Application Security 2.0

Cette fonction permet de sécuriser l'environnement d'exécution du serveur et les applications ; elle inclut un registre utilisateurs sommaire. Elle remplace la fonction appSecurity-1.0 et n'inclut pas la fonction servlet-3.0 ou la prise en charge de registre utilisateurs LDAP. Pour sécuriser les applications Web, ajoutez la fonction servlet-3.0. Pour sécuriser les applications EJB, ajoutez la fonction ejbLite-3.1. Pour utiliser LDAP, ajoutez la fonction ldapRegistry-3.0. Si vous ajoutez la fonction appSecurity-2.0 à votre serveur, vous devez configurer un registre utilisateurs (tel que le registre utilisateurs de base ou le registre utilisateurs LDAP).

Activation de cette fonction

Pour activer la fonction Application Security 2.0, ajoutez la déclaration d'élément suivante dans l'élément featureManager de votre fichier server.xml :
<feature>appSecurity-2.0</feature>

Versions de Java™ prises en charge

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

Développement d'une fonction qui dépend de cette fonction

Si vous développez une fonction qui dépend de la fonction Application Security 2.0, incluez l'élément suivant dans l'en-tête Subsystem-Content du fichier manifeste de fonction pour votre nouvelle fonction :
com.ibm.websphere.appserver.appSecurity-2.0; type="osgi.subsystem.feature"

Fonctions que cette fonction active

Eléments de configuration de la fonction

Vous pouvez utiliser les éléments suivants dans votre fichier server.xml pour configurer la fonction Application Security 2.0 :

administrator-role
Collection d'utilisateurs et/ou de groupes ayant le rôle d'administrateur de serveur.
administrator-role > group
Description : Rôle attribué au groupe.
Obligatoire : false
Type de données string
administrator-role > user
Description : Rôle attribué à l'utilisateur.
Obligatoire : false
Type de données string
authCache
Contrôle de fonctionnement du cache d'authentification.
Nom de l'attribut Type de données Valeur par défaut Description
allowBasicAuthLookup boolean true Autoriser la consultation par ID utilisateur et mot de passe haché
initialSize int

