Guide de sécurité
À utiliser dans Red Hat JBoss Enterprise Application Platform 6
Édition 1
Résumé
Partie I. Sécurité dans Red Hat JBoss Enterprise Application Platform 6
Chapitre 1. Introduction
1.1. Red Hat JBoss Enterprise Application Platform 6 (JBoss EAP 6)
1.2. Sécuriser JBoss Enterprise Application Platform 6
Chapitre 2. Aperçu Sécurité
2.1. Sécurité déclarative
2.1.1. Java EE Declarative Security
ejb-jar.xml
et web.xml
.
2.1.2. Références de sécurité
Figure 2.1. Modèle de référence de rôles de sécurité
role-nameType
de l'élément <role-name> comme argument de la méthode isCallerInRole(String)
. En utilisant la méthode isCallerInRole
, un composant est en mesure de vérifier si l'invocateur est dans un rôle qui a été déclaré avec un élément <security-role-ref> ou <role-name>. La valeur de l'élément <role-name> doit être reliée à un élément <security-role> par l'élément <role-link>. L'utilisation typique de isCallerInRole
est pas être défini en utilisant les éléments <method-permissions> basé-rôle.
Exemple 2.1. fragment de descripteur ejb-jar.xml
<!-- A sample ejb-jar.xml fragment --> <ejb-jar> <enterprise-beans> <session> <ejb-name>ASessionBean</ejb-name> ... <security-role-ref> <role-name>TheRoleICheck<role-name> <role-link>TheApplicationRole</role-link> </security-role-ref> </session> </enterprise-beans> ... </ejb-jar>
Note
Exemple 2.2. fragment de descripteur web.xml
<web-app> <servlet> <servlet-name>AServlet</servlet-name> ... <security-role-ref> <role-name>TheServletRole</role-name> <role-link>TheApplicationRole</role-link> </security-role-ref> </servlet> ... </web-app>
2.1.3. Identité Sécurité
Figure 2.2. Modèle J2EE Security Identity Data Model
EJBContext.getCallerPrincipal()
. À la place, les rôles de sécurité de l'appelant sont définis par l'élément <run-as> ou <role-name>.
<ejb-jar> <enterprise-beans> <session> <ejb-name>ASessionBean</ejb-name> <!-- ... --> <security-identity> <use-caller-identity/> </security-identity> </session> <session> <ejb-name>RunAsBean</ejb-name> <!-- ... --> <security-identity> <run-as> <description>A private internal role</description> <role-name>InternalRole</role-name> </run-as> </security-identity> </session> </enterprise-beans> <!-- ... --> </ejb-jar>
anonymous
est attribué à tous les appels sortants. Si vous voulez un autre principal à associer à l'appel, vous devez associer un <run-as-principal> au bean du fichier jboss.xml
. Le fragment suivant associe un principal nommé internal
avec RunAsBean
de l'exemple précédent.
<session> <ejb-name>RunAsBean</ejb-name> <security-identity> <run-as-principal>internal</run-as-principal> </security-identity> </session>
web.xml
. L'exemple suivant montre comment assigner le rôle InternalRole
à un servlet :
<servlet> <servlet-name>AServlet</servlet-name> <!-- ... --> <run-as> <role-name>InternalRole</role-name> </run-as> </servlet>
principal
«anonymous». L'élément <run-as-principal> se trouve dans le fichier jboss-web.xml
pour assigner un principal spécifique qui puisse correspondre à un rôle run-as
. Le fragment suivant montre comment associer un principal nommé internal
au serveur ci-dessus.
