Application Security 2.0
Cette fonction permet de sécuriser l'environnement d'exécution du serveur et les applications ; elle inclut un registre utilisateurs sommaire. Elle remplace la fonction appSecurity-1.0 et n'inclut pas la fonction servlet-3.0 ou la prise en charge de registre utilisateurs LDAP. Pour sécuriser les applications Web, ajoutez la fonction servlet-3.0. Pour sécuriser les applications EJB, ajoutez la fonction ejbLite-3.1. Pour utiliser LDAP, ajoutez la fonction ldapRegistry-3.0. Si vous ajoutez la fonction appSecurity-2.0 à votre serveur, vous devez configurer un registre utilisateurs (tel que le registre utilisateurs de base ou le registre utilisateurs LDAP).
Activation de cette fonction
<feature>appSecurity-2.0</feature>
Versions de Java™ prises en charge
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
Développement d'une fonction qui dépend de cette fonction
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"
Fonctions que cette fonction active
Fonctions qui activent cette fonction
Eléments de configuration de la fonction
Vous pouvez utiliser les éléments suivants dans votre fichier server.xml pour configurer la fonction Application Security 2.0 :
- administrator-role
- authCache
- authentication
- basicRegistry
- classloading
- jaasLoginContextEntry
- jaasLoginModule
- library
- ltpa
- quickStartSecurity
- administrator-role
- Collection d'utilisateurs et/ou de groupes ayant le rôle d'administrateur de serveur.
- authCache
- Contrôle de fonctionnement du cache d'authentification.
Nom de l'attribut Type de données Valeur par défaut Description allowBasicAuthLookup boolean true Autoriser la consultation par ID utilisateur et mot de passe haché initialSize int Minimum : 1
50 Nombre initial des entrées prises en charge par le cache d'authentification. maxSize int Minimum : 1
25000 Nombre maximal des entrées prises en charge par le cache d'authentification. timeout Période avec une précision à la milliseconde près 600s Durée après laquelle une entrée du cache sera supprimée. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. - authentication
- Contrôle la configuration du service d'authentification intégré.
Nom de l'attribut Type de données Valeur par défaut Description allowHashtableLoginWithIdOnly boolean false Autoriser une application à se connecter en ayant recours uniquement à une identité dans les propriétés de table de hachage. Utilisez cette option uniquement lorsque vous avez des applications ayant besoin de cette dernière et que vous disposez d'autres moyens de valider l'identité. cacheEnabled boolean true Active le cache d'authentification. - basicRegistry
- Un simple registre d'utilisateurs basés sur XML.
Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. ignoreCaseForAuthentication boolean false Autoriser l'authentification de nom d'utilisateur en ignorant la casse. realm string BasicRegistry Le nom du superdomaine représente le registre d'utilisateurs. - basicRegistry > group
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. name string Nom d'un groupe au sein d'un registre d'utilisateur de base.
- basicRegistry > user
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. name string Nom d'un utilisateur du registre d'utilisateurs de base. password Mot de passe codé réversible ou pouvant être haché unilatéralement (chaîne) Mot de passe d'un utilisateur dans un registre d'utilisateurs de base. La valeur peut être enregistrée en texte clair ou sous forme codée. Il est recommandé de coder le mot de passe. Pour cela, utilisez l'outil securityUtility avec l'option encode.
- classloading
- Chargement de classes global
Nom de l'attribut Type de données Valeur par défaut Description useJarUrls boolean false Indique s'il convient d'utiliser les URL jar: ou wsjar: pour faire référence à des fichiers dans des archives - jaasLoginContextEntry
- Configuration de l'entrée du contexte de connexion JAAS.
Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. loginModuleRef Liste de références aux éléments jaasLoginModule de niveau supérieur (chaîne dans laquelle les éléments sont séparés par des virgules). hashtable,userNameAndPassword,certificate,token Référence à l'ID d'un module de connexion JAAS. name string Nom d'une entrée de configuration JAAS. - jaasLoginModule
- Module de connexion dans la configuration JAAS.
Nom de l'attribut Type de données Valeur par défaut Description className string Nom de package complet de la classe de module de connexion JAAS. controlFlag - SUFFICIENT
- REQUISITE
- REQUIRED
- OPTIONAL
REQUIRED Indicateur de contrôle du module de connexion. Les valeurs valides sont REQUIRED, REQUISITE, SUFFICIENT et OPTIONAL. - SUFFICIENT
- L'élément LoginModule a la valeur SUFFICIENT pour la spécification JAAS. Il n'est pas nécessaire qu'il aboutisse. Si l'authentification aboutit, aucun autre élément LoginModule n'est appelé et l'appelant reprend le contrôle.
- REQUISITE
- L'élément LoginModule a la valeur REQUISITE pour la spécification JAAS. Cet élément doit aboutir. Si l'authentification échoue, aucun autre élément LoginModule n'est appelé et l'appelant reprend le contrôle.
- REQUIRED
- L'élément LoginModule a la valeur REQUIRED pour la spécification JAAS. Cet élément doit aboutir.
