lorsque vous créez des certificats, vous pouvez utiliser les valeurs par défaut ou les modifier. Le certificat personnel par défaut est valide pour l'année par défaut et est signé par le certificat signataire racine. Le certificat signataire racine est un certificat d'auto-signature valide par défaut pendant 15 ans. Le mot de passe du magasin de clés par défaut pour le certificat signataire racine est WebAS. Il est recommandé de le modifier. Le mot de passe ne peut pas contenir de caractères codés sur deux octets, car certains types de magasin de clés, comme PKCS12, ne les prennent pas en charge. Les types de magasin de clés pris en charge dépendent des fournisseurs qui figurent dans le fichier java.security.

    Lorsque vous créez ou importez l'un des certificats ou les deux, les fichiers de clés créés sont key.p12, trust.p12, root-key.p12, default-signers.p12, deleted.p12 et ltpa.jceks. Ces fichiers sont tous associés au même mot de passe lorsque vous créez ou importez les certificats, à savoir le mot de passe par défaut ou le mot de passe que vous spécifiez. Le fichier key.p12 contient le certificat personnel par défaut. Le fichier trust.p12 contient le certificat de signataire du certificat racine par défaut. Le fichier root-key.p12 contient le certificat signataire racine. Le fichier default-signer.p12 contient les certificats de signataire qui sont ajoutés à tout nouveau fichier de clés que vous créez après l'installation et le démarrage du serveur. Par défaut, le signataire du certificat racine par défaut se trouve dans le fichier de stockage de clés default-signer.p12. Le fichier de clés deleted.p12 contient les certificats supprimés à l'aide de la tâche deleteKeyStore, qui peuvent ainsi être restaurés le cas échéant. Le ltpa.jceks fichier contient les clés LTPA (Lightweight Third-Party Authentication) par défaut que les serveurs de votre environnement utilisent pour communiquer entre eux.

    Un certificat importé est ajouté au fichier key.p12 ou au fichier root-key.p12.

    Si vous importez des certificats mais qu'ils ne contiennent pas les informations dont vous avez besoin, cliquez sur Précédent pour en importer un autre.

    Après les panneaux relatifs aux certificats de sécurité, l'outil affiche le panneau Ports si vous avez sélectionné Création d'un profil avancé.

13. Vérifiez que les ports du profil proxy sécurisé sont uniques ou intentionnellement en conflit, puis cliquez sur Suivant.

    Résolution des conflits de port

    On considère qu'un port est utilisé si l'une des conditions suivantes est remplie :

    • Le port est associé à un profil créé dans une installation effectuée par l'utilisateur actuel.
    • Le port est en cours d'utilisation.

    La validation des ports se fait lorsque vous accédez au panneau Attribution de valeur de port. Des conflits peuvent encore se produire entre le panneau Attribution de valeur de port et le panneau Fin de la création du profil car les ports ne sont pas attribués avant la fin de la création du profil.

    Si vous soupçonnez un conflit de ports, vous pourrez essayer de l'identifier une fois le profil créé. Déterminez quels sont les ports utilisés pendant la création du profil en examinant les fichiers suivants.

    • fichier /properties/portdef.props profile_root
    • fichier \properties\portdef.props profile_root

    Les clés et les valeurs utilisées pour définir les ports sont également indiquées dans ce fichier. Si vous identifiez des conflits de ports, vous pouvez réaffecter les ports manuellement. Pour réaffecter des ports, exécutez le fichier updatePorts.ant à l'aide du script ws_ant.

    L'outil affiche le panneau de définition du service Windows si vous effectuez l'installation sur un système d'exploitation Windows et si l'ID d'installation dispose des privilèges du groupe administratif. L'outil affiche le panneau de définition du service Linux si vous effectuez l'installation sur un système d'exploitation Linux pris en charge et si l'ID qui exécute l'outil Profile Management Tool est l'utilisateur root.

14. Choisissez d'exécuter le serveur proxy sécurisé en tant que service Windows sur un système d'exploitation Windows ou en tant que service Linux sur un système d'exploitation Linux, puis cliquez sur Suivant.

    Le panneau de définition de service Windows s'affiche pour le système d'exploitation Windows uniquement si l'ID qui installe le service Windows dispose des privilèges du groupe administrateur. Toutefois, vous pouvez exécuter la commande WASService.exe pour créer le service Windows tant que l'ID responsable de l'installation appartient au groupe administrateur. Pour plus d'informations, lisez les rubriques relatives au redémarrage automatique des processus serveur.

    Le produit tente de démarrer les services Windows pour les processus proxy sécurisés qui sont lancés par une commande startServer. Par exemple, si vous configurez un serveur proxy sécurisé en tant que service Windows et que vous exécutez la commande startServer, la wasservice commande tente de démarrer le service défini.

    Si vous avez choisi d'installer un service système local, il n'est pas nécessaire d'indiquer votre ID utilisateur ni votre mot de passe. Si vous créez un type de service utilisateur spécifié, vous devez indiquer l'ID utilisateur ainsi que le mot de passe de l'utilisateur qui gère ce service. L'utilisateur doit disposer Log on as a service des autorisations nécessaires pour que le service fonctionne correctement. Si l'utilisateur ne dispose pas de Log on as a service l'autorisation, l'outil de gestion des profils ajoute automatiquement cette autorisation.