<servlet> <servlet-name>AServlet</servlet-name> <run-as-principal>internal</run-as-principal> </servlet>
2.1.4. Rôles de sécurité
security-role-ref
ou élément de security-identity
doit mapper à un des rôles déclarés de l'application. Un assembleur d'applications définit les rôles de sécurité logique en déclarant les éléments security-role
. La valeur de role-name
est un nom de rôle d'application logique comme Administrateur, Architecte, ResponsableVentes, etc.
security-role
est seulement utilisé pour mapper les valeurs de security-role-ref/role-name
au rôle logique qui fait référence au rôle du composant. Les rôles assignés de l'utilisateur représentent une fonction dynamique du gestionnaire de sécurité de l'application. JBoss n'a as besoin de la définition des éléments de security-role
pour déclarer des permissions de méthode. Toutefois, la spécification d'éléments de security-role
est toujours une pratique conseillée pour assurer la portabilité entre les serveurs d'applications et la maintenance du descripteur de déploiement.
Exemple 2.3. Un fragment de descripteur ejb-jar.xml qui illustre l'utilisation de l'élément security-role.
<!-- A sample ejb-jar.xml fragment --><ejb-jar><assembly-descriptor><security-role><description>The single application role</description><role-name>TheApplicationRole</role-name></security-role></assembly-descriptor></ejb-jar>
Exemple 2.4. Un exemple web.xml qui illustre l'utilisation de l'élément security-role.
<!-- A sample web.xml fragment --><web-app><security-role><description>The single application role</description><role-name>TheApplicationRole</role-name></security-role></web-app>
2.1.5. Permissions de méthodes EJB
Figure 2.3. Élément de Permission de méthode J2EE
method-permission
contient un ou plusieurs éléments enfants role-name qui définissent les rôles logiques autorisés à accéder aux méthodes EJB identifiées par les éléments enfants de la méthode. Vous pouvez également spécifier un élément unchecked
à la place de l'élément role-name
pour déclarer que tout utilisateur authentifié peut accéder aux méthodes identifiées par les éléments enfants de méthode. De plus, vous pouvez déclarer que personne ne devrait avoir accès à une méthode qui comporte l'élément de la exclude-list
(liste d'exclusion). Si un EJB a des méthodes qui n'ont pas été déclarées comme accessibles par un rôle à l'aide d'un élément de method-permission
, la valeur par défaut des méthodes EJB sera exclusion d'utilisation. Cela revient à rendre les méthodes par défaut à exclude-list
.
Figure 2.4. Élément de méthode J2EE
<method><ejb-name>EJBNAME</ejb-name><method-name>*</method-name></method>
<method><ejb-name>EJBNAME</ejb-name><method-name>METHOD</method-name></method>
<method><ejb-name>EJBNAME</ejb-name><method-name>METHOD</method-name><method-params><method-param>PARAMETER_1</method-param><!-- ... --><method-param>PARAMETER_N</method-param></method-params></method>
method-intf
peut être utilisé pour différencier des méthodes qui ont le même nom ou signature définis à la fois dans les interfaces d'accueil ou éloignées d'un bean enterprise.
method-permission
.
Exemple 2.5. Un fragment de descripteur ejb-jar.xml qui illustre l'utilisation de l'élément method-permission.
<ejb-jar><assembly-descriptor><method-permission><description>The employee and temp-employee roles may access any method of the EmployeeService bean </description><role-name>employee</role-name><role-name>temp-employee</role-name><method><ejb-name>EmployeeService</ejb-name><method-name>*</method-name></method></method-permission><method-permission><description>The employee role may access the findByPrimaryKey, getEmployeeInfo, and the updateEmployeeInfo(String) method of the AardvarkPayroll bean </description><role-name>employee</role-name><method><ejb-name>AardvarkPayroll</ejb-name><method-name>findByPrimaryKey</method-name></method><method><ejb-name>AardvarkPayroll</ejb-name><method-name>getEmployeeInfo</method-name></method><method><ejb-name>AardvarkPayroll</ejb-name><method-name>updateEmployeeInfo</method-name><method-params><method-param>java.lang.String</method-param></method-params></method></method-permission><method-permission><description>The admin role may access any method of the EmployeeServiceAdmin bean </description><role-name>admin</role-name><method><ejb-name>EmployeeServiceAdmin</ejb-name><method-name>*</method-name></method></method-permission><method-permission><description>Any authenticated user may access any method of the EmployeeServiceHelp bean</description><unchecked/><method><ejb-name>EmployeeServiceHelp</ejb-name><method-name>*</method-name></method></method-permission><exclude-list><description>No fireTheCTO methods of the EmployeeFiring bean may be used in this deployment</description><method><ejb-name>EmployeeFiring</ejb-name><method-name>fireTheCTO</method-name></method></exclude-list></assembly-descriptor></ejb-jar>
2.1.6. Annotations de sécurité de Beans Enterprise
@DeclareRoles
- Déclare chaque rôle de sécurité déclaré dans le code. Pour plus d'informations sur la configuration des rôles, voir Java EE 5 Tutorial Declaring Security Roles Using Annotations.