- OPTIONAL
- L'élément LoginModule a la valeur OPTIONAL pour la spécification JAAS. Il n'est pas nécessaire qu'il aboutisse.
id string ID de configuration unique. libraryRef Référence à lélément {0} de niveau supérieur (chaîne). Référence à l'ID de la configuration de bibliothèque partagée. - jaasLoginModule > library
Description : Référence à l'ID de la configuration de bibliothèque partagée.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description apiTypeVisibility string spec,ibm-api,api Types de package d'API que ce chargeur de classe de bibliothèque pourra voir, sous forme de liste d'éléments spec, ibm-api, api et third-party dans laquelle les éléments sont séparés par des virgules. description string Description de la bibliothèque partagée (pour les administrateurs) filesetRef Liste de références aux éléments fileset de niveau supérieur (chaîne dans laquelle les éléments sont séparés par des virgules). ID de l'ensemble de fichiers référencé name string Nom de la bibliothèque partagée (pour les administrateurs) - jaasLoginModule > library > file
Description : ID du fichier référencéObligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. name Chemin vers un fichier Nom de fichier complet
- jaasLoginModule > library > fileset
Description : ID de l'ensemble de fichiers référencéObligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description caseSensitive boolean true Booléen indiquant si la recherche doit se faire en tenant compte de la casse des caractères (valeur par défaut : true). dir Chemin vers un répertoire ${server.config.dir} Répertoire de base dans lequel rechercher les fichiers. excludes string Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à exclure des résultats de la recherche. Par défaut, aucun fichier n'est exclu. id string ID de configuration unique. includes string * Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à inclure dans les résultats de la recherche (valeur par défaut : *). scanInterval Période avec une précision à la milliseconde près 0 Intervalle entre chaque balayage de l'ensemble de fichiers pour déterminer s'il a subi des changements. Sa valeur est un entier long suivi de l'abréviation de l'unité de temps choisie : h pour les heures, m pour les minutes, s pour les secondes, ms pour les millisecondes. Par exemple, 2ms ou 5s. Désactivé par défaut (scanInterval=0). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
- jaasLoginModule > library > folder
Description : ID du dossier référencéObligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description dir Chemin vers un répertoire Répertoire ou dossier à inclure dans le chemin d'accès aux classes de la bibliothèque afin de trouver les fichiers de ressources id string ID de configuration unique.
- library
- Bibliothèque partagée
Nom de l'attribut Type de données Valeur par défaut Description apiTypeVisibility string spec,ibm-api,api Types de package d'API que ce chargeur de classe de bibliothèque pourra voir, sous forme de liste d'éléments spec, ibm-api, api et third-party dans laquelle les éléments sont séparés par des virgules. description string Description de la bibliothèque partagée (pour les administrateurs) filesetRef Liste de références aux éléments fileset de niveau supérieur (chaîne dans laquelle les éléments sont séparés par des virgules). ID de l'ensemble de fichiers référencé id string ID de configuration unique. name string Nom de la bibliothèque partagée (pour les administrateurs) - library > file
Description : ID du fichier référencéObligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. name Chemin vers un fichier Nom de fichier complet
- library > fileset
Description : ID de l'ensemble de fichiers référencéObligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description caseSensitive boolean true Booléen indiquant si la recherche doit se faire en tenant compte de la casse des caractères (valeur par défaut : true). dir Chemin vers un répertoire ${server.config.dir} Répertoire de base dans lequel rechercher les fichiers. excludes string Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à exclure des résultats de la recherche. Par défaut, aucun fichier n'est exclu. id string ID de configuration unique. includes string * Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à inclure dans les résultats de la recherche (valeur par défaut : *). scanInterval Période avec une précision à la milliseconde près 0 Intervalle entre chaque balayage de l'ensemble de fichiers pour déterminer s'il a subi des changements. Sa valeur est un entier long suivi de l'abréviation de l'unité de temps choisie : h pour les heures, m pour les minutes, s pour les secondes, ms pour les millisecondes. Par exemple, 2ms ou 5s. Désactivé par défaut (scanInterval=0). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
- library > folder
Description : ID du dossier référencéObligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description dir Chemin vers un répertoire Répertoire ou dossier à inclure dans le chemin d'accès aux classes de la bibliothèque afin de trouver les fichiers de ressources id string ID de configuration unique.
- ltpa
- Configuration de jeton LTPA (Lightweight Third Party Authentication).
Nom de l'attribut Type de données Valeur par défaut Description expiration Période avec une précision à la minute près 120m Délai, en minutes, à l'issue duquel un jeton arrive à expiration. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h) ou minute (m). Par exemple, pour 30 minutes, indiquez 30m. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1h30m correspond à 90 minutes. keysFileName Chemin vers un fichier ${server.output.dir}/resources/security/ltpa.keys Chemin du fichier contenant les clés de jeton. keysPassword Mot de passe codé réversible (chaîne) {xor}CDo9Hgw= Mot de passe des clés de jeton. La valeur peut être enregistrée en texte clair ou sous forme codée. Il est recommandé de coder le mot de passe. Pour cela, utilisez l'outil securityUtility avec l'option de codage. monitorInterval Période avec une précision à la milliseconde près 0ms Intervalle suivant lequel le serveur recherche des mises à jour pour le fichier de clés LTPA. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. - quickStartSecurity
- Configuration de la sécurité d'administration simple
Nom de l'attribut Type de données Valeur par défaut Description userName string Utilisateur unique défini lors de la configuration de sécurité du démarrage rapide. Le rôle Administrateur est accordé à cet utilisateur. userPassword Mot de passe codé réversible (chaîne) Mot de passe de l'utilisateur unique défini lors de la configuration de sécurité du démarrage rapide. Il est recommandé de coder ce mot de passe. Pour cela, utilisez l'outil securityUtility avec l'option encode.