Minimum : 1

50 Nombre initial des entrées prises en charge par le cache d'authentification.
maxSize int

Minimum : 1

25000 Nombre maximal des entrées prises en charge par le cache d'authentification.
timeout Période avec une précision à la milliseconde près 600s Durée après laquelle une entrée du cache sera supprimée. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
authentication
Contrôle la configuration du service d'authentification intégré.
Nom de l'attribut Type de données Valeur par défaut Description
allowHashtableLoginWithIdOnly boolean false Autoriser une application à se connecter en ayant recours uniquement à une identité dans les propriétés de table de hachage. Utilisez cette option uniquement lorsque vous avez des applications ayant besoin de cette dernière et que vous disposez d'autres moyens de valider l'identité.
cacheEnabled boolean true Active le cache d'authentification.
basicRegistry
Un simple registre d'utilisateurs basés sur XML.
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
ignoreCaseForAuthentication boolean false Autoriser l'authentification de nom d'utilisateur en ignorant la casse.
realm string BasicRegistry Le nom du superdomaine représente le registre d'utilisateurs.
basicRegistry > group
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
name string   Nom d'un groupe au sein d'un registre d'utilisateur de base.
basicRegistry > group > member
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
name string   Nom d'un utilisateur au sein d'un groupe de registre d'utilisateur de base.
basicRegistry > user
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
name string   Nom d'un utilisateur du registre d'utilisateurs de base.
password Mot de passe codé réversible ou pouvant être haché unilatéralement (chaîne)   Mot de passe d'un utilisateur dans un registre d'utilisateurs de base. La valeur peut être enregistrée en texte clair ou sous forme codée. Il est recommandé de coder le mot de passe. Pour cela, utilisez l'outil securityUtility avec l'option encode.
classloading
Chargement de classes global
Nom de l'attribut Type de données Valeur par défaut Description
useJarUrls boolean false Indique s'il convient d'utiliser les URL jar: ou wsjar: pour faire référence à des fichiers dans des archives
jaasLoginContextEntry
Configuration de l'entrée du contexte de connexion JAAS.
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
loginModuleRef Liste de références aux éléments jaasLoginModule de niveau supérieur (chaîne dans laquelle les éléments sont séparés par des virgules). hashtable,userNameAndPassword,certificate,token Référence à l'ID d'un module de connexion JAAS.
name string   Nom d'une entrée de configuration JAAS.
jaasLoginModule
Module de connexion dans la configuration JAAS.
Nom de l'attribut Type de données Valeur par défaut Description
className string   Nom de package complet de la classe de module de connexion JAAS.
controlFlag
  • SUFFICIENT
  • REQUISITE
  • REQUIRED
  • OPTIONAL
REQUIRED Indicateur de contrôle du module de connexion. Les valeurs valides sont REQUIRED, REQUISITE, SUFFICIENT et OPTIONAL.
SUFFICIENT
L'élément LoginModule a la valeur SUFFICIENT pour la spécification JAAS. Il n'est pas nécessaire qu'il aboutisse. Si l'authentification aboutit, aucun autre élément LoginModule n'est appelé et l'appelant reprend le contrôle.
REQUISITE
L'élément LoginModule a la valeur REQUISITE pour la spécification JAAS. Cet élément doit aboutir. Si l'authentification échoue, aucun autre élément LoginModule n'est appelé et l'appelant reprend le contrôle.
REQUIRED
L'élément LoginModule a la valeur REQUIRED pour la spécification JAAS. Cet élément doit aboutir.
OPTIONAL
L'élément LoginModule a la valeur OPTIONAL pour la spécification JAAS. Il n'est pas nécessaire qu'il aboutisse.
id string   ID de configuration unique.
libraryRef Référence à lélément {0} de niveau supérieur (chaîne).   Référence à l'ID de la configuration de bibliothèque partagée.
jaasLoginModule > library
Description : Référence à l'ID de la configuration de bibliothèque partagée.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
apiTypeVisibility string spec,ibm-api,api Types de package d'API que ce chargeur de classe de bibliothèque pourra voir, sous forme de liste d'éléments spec, ibm-api, api et third-party dans laquelle les éléments sont séparés par des virgules.
description string   Description de la bibliothèque partagée (pour les administrateurs)
filesetRef Liste de références aux éléments fileset de niveau supérieur (chaîne dans laquelle les éléments sont séparés par des virgules).   ID de l'ensemble de fichiers référencé
name string   Nom de la bibliothèque partagée (pour les administrateurs)
jaasLoginModule > library > file
Description : ID du fichier référencé
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
name Chemin vers un fichier   Nom de fichier complet
jaasLoginModule > library > fileset
Description : ID de l'ensemble de fichiers référencé
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
caseSensitive boolean true Booléen indiquant si la recherche doit se faire en tenant compte de la casse des caractères (valeur par défaut : true).
dir Chemin vers un répertoire ${server.config.dir} Répertoire de base dans lequel rechercher les fichiers.
excludes string   Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à exclure des résultats de la recherche. Par défaut, aucun fichier n'est exclu.