@RolesAllowed
,@PermitAll
, and@DenyAll
- Indique les permissions de méthodes pour les annotations. Pour plus d'informations sur la configuration des permissions de méthodes d'annotations, voir Java EE 5 Tutorial Specifying Method Permissions Using Annotations.
@RunAs
- Configure l'identité de sécurité propagée d'un composant. Pour plus d'informations sur la façon de configurer les identités de sécurité propagées par des annotations, voir Java EE 5 Tutorial Configuring a Component’s Propagated Security Identity.
2.1.7. Contraintes de sécurité de contenu web
web.xml
security-constraint.
Figure 2.5. Contraintes de sécurité de contenu web
NONE
, INTEGRAL
, et CONFIDENTIAL
. Une valeur NONE
signifie que l'application n'a pas besoin de garantie de transport. Une valeur INTEGRAL
signifie que l'application requiert que les données envoyées entre le client et le serveur soient envoyées de telle sorte qu'elles ne puissent pas être modifiées en transit. Une valeur CONFIDENTIAL
signifie que l'application requiert que les données soient transmises d'une manière qui empêche les autres entités d'observer le contenu de la transmission. Dans la plupart des cas, la présence de INTEGRAL
ou CONFIDENTIAL
indique qu'il faut utiliser SSL.
Figure 2.6. Configuration de connexion web
BASIC
, DIGEST
, FORM
, et CLIENT-CERT
. L'élément enfant <realm-name> spécifie le nom de domaine à utiliser en HTTP de base et l'autorisation digest. L'élément enfant <form-login-config> spécifie le log in et les pages d'erreur devant être utilisées pour le log in basé-formulaire. Si la valeur <auth-method> n'est pas FORM
, alors form-login-config
et ses éléments enfants seront ignorés.
/restriction
de l'application web requiert un rôle AuthorizedUser
. Il n'y a aucune garantie de transport nécessaire et la méthode d'authentification utilisée pour obtenir l'identité de l'utilisateur est l'authentification HTTP BASIC.
Exemple 2.6. Fragment de descripteur web.xml
<web-app> <security-constraint> <web-resource-collection> <web-resource-name>Secure Content</web-resource-name> <url-pattern>/restricted/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>AuthorizedUser</role-name> </auth-constraint> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint> <!-- ... --> <login-config> <auth-method>BASIC</auth-method> <realm-name>The Restricted Zone</realm-name> </login-config> <!-- ... --> <security-role> <description>The role required to access restricted content </description> <role-name>AuthorizedUser</role-name> </security-role> </web-app>
2.1.8. Activer l'authentification basée formulaire
<auth-method>FORM</auth-method>
dans l'élément <login-config> du descripteur de déploiement, web.xml
. La connexion et les pages d'erreur sont également définies dans <login-config>, comme suit :
<login-config> <auth-method>FORM</auth-method> <form-login-config> <form-login-page>/login.html</form-login-page> <form-error-page>/error.html</form-error-page> </form-login-config> </login-config>
FormAuthenticator
pour diriger les utilisateurs vers la page appropriée. JBoss EAP gère un pool de session afin que les informations d'authentification n'aient pas besoin d'être présentes pour chaque demande. Lorsque FormAuthenticator
reçoit une demande, il interroge org.apache.catalina.session.Manager
pour savoir s'il y a une session existante. Si aucune session n'existe, une nouvelle session sera créée. FormAuthenticator
vérifie alors les informations d'identification de la session.
