[Version 5.0.2 et versions ultérieures]Paramètres de sécurité généraux

Cette page permet de configurer la sécurité. Lorsque vous activez la sécurité, vous activez les paramètres de sécurité au niveau global. Lorsque la sécurité est désactivée, les performances de WebSphere Application Server augmentent de 10 à 20 %. Par conséquent, pensez à désactiver la sécurité lorsqu'elle n'est pas nécessaire.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale.

Si vous configurez la sécurité pour la première fois, suivez la procédure de la rubrique "Configuration de la sécurité globale" de la documentation pour éviter d'éventuels incidents. Une fois la sécurité configurée, validez toutes les modifications apportées aux panneaux du registre ou du mécanisme d'authentification. Cliquez sur Valider pour valider les paramètres du registre d'utilisateurs. L'authentification de l'ID serveur est tentée dans le registre d'utilisateurs configuré. La validation des paramètres du registre d'utilisateurs une fois que vous avez activé la sécurité globale peut éviter des incidents lors du prochaine redémarrage du serveur.

Onglet Configuration

Activée
Indique au serveur d'activer les sous-systèmes de sécurité.

Dans la documentation WebSphere Application Server, cet indicateur est communément appelé indicateur de sécurité globale. Lors de l'activation de la sécurité, définissez la configuration du mécanisme d'authentification et indiquez un ID utilisateur et un mot de passe valides dans la configuration du registre d'utilisateurs sélectionnée.

Type de données : Booléen
Valeur par défaut : Désactivée
Application de la sécurité Java 2
Indique s'il est nécessaire d'activer ou de désactiver le contrôle des droits d'accès de la sécurité Java 2. Par défaut, la sécurité Java 2 est désactivée. Toutefois, l'activation de la sécurité globale active automatiquement la sécurité Java 2. Vous pouvez désactiver la sécurité Java 2 même lorsque la sécurité globale est activée.

Lorsque la sécurité Java 2 est activée et qu'une application requiert un plus grand nombre de droits de sécurité Java 2 que ceux attribués dans la règle par défaut, alors l'exécution de l'application peut ne pas aboutir tant que les droits requis ne dont pas attribués dans le fichier app.policy ou was.policy de l'application. Les exceptions AccessControl sont générées par les applications qui disposent de tous les droits requis. Reportez-vous à l'InfoCenter et consultez les sections relatives à la sécurité Java 2 et aux règles dynamiques si n'êtes pas familiarisé avec la sécurité Java 2.

Si votre serveur ne redémarre pas une fois que vous avez activé la sécurité globale, vous pouvez la désactiver. Accédez au répertoire $<racine_install>\bin et exécutez la commande wsadmin -conntype NONE. A l'invite wsadmin>, entrez securityoff puis exit pour revenir à une invite de commande. Redémarrez le serveur en désactivant la sécurité afin de vérifier les paramètres incorrects dans la console d'administration.

Type de données : Booléen
Valeur par défaut : Désactivée
Portée : Activée ou Désactivée
Utiliser les noms d'utilisateurs qualifiés du domaine
Indique les noms d'utilisateur à qualifier avec le domaine de sécurité dans lequel ils résident.
Type de données : Booléen
Valeur par défaut : Désactivée
Portée : Activée ou Désactivée

[5.0 only][Fix Pack 5.0.1]Si vous activez l'option Utiliser les noms d'utilisateurs qualifiés du domaine dans le volet de configuration Sécurité > Sécurité globale, l'appel d'exécution getCallerPrincipal() depuis un bean d'entreprise renvoie le nom qualifié avec le domaine antéposé deux fois. Par exemple, le format de retour est domaine/domaine/utilisateur. Vous pouvez éliminer le premier domaine de la valeur renvoyée lorsque vous effectuez des appels API. L'API de servlet getUserPrincipal() fonctionne correctement.

Délai d'expiration de la cache
Indique le délai, en secondes, du cache de la sécurité. Cette valeur est un délai relatif.

Si la sécurité de WebSphere Application Server est activée, le délai d'expiration de la mémoire cache de la sécurité peut affecter les performances. Le paramètre du délai d'expiration indique la périodicité de la régénération des mémoires cache associées à la sécurité. Les informations de sécurité relatives aux beans, aux droits d'accès et aux justificatifs sont placées en cache. Lorsque le délai d'expiration de la mémoire cache est dépassé, toutes les informations en mémoire cache deviennent non valides. Dès lors, toute demande portant sur l'une de ces informations nécessite une nouvelle consultation de la base de données. L'obtention de ces informations nécessite parfois l'appel d'un protocole LDAP (Lightweight Directory Access Protocol) ou d'un mécanisme d'authentification natif. Ces deux appels sont des opérations coûteuses en termes de performances. Déterminez le meilleur compromis pour l'application, en fonction des modèles d'utilisation et des besoins en matière de sécurité du site.

Lors d'un test de performance de 20 minutes, il s'est avéré qu'en choisissant un délai d'expiration de la mémoire cache tel que ce délai n'était jamais dépassé, les performances étaient améliorées de 40 %.

