Paramètres de sécurité générauxCette page permet de configurer la sécurité. Lorsque vous activez la sécurité, vous activez les paramètres de sécurité au niveau global. Lorsque la sécurité est désactivée, les performances de WebSphere Application Server augmentent de 10 à 20 %. Par conséquent, pensez à désactiver la sécurité lorsqu'elle n'est pas nécessaire.
Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale.
Si vous configurez la sécurité pour la première fois, suivez la procédure de la rubrique "Configuration de la sécurité globale" de la documentation pour éviter d'éventuels incidents. Une fois la sécurité configurée, validez toutes les modifications apportées aux panneaux du registre ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. L'authentification de l'ID serveur est tentée dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité globale peut éviter des incidents lors du prochaine redémarrage du serveur.
Onglet Configuration
Dans la documentation WebSphere Application Server, cet indicateur est communément appelé indicateur de sécurité globale. Lors de l'activation de la sécurité, définissez la configuration du mécanisme d'authentification et indiquez un ID utilisateur et un mot de passe valides dans la configuration du registre d'utilisateurs sélectionnée.
| Type de données : | Booléen |
| Valeur par défaut : | Désactivée |
Lorsque la sécurité Java 2 est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, alors l'exécution de l'application peut ne pas aboutir tant que les droits requis ne dont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui disposent de tous les droits requis. Reportez-vous à l'InfoCenter et consultez les sections relatives à la sécurité Java 2 et aux règles dynamiques si n'êtes pas familiarisé avec la sécurité Java 2.
Si votre serveur ne redémarre pas une fois que vous avez activé la sécurité globale, vous pouvez la désactiver. Accédez au répertoire $<racine_install>\bin et exécutez la commande wsadmin -conntype NONE. A l'invite wsadmin>, entrez securityoff puis exit pour revenir à une invite de commande. Redémarrez le serveur en désactivant la sécurité afin de vérifier les paramètres incorrects dans la console d'administration.
| Type de données : | Booléen |
| Valeur par défaut : | Désactivée |
| Portée : | Activée ou Désactivée |
| Type de données : | Booléen |
| Valeur par défaut : | Désactivée |
| Portée : | Activée ou Désactivée |
![[5.0 only]](v50x.gif)
Si vous activez l'option Utiliser les noms d'utilisateurs
qualifiés du domaine dans le volet de configuration Sécurité > Sécurité
globale, l'appel d'exécution getCallerPrincipal() depuis un bean d'entreprise
renvoie le nom qualifié avec le domaine antéposé deux fois. Par exemple, le format
de retour est domaine/domaine/utilisateur.
Vous pouvez éliminer le premier domaine de la valeur renvoyée lorsque vous effectuez
des appels API.
L'API de servlet getUserPrincipal() fonctionne correctement.
Si la sécurité de WebSphere Application Server est activée, le délai d'expiration de la mémoire cache de la sécurité peut affecter les performances. Le paramètre du délai d'expiration indique la périodicité de la régénération des mémoires cache associées à la sécurité. Les informations de sécurité relatives aux beans, aux droits d'accès et aux justificatifs sont placées en cache. Lorsque le délai d'expiration de la mémoire cache est dépassé, toutes les informations en mémoire cache deviennent non valides. Dès lors, toute demande portant sur l'une de ces informations nécessite une nouvelle consultation de la base de données. L'obtention de ces informations nécessite parfois l'appel d'un protocole LDAP (Lightweight Directory Access Protocol) ou d'un mécanisme d'authentification natif. Ces deux appels sont des opérations coûteuses en termes de performances. Déterminez le meilleur compromis pour l'application, en fonction des modèles d'utilisation et des besoins en matière de sécurité du site.
Lors d'un test de performance de 20 minutes, il s'est avéré qu'en choisissant un délai d'expiration de la mémoire cache tel que ce délai n'était jamais dépassé, les performances étaient améliorées de 40 %.
| Type de données : | Integer (entier) |
| Unités : | Secondes |
| Valeur par défaut : | 600 |
| Portée : | Supérieur à 30 secondes |
Le produit WebSphere fournit le support pour la gestion du fichier de règles. Il existe un certain nombre de fichiers de règles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune valeur code définie ou relative n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste des droits interdits pour une application donnée suivant la spécification J2EE 1.3. Pour obtenir plus d'informations sur les droits d'accès, reportez-vous à l'article Gestion de la règle Java 2 Security de l'InfoCenter.
| Type de données : | Booléen |
| Valeur par défaut : | Désactivée |
| Portée : | Activée ou Désactivée |
Un protocole OMG (Object Management Group) appelé CSIV2 (Common Secure Interoperability Version 2) prend en charge l'interopérabilité avec les différents fournisseurs accrue ainsi que les fonctions supplémentaires. Si tous les serveurs de votre domaine de sécurité sont des serveurs de la version 5, indiquez CSI en tant que protocole. Si certains serveurs sont des serveurs de la version 3.x ou 4.x, indiquez CSI et SAS.
| Type de données : | Chaîne |
| Valeur par défaut : | LES DEUX |
| Portée : | CSI et SAS, CSI |
WebSphere Application Server, Version 5 prend en charge les mécanismes d'authentification suivants : SWAM (Simple WebSphere Authentication Mechanism) et LTPA (Lightweight Third Party Authentication).
| Type de données : | Chaîne |
| Valeur par défaut : | SWAM (WebSphere Application Server) |
| Portée : | SWAM, LTPA |
Les paramètres de l'un des registres d'utilisateurs suivants peuvent être configurés :
| Type de données : | Chaîne |
| Valeur par défaut : | Système d'exploitation local |
| Portée : | Système d'exploitation local, LDAP, Personnalisé |
![[Version 5.0.2 et versions ultérieures]](v502.gif)
Si l'option Utiliser FIPS est activée, l'implémentation LTPA emploie IBMJCEFIPS. IBMJCEFIPS gère les algorithmes cryptographiques agréés FIPS (Federal Information Processing Standard) pour les normes DES, Triple DES et AES. Bien que les clés LTPA soient rétrocompatibles avec les versions antérieures de WebSphere Application Server, le jeton LTPA n'est pas compatible avec les versions antérieures.
WebSphere Application Server est doté d'un fournisseur JSSE agréé FIPS appelé IBMJSSEFIPS. Un fournisseur JSSE agréé FIPS requiert le protocole TLS, car il n'est pas compatible avec le protocole SSL. Si vous cochez l'option Utiliser FIPS avant de spécifier un fournisseur JSSE agréé FIPS et un protocole TLS, le message d'erreur suivant s'affiche en haut du volet Sécurité globale :
La règle de sécurité est configurée pour n'appliquer que les algorithmes cryptographiques approuvés. Or, une configuration SSL au moins ne semble pas utiliser un fournisseur JSSE agréé FIPS. Il n'est pas possible d'utiliser les algorithmes cryptographiques agréés FIPS dans ces cas.Pour remédier à ce problème, configurez votre fournisseur JSSE et votre protocole de sécurité dans le volet Répertoires de configuration SSL en procédant de l'une des manières suivantes :