Note
/dev/urandom
(Linux) par défaut et hachées avec MD5. Les vérifications sont effectuées lors de la création de l'ID de session pour s'assurer que l'ID créé soit unique.
JSESSIONID
. Sa valeur est une chaîne hexadécimale de l'ID de session. Ce cookie est configuré pour être non persistant. Cela signifie que du côté client, il sera supprimé lorsque le navigateur se fermera. Côté serveur, les sessions expirent après 60 secondes d'inactivité, quand les objets session et leurs informations d'identification seront supprimés.
FormAuthenticator
met en cache la demande, crée une nouvelle session si nécessaire et redirige l'utilisateur vers la page de connexion définie dans login-config
. (Dans l'exemple de code précédent, la page de connexion est login.html
.) L'utilisateur entre alors son nom d'utilisateur et son mot de passe dans le formulaire HTML fourni. Les nom d'utilisateur et mot de passe sont passés à FormAuthenticator
par l'intermédiaire de l'action de formulaire j_security_check
.
FormAuthenticator
authentifie alors le nom d'utilisateur et le mot de passe par rapport au domaine attaché au contexte de l'application web. Dans JBoss Enterprise Application Platform, le domaine est JBossWebRealm
. Lorsque l'authentification réussit, FormAuthenticator
récupère la requête enregistrée à partir du cache et redirige l'utilisateur vers sa requête initiale.
Note
/j_security_check
et que les paramètres j_username
et j_password
existent.
2.1.9. Activation de la Sécurité déclarative
Chapitre 3. Introduction à JAAS
3.1. JAAS
3.2. Classes JAAS principales
Subject
(javax.security.auth.Subject
)
Configuration
(javax.security.auth.login.Configuration
)LoginContext
(javax.security.auth.login.LoginContext
)
Principal
(java.security.Principal
)Callback
(javax.security.auth.callback.Callback
)CallbackHandler
(javax.security.auth.callback.CallbackHandler
)LoginModule
(javax.security.auth.spi.LoginModule
)
3.3. Classes Subject et Principal
Subject
est la classe centrale dans JAAS. Un Subject
représente les informations d'une seule entité, comme une personne ou un service. Elle englobe les principaux de l'entité, les informations d'authentification publiques et privées. L'API JAAS utilise l'interface Java 2 java.security.Principal
pour représenter un principal, qui est essentiellement un nom dactylographié.
public Set getPrincipals() {...} public Set getPrincipals(Class c) {...}
getPrincipals()
renvoie tous les principaux contenus dans le subject. getPrincipals(Class c)
renvoie uniquement les principaux qui sont des instances de la classe c
ou d'une de ses sous-classes. Un ensemble vide sera renvoyé si le sujet n'a pas de principal correspondant.
java.security.acl.Group
est une sous-interface de java.security.Principal
, donc une instance de l'ensemble des principaux peut représenter un groupement logique d'autres principaux ou groupes de principaux.
3.4. Authentification du Sujet
- Une application instancie un
LoginContext
et passe le nom de la configuration de la connexion et unCallbackHandler
pour remplir les objetsCallback
, selon la configurationLoginModule
. - Le
LoginContext
consulte uneConfiguration
pour charger tous lesLoginModules
inclus dans la configuration de connexion nommée. Si aucune configuration nommée existe, la configurationother
sera utilisée par défaut. - L'application invoque la méthode
LoginContext.login
. - La méthode login appelle tous les
LoginModule
téléchargés. Comme chaqueLoginModule
tente d'authentifier l'objet, il appelle la méthode handle sur leCallbackHandler
associé pour obtenir les informations requises par le processus d'authentification. L'information requise est passée à la méthode handle sous la forme d'un tableau d'objetsCallback
. En cas de réussite, leLoginModule
associe les principaux et les informations d'identification pertinents avec le sujet. - Le
LoginContext
renvoie le statut d'authentification à l'application. Le renvoi par la méthode de connexion indique un succès. L'échec se traduit par une LoginException lancée par la méthode de connexion. - Si l'authentification réussit, l'application extrait le Sujet authentifié par la méthode
LoginContext.getSubject
. - Une fois l'étendue de l'authentification de l'objet terminée, tous les principaux et informations connexes associées au sujet par la méthode de
connexion
s'éliminent par la méthodeLoginContext.logout
.