Type de données : Integer (entier)
Unités : Secondes
Valeur par défaut : 600
Portée : Supérieur à 30 secondes
Emettre un avertissement de droit d'accès
Indique que lorsqu'un avertissement Emettre un avertissement de droit d'accès est activé lors du déploiement et du lancement d'une application, le module d'exécution de la sécurité émet un avertissement si des droits d'accès personnalisés sont affectés aux applications. Les droits d'accès personnalisés sont des droits définis par les applications utilisateur et non pas des droits d'accès JDK. Les droits d'accès JDK sont des droits définis dans package java.* et javax.*.

Le produit WebSphere fournit le support pour la gestion du fichier de règles. Il existe un certain nombre de fichiers de règles dans ce produit, certains sont statiques et d'autres dynamiques. La règle dynamique est un modèle de droits d'accès destinés à un type de ressources spécifique. Aucune valeur code définie ou relative n'est utilisée dans le modèle de règle dynamique. La véritable base de code est dynamiquement créée à partir des données de configuration et d'exécution. Le fichier filter.policy contient une liste des droits interdits pour une application donnée suivant la spécification J2EE 1.3. Pour obtenir plus d'informations sur les droits d'accès, reportez-vous à l'article Gestion de la règle Java 2 Security de l'InfoCenter.

Type de données : Booléen
Valeur par défaut : Désactivée
Portée : Activée ou Désactivée
Protocole actif
Indique le protocole d'authentification actif pour les demandes RMI IIOP Internet lorsque la sécurité est activée. Dans les versions précédentes, le protocole SAS (Security Authentication Service) était le seul protocole disponible.

Un protocole OMG (Object Management Group) appelé CSIV2 (Common Secure Interoperability Version 2) prend en charge l'interopérabilité avec les différents fournisseurs accrue ainsi que les fonctions supplémentaires. Si tous les serveurs de votre domaine de sécurité sont des serveurs de la version 5, indiquez CSI en tant que protocole. Si certains serveurs sont des serveurs de la version 3.x ou 4.x, indiquez CSI et SAS.

Type de données : Chaîne
Valeur par défaut : LES DEUX
Portée : CSI et SAS, CSI
Mécanisme d'authentification actif
Indique le mécanisme d'authentification actif lorsque la sécurité est activée.

WebSphere Application Server, Version 5 prend en charge les mécanismes d'authentification suivants : SWAM (Simple WebSphere Authentication Mechanism) et LTPA (Lightweight Third Party Authentication).

Type de données : Chaîne
Valeur par défaut : SWAM (WebSphere Application Server)
Portée : SWAM, LTPA
Registre d'utilisateurs actif
Indique le registre d'utilisateurs actif lorsque la sécurité est activée.

Les paramètres de l'un des registres d'utilisateurs suivants peuvent être configurés :

  • Système d'exploitation local
  • Registre d'utilisateurs LDAP. Les paramètres du registre d'utilisateurs LDAP sont utilisés lorsque les utilisateurs et les groupes se trouvent dans un répertoire LDAP externe. Lorsque la sécurité est activée et que certaines de ces propriétés sont modifiées, ouvrez la fenêtre Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.
  • Registre d'utilisateurs personnalisé

Type de données : Chaîne
Valeur par défaut : Système d'exploitation local
Portée : Système d'exploitation local, LDAP, Personnalisé
Utiliser FIPS   [Version 5.0.2 et versions ultérieures]
Active l'utilisation des algorithmes cryptographiques agréés FIPS.

Si l'option Utiliser FIPS est activée, l'implémentation LTPA emploie IBMJCEFIPS. IBMJCEFIPS gère les algorithmes cryptographiques agréés FIPS (Federal Information Processing Standard) pour les normes DES, Triple DES et AES. Bien que les clés LTPA soient rétrocompatibles avec les versions antérieures de WebSphere Application Server, le jeton LTPA n'est pas compatible avec les versions antérieures.

WebSphere Application Server est doté d'un fournisseur JSSE agréé FIPS appelé IBMJSSEFIPS. Un fournisseur JSSE agréé FIPS requiert le protocole TLS, car il n'est pas compatible avec le protocole SSL. Si vous cochez l'option Utiliser FIPS avant de spécifier un fournisseur JSSE agréé FIPS et un protocole TLS, le message d'erreur suivant s'affiche en haut du volet Sécurité globale :

La règle de sécurité est configurée pour
n'appliquer que les algorithmes cryptographiques approuvés. 
Or, une configuration SSL au moins ne semble pas utiliser un fournisseur JSSE
agréé FIPS. 
Il n'est pas possible d'utiliser les algorithmes cryptographiques agréés FIPS
dans ces cas.

Pour remédier à ce problème, configurez votre fournisseur JSSE et votre protocole de sécurité dans le volet Répertoires de configuration SSL en procédant de l'une des manières suivantes :
  • En cliquant sur Sécurité > SSL et en modifiant une configuration existante
  • En cliquant sur Nouveau et en créant une nouvelle configuration

Informations connexes

Boutons de la console administrative
Caractéristiques de la page de la console d'administration
Paramètres de la portée de la console administrative
Paramètres de filtrage de la console administrative
Paramètres des préférences de la console administrative