    Pour cette tâche de création de profil, l'ID utilisateur ne doit pas comporter d'espaces. En plus d'appartenir au groupe administrateur, l'ID doit également disposer de l'autorisation utilisateur Log on as a service avancée. Le programme d'installation accorde à l'ID utilisateur des droits utilisateur avancés si l'ID utilisateur ne dispose pas déjà des droits utilisateur avancés et appartient au groupe administrateur.

    Vous pouvez également créer d'autres services Windows, une fois l'installation terminée, pour démarrer d'autres processus serveur. Pour plus d'informations, lisez les rubriques relatives au redémarrage automatique des processus serveur.

    Pendant la suppression d'un profil, vous pouvez supprimer le service Windows ajouté lors de la création de profil. Vous pouvez aussi retirer le service Windows avec la commande wasservice.

    Remarques sur IPv6

    Les profils créés pour s'exécuter en tant que service Windows ne démarrent pas lorsque vous utilisez Internet Protocol Version 6.0 ( IPv6 ) si le service est configuré pour s'exécuter en tant que système local. Créez une variable d'environnement propre à l'utilisateur pour activer IPv6. Etant donné que cette variable d'environnement est une variable utilisateur au lieu d'une variable du système local, seul un service Windows s'exécutant comme utilisateur spécifique peut accéder à cette variable d'environnement. Lorsque par défaut, un nouveau profil est créé et configuré à s'exécuter comme service Windows, le service est défini pour s'exécuter comme système local. Lorsque le service Windows pour le processus du serveur proxy sécurisé tente de s'exécuter, il ne parvient pas à accéder à la variable d'environnement utilisateur qui spécifie IPv6 et tente donc de démarrer en tant que IPv4. Dans ce cas, le serveur ne démarre pas correctement. Pour résoudre le problème, lors de la création du profil, spécifiez que le service Windows pour le processus du serveur proxy sécurisé s'exécute avec le même ID utilisateur que celui à partir duquel la variable d'environnement qui spécifie IPv6 est définie, au lieu de Local System.

    Les valeurs par défaut suivantes sont appliquées pour le panneau de définition de service Windows :

    • Par défaut, l'exécution s'effectue en tant que service Windows.
    • Le processus de service est sélectionné pour une exécution en tant que compte système.
    • Le compte utilisateur correspond au nom d'utilisateur en cours. Les exigences relatives au nom d'utilisateur sont celles que le système d'exploitation Windows impose pour un ID utilisateur.
    • Le type de démarrage automatic est utilisé. Les valeurs des différents types de démarrage sont celles imposées par le système d'exploitation Windows. Si vous préférez un type de démarrage autre que automatic, sélectionnez une autre option disponible dans le menu ou modifiez le type de démarrage après avoir créé le profil. Vous pouvez également supprimer le service créé une fois le profil créé, puis l'ajouter ultérieurement avec le type de démarrage souhaité. Vous pouvez choisir de ne pas créer un service lors de la création du profil et de le créer ultérieurement avec le type de démarrage souhaité.

    Le panneau de définition du service Linux s'affiche si le système d'exploitation actuel est une version prise en charge des systèmes d'exploitation Linux et si l'utilisateur actuel dispose des autorisations appropriées.

    Le produit tente de démarrer les services Linux pour les processus de serveur d'applications qui sont lancés par la commande startServer. Par exemple, si vous configurez un serveur d'applications comme service Linux et émettez la commande startServer, la commande wasservice tente de démarrer le service défini.

    Par défaut, le produit ne s'exécute pas en tant que service Linux.

    Pour créer le service, l'utilisateur qui exécute l 'outil de gestion des profils doit être l'utilisateur root. Si vous exécutez l 'outil de gestion des profils avec un ID utilisateur non root, le panneau de définition du service Linux ne s'affiche pas et aucun service n'est créé.

    Lorsque vous créez un service Linux, vous devez spécifier un nom d'utilisateur à partir duquel le service s'exécute.

    Pour supprimer un service Linux, l'utilisateur doit être l'utilisateur root ou disposer de privilèges appropriés à cette opération. Sinon, un script de suppression est créé et l'utilisateur root peut l'utiliser pour supprimer le service à la place de l'utilisateur.

    L'outil affiche le panneau Options de création des profils.

15. Cliquez sur Créer pour créer le profil de serveur proxy sécurisé, ou cliquez sur Retour pour modifier les caractéristiques du profil.

    Le panneau Progression de la création du profil, qui contient les commandes de configuration en cours d'utilisation apparaît.

    Lorsque la création du profil est terminée, l'outil affiche le panneau Fin de la création du profil.

16. Si le profil de proxy sécurisé que vous créez fait partie de l'installation DMZ Secure Proxy Server for IBM® WebSphere Application Server, vous pouvez sélectionner Lancer la console Premiers pas. Cliquez sur Terminer pour quitter.

    La console Premiers pas permet de créer des profils supplémentaires et de lancer le serveur d'applications.

    Si le profil de proxy sécurisé que vous créez fait partie de WebSphere Application Server Network Deployment l'installation, vous n'avez pas la possibilité de lancer la console Premiers pas.