LoginContext
fournit les méthodes de base d'authentification des sujets et offre un moyen de développer une application qui est indépendante de la technologie sous-jacente de l'authentification. Le LoginContext
consulte une Configuration
pour déterminer les services d'authentification configurés pour une application particulière. Les classes LoginModule
représentent les services d'authentification. Par conséquent, vous pouvez brancher des modules de connexion différents dans une application sans modifier l'application. Le code suivant illustre les étapes requises par une application pour authentifier un sujet.
CallbackHandler handler = new MyHandler(); LoginContext lc = new LoginContext("some-config", handler); try { lc.login(); Subject subject = lc.getSubject(); } catch(LoginException e) { System.out.println("authentication failed"); e.printStackTrace(); } // Perform work as authenticated Subject // ... // Scope of work complete, logout to remove authentication info try { lc.logout(); } catch(LoginException e) { System.out.println("logout failed"); e.printStackTrace(); } // A sample MyHandler class class MyHandler implements CallbackHandler { public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException { for (int i = 0; i < callbacks.length; i++) { if (callbacks[i] instanceof NameCallback) { NameCallback nc = (NameCallback)callbacks[i]; nc.setName(username); } else if (callbacks[i] instanceof PasswordCallback) { PasswordCallback pc = (PasswordCallback)callbacks[i]; pc.setPassword(password); } else { throw new UnsupportedCallbackException(callbacks[i], "Unrecognized Callback"); } } } }
LoginModule
. Cela permet à un administrateur d'ajouter des technologies d'authentification différentes dans une application. Vous pouvez enchaîner ensemble de multiples LoginModule
afin de permettre à plus d'une technologie d'authentification de participer au processus d'authentification. Par exemple, un LoginModule
peut effectuer une authentification par nom/mot de passe, tandis que l'autre peut créer une interface avec des périphériques matériels tels que des lecteurs de cartes ou des identificateurs biométriques.
LoginModule
est motivé par l'objet LoginContext
avec lequel le client crée et publie la méthode login. Le processus se compose de deux phases. Les étapes du processus sont les suivantes :
- Le
LoginContext
crée chaqueLoginModule
en utilisant son constructeur public no-arg. - Chaque
LoginModule
est initialisé par un appel à sa méthode d'initialisation. L'argumentSubject
est garanti d'être non-null. La signature de la méthode d'initialisation est :public void initialize(Subject subject, CallbackHandler callbackHandler, Map sharedState, Map options)
- La méthode
login
est appelée pour démarrer le processus d'authentification. Par exemple, une implémentation de la méthode peut inviter l'utilisateur à un nom d'utilisateur et à un mot de passe, et puis vérifiez les informations sur les données stockées dans un service d'attribution de noms comme NIS ou LDAP. Des implémentations alternatives pourraient créer des interfaces avec les cartes à puce et des dispositifs biométriques, ou simplement extraire les informations de l'utilisateur du système d'exploitation sous-jacent. La validation de l'identité de l'utilisateur par chaqueLoginModule
est considérée comme la phase 1 d'authentification JAAS. La signature de la méthodelogin
estboolean login() throws LoginException
. UneLoginException
indique un échec. Une valeur retour true indique que la méthode a réussi, tandis qu'une valeur false indique que le module de login doit être ignoré. - Si la méthode d'authentification générale de
LoginContext
réussit,commit
sera invoqué sur chaqueLoginModule
. Si la phase 1 réussit pour un moduleLoginModule
, alors la méthode de validation continue en phase 2 et associe les principaux qui conviennent, les informations d'authentification publiques, et/ou les informations d'authentification privées au sujet. Si la phase 1 échoue pourLoginModule
, alorscommit