id string   ID de configuration unique.
includes string * Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à inclure dans les résultats de la recherche (valeur par défaut : *).
scanInterval Période avec une précision à la milliseconde près 0 Intervalle entre chaque balayage de l'ensemble de fichiers pour déterminer s'il a subi des changements. Sa valeur est un entier long suivi de l'abréviation de l'unité de temps choisie : h pour les heures, m pour les minutes, s pour les secondes, ms pour les millisecondes. Par exemple, 2ms ou 5s. Désactivé par défaut (scanInterval=0). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
jaasLoginModule > library > folder
Description : ID du dossier référencé
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
dir Chemin vers un répertoire   Répertoire ou dossier à inclure dans le chemin d'accès aux classes de la bibliothèque afin de trouver les fichiers de ressources
id string   ID de configuration unique.
jaasLoginModule > options
Description : Collection d'options du module de connexion JAAS
Obligatoire : false
Type de données
library
Bibliothèque partagée
Nom de l'attribut Type de données Valeur par défaut Description
apiTypeVisibility string spec,ibm-api,api Types de package d'API que ce chargeur de classe de bibliothèque pourra voir, sous forme de liste d'éléments spec, ibm-api, api et third-party dans laquelle les éléments sont séparés par des virgules.
description string   Description de la bibliothèque partagée (pour les administrateurs)
filesetRef Liste de références aux éléments fileset de niveau supérieur (chaîne dans laquelle les éléments sont séparés par des virgules).   ID de l'ensemble de fichiers référencé
id string   ID de configuration unique.
name string   Nom de la bibliothèque partagée (pour les administrateurs)
library > file
Description : ID du fichier référencé
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
name Chemin vers un fichier   Nom de fichier complet
library > fileset
Description : ID de l'ensemble de fichiers référencé
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
caseSensitive boolean true Booléen indiquant si la recherche doit se faire en tenant compte de la casse des caractères (valeur par défaut : true).
dir Chemin vers un répertoire ${server.config.dir} Répertoire de base dans lequel rechercher les fichiers.
excludes string   Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à exclure des résultats de la recherche. Par défaut, aucun fichier n'est exclu.
id string   ID de configuration unique.
includes string * Liste (séparée par des virgules ou des espaces) de masques de nom de fichier à inclure dans les résultats de la recherche (valeur par défaut : *).
scanInterval Période avec une précision à la milliseconde près 0 Intervalle entre chaque balayage de l'ensemble de fichiers pour déterminer s'il a subi des changements. Sa valeur est un entier long suivi de l'abréviation de l'unité de temps choisie : h pour les heures, m pour les minutes, s pour les secondes, ms pour les millisecondes. Par exemple, 2ms ou 5s. Désactivé par défaut (scanInterval=0). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
library > folder
Description : ID du dossier référencé
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
dir Chemin vers un répertoire   Répertoire ou dossier à inclure dans le chemin d'accès aux classes de la bibliothèque afin de trouver les fichiers de ressources
id string   ID de configuration unique.
ltpa
Configuration de jeton LTPA (Lightweight Third Party Authentication).
Nom de l'attribut Type de données Valeur par défaut Description
expiration Période avec une précision à la minute près 120m Délai, en minutes, à l'issue duquel un jeton arrive à expiration. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h) ou minute (m). Par exemple, pour 30 minutes, indiquez 30m. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1h30m correspond à 90 minutes.
keysFileName Chemin vers un fichier ${server.output.dir}/resources/security/ltpa.keys Chemin du fichier contenant les clés de jeton.
keysPassword Mot de passe codé réversible (chaîne) {xor}CDo9Hgw= Mot de passe des clés de jeton. La valeur peut être enregistrée en texte clair ou sous forme codée. Il est recommandé de coder le mot de passe. Pour cela, utilisez l'outil securityUtility avec l'option de codage.
monitorInterval Période avec une précision à la milliseconde près 0ms Intervalle suivant lequel le serveur recherche des mises à jour pour le fichier de clés LTPA. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
quickStartSecurity
Configuration de la sécurité d'administration simple
Nom de l'attribut Type de données Valeur par défaut Description
userName string   Utilisateur unique défini lors de la configuration de sécurité du démarrage rapide. Le rôle Administrateur est accordé à cet utilisateur.
userPassword Mot de passe codé réversible (chaîne)   Mot de passe de l'utilisateur unique défini lors de la configuration de sécurité du démarrage rapide. Il est recommandé de coder ce mot de passe. Pour cela, utilisez l'outil securityUtility avec l'option encode.

Icône indiquant le type de rubrique Rubrique de référence

Dispositions pour les centres de documentation | Commentaires


Icône d'horodatage Dernière mise à jour: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_appSecurity-2.0
Nom du fichier : rwlp_feature_appSecurity-2.0.html