retirera tout état d'authentification stocké auparavant, comme les noms d'utilisateur et les mots de passe. La signature de la méthodecommit
est:boolean commit() throws LoginException
. Tout manquement de la phase de validation (commit) se traduit par l'exceptionLoginException
. Un renvoi true indique que la méthode a réussi, alors qu'un renvoi false indique que le module de connexion doit être ignoré. - Si l'authentification globale du
LoginContext
échoue, la méthodeabort
sera appelée sur chaqueLoginModule
. La méthodeabort
supprime ou détruit tout état d'authentification créé par les méthodes de connexion ou d'initialisation. La signature de la méthodeabort
estboolean abort() throws LoginException
. En cas d'impossibilité d'achever la phased'abandon
est indiquée en jetant uneLoginException
. Un retour de true indique que la méthode a réussi, alors qu'un retour de false indique que le module de connexion doit être ignoré. - Pour supprimer l'état d'authentification après une connexion réussie, l'application appelle
logout
sur leLoginContext
. Il en résulte un appel de méthodelogout
sur chaqueLoginModule
. La méthodelogout
supprime les principaux et les informations d'identification associées initialement au sujet au cours de l'opérationcommit
(validation). Les informations d'identification doivent être détruites après le retrait. La signature de la méthodelogout
est :boolean logout() throws LoginException
. L'impossibilité d'achever le processus de déconnexion est indiquée par l'exceptionLoginException
. Un renvoi true indique que la méthode a réussi, alors qu'un renvoi false indique que le module de connexion doit être ignoré.
LoginModule
doit communiquer avec l'utilisateur pour obtenir des informations d'authentification, il utilise un objet CallbackHandler
. Les applications implémentent l'interface CallbackHandler et le font passer au LoginContext
, lequel envoie les informations d'authentification directement sur les modules de connexion sous-jacents.
CallbackHandler
à la fois pour recueillir les entrées d'utilisateurs, comme un mot de passe ou un PIN de smartcard, afin de fournir des informations aux utilisateurs, comme les informations d'état. En permettant à l'application de spécifier les CallbackHandler
, les LoginModule
sous-jacents restent indépendants des différentes façons dont les applications interagissent avec les utilisateurs. Par exemple, une implémentation de CallbackHandler
d'une application GUI peut afficher une fenêtre pour solliciter une action d'utilisateur. En revanche, une implémentation CallbackHandler
pour un environnement non graphique, comme un serveur d'applications, pourrait simplement obtenir des informations d'identification en utilisant un serveur d'application API. L'interface CallbackHandler dispose d'une méthode d'implémentation :
void handle(Callback[] callbacks) throws java.io.IOException, UnsupportedCallbackException;
Callback
est la dernière classe d'authentification que nous allons regarder. Il s'agit d'une interface de marquage pour laquelle plusieurs implémentations par défaut sont fournies, y compris le NameCallback
et le PasswordCallback
utilisés dans un exemple précédent. Un LoginModule
utilise un Callback
pour demander des informations requises par le mécanisme d'authentification. Les LoginModule
passent un tableau de Callback
s directement à la méthode CallbackHandler.handle
au cours de la phase d'ouverture de session d'authentification. Si un callbackhandler
ne comprend pas comment utiliser un objet Callback
passé dans la méthode handle, il lancera une exception UnsupportedCallbackException
pour annuler l'appel d'ouverture de session.
Partie II. Sécuriser la plate-forme
Chapitre 4. Le sous-système de sécurité
4.1. La sécurité du sous-système
Si le mode de sujet deep copy est désactivé (par défaut), la copie d'une structure de données de sécurité se réfère à l'original uniquement au lieu de copier toute la structure de données. Ce comportement est plus efficace, mais enclin à la corruption des données si plusieurs threads possédant la même identité effacent le sujet lors d'un vidage ou d'une déconnexion.
Vous pouvez définir des propriétés de sécurité dans tout le système, qui sont appliquées à la classe java.security.Security class
.
Un domaine de sécurité est un ensemble de configuration de sécurité déclarative Java Authentication and Authorization Service (JAAS) qu'une ou plusieurs applications utilisent pour contrôler l'authentification, l'autorisation, l'auditing de et le mapping. Trois domaines de sécurité sont inclus par défaut: jboss-ejb-policy
, jboss-web-policy
, et other
. Vous pouvez créer autant de domaines de sécurité que vous souhaitez pour accommoder les besoins de vos applications.
4.2. Structure du sous-système de sécurité
Exemple 4.1. Exemple de configuration de sous-système de sécurité
<subsystem xmlns="urn:jboss:domain:security:1.2"> <security-management> ... </security-management> <security-domains> <security-domain name="other" cache-type="default"> <authentication> <login-module code="Remoting" flag="optional"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> <login-module code="RealmUsersRoles" flag="required"> <module-option name="usersProperties" value="${jboss.domain.config.dir}/application-users.properties"/> <module-option name="rolesProperties" value="${jboss.domain.config.dir}/application-roles.properties"/> <module-option name="realm" value="ApplicationRealm"/> <module-option name="password-stacking" value="useFirstPass"/> </login-module> </authentication> </security-domain> <security-domain name="jboss-web-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> <security-domain name="jboss-ejb-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> </security-domains> <vault> ... </vault> </subsystem>
<security-management>
, <subject-factory>
et <security-properties>
ne sont pas présents dans la configuration par défaut. Les éléments <subject-factory>
et <security-properties>
ont été désapprouvés sur JBoss EAP 6.1 et versions ultérieures.
4.3. Configurer le sous-système de sécurité
4.3.1. Configurer le sous-système de sécurité
- <security-management>
- Cette section remplace les comportements de haut niveau du sous-système de sécurité. Chaque paramètre est optionnel. Il est rare de modifier ces paramètres sauf pour le mode de sujet Deep Copy.
Option Description deep-copy-subject-mode Indiquez si l'on doit copier ou lier les tokens de sécurité pour la sécurité des threads.authentication-manager-class-name Indiquer un nom de classe d'implémentation AthentificationManager alternatif à utiliser.authorization-manager-class-name Indiquer un nom de classe d'implémentation AthorizationManager alternatif à utiliser.audit-manager-class-name Indiquer un nom de classe d'implémentation Audit Manager alternatif à utiliser.identity-trust-manager-class-name Indiquer un nom de classe d'implémentation IdentityTrustManager alternatif à utiliser.mapping-manager-class-name Indiquer le nom de classe d'implémentation MappingManager à utiliser. - <subject-factory>
- L'usine de sujets contrôle la création d'instances de sujets. Elle utilise sans doute le gestionnaire d'authentification pour vérifier l'appelant. L'utilisation principale du sujet est la création d'un sujet par les composants JCA. Il est rare que l'on ait besoin de modifier l'usine de sujets.
- <security-domains>
- Un élément de conteneur qui contient plusieurs domaines de sécurité. Un domaine de sécurité peut contenir des informations sur des modules d'authentification, d'autorisation, de mappage, et d'auditing, ainsi qu'une autorisation JASPI et une configuration JSSE. Votre application indique ainsi un domaine de sécurité pour gérer ses informations de sécurité.
- <security-properties>
- Contient des noms et valeurs définis dans la classe java.security.Security
4.3.2. Security Management
4.3.2.1. Mode de sujet Deep Copy
4.3.2.2. Activer le Mode de sujet Deep Copy
Procédure 4.1. Activer le mode de sécurité Deep Copy à partir de la Console de gestion
Connectez-vous à la Console de gestion.
La console de gestion est normalement disponible à par un URL commme http://127.0.0.1:9990/. Ajuster cette valeur pour qu'elle corresponde à vos besoins.Domaine géré : sélectionner le profil qui convient.
Dans un domaine géré, le sous-système de sécurité est configuré par profil, ou vous pouvez activer ou désactiver le mode de sécurité Depp Copy pour chacun, de manière indépendante.Pour sélectionner un profil, cliquer sur Profiles en haut et à droite de l'affichage console, puis sélectionner le profil que vous souhaitez modifier à partir de la case de sélection Profile en haut et à gauche.Ouvrir le menu de configuration Security Subsystem.
Étendre l'item de menu Security à droite de la console de gestion, puis cliquer sur le lien Security Subsystem.Modifier deep-copy-subject-mode.
Cliquer sur le bouton Edit. Cocher la case qui se trouve à côté de Deep Copy Subjects: pour activer le mode Copier Sujet (copy subject).
Si vous préférez utiliser le Management CLI pour activer cette option, utiliser une des commandes suivantes.
Exemple 4.2. Domaine géré
/profile=full/subsystem=security:write-attribute(name=deep-copy-subject-mode,value=TRUE)
Exemple 4.3. Serveur autonome
/subsystem=security:write-attribute(name=deep-copy-subject-mode,value=TRUE)
4.3.3. Domaines de sécurité
4.3.3.1. Les domaines de sécurité
4.3.3.2. Picketbox
- Section 5.11.1, « L'autorisation » et contrôle d'accès
- Section 5.14.1, « Security Mapping » des principaux, rôles et attributs
Chapitre 5. PicketLink Identity Management
5.1. Security Token Service (STS)
- Type de requête, Issue, Renew, etc.
- Type de jeton
- Durée de vie du jeton donné
- Informations sur le fournisseur de services qui a demandé le jeton
- Informations utilisées pour crypter le jeton créé.
RequestSecurityToken
. L'exemple de requête contient deux autres éléments WS-Trust : RequestType
qui précise que cette requête est une requête d'émission et TokenType
qui spécifie le type du jeton qui sera attribuée.
Exemple 5.1. Message de requête de jeton de sécurité WS-Trust
<S11:Envelope xmlns:S11=".." xmlns:wsu=".." xmlns:wst=".."> <S11:Header> ... </S11:Header> <S11:Body wsu:Id="body"> <wst:RequestSecurityToken Context="context"> <wst:TokenType>http://www.tokens.org/SpecialToken</wst:TokenType> <wst:RequestType> http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue </wst:RequestType> </wst:RequestSecurityToken> </S11:Body> </S11:Envelope>
Exemple 5.2. Message de réponse de jeton de sécurité
<wst:RequestSecurityTokenResponse Context="context" xmlns:wst=".." xmlns:wsu=".."> <wst:TokenType>http://www.tokens.org/SpecialToken</wst:TokenType> <wst:RequestedSecurityToken> <token:SpecialToken xmlns:token="..."> ARhjefhE2FEjneovi&@FHfeoveq3 </token:SpecialToken> </wst:RequestedSecurityToken> <wst:Lifetime> <wsu:Created>...</wsu:Created> <wsu:Expires>...</wsu:Expires> </wst:Lifetime> </wst:RequestSecurityTokenResponse>
TokenType
spécifie le type du jeton émis, alors que l'élément RequestedSecurityToken
contient le jeton lui-même. Le format du jeton dépend du type du jeton. L'élément de Lifetime
spécifie quand le jeton a été créé et quand il expire.
Voici les étapes de traitement d'une requête de jeton de sécurité :
- Un client envoie une requête de jeton de sécurité à
PicketLinkSTS
.
PicketLinkSTS
analyse le message de requête, et génère un modèle d'objet JAXB.
PicketLinkSTS
lit le fichier de configuration et crée l'objetSTSConfiguration
, si nécessaire. Ensuite, il obtient une référence auWSTrustRequestHandler
de la configuration et délègue le traitement de la requête à l'instance du gestionnaire de la demande.
- Le gestionnaire de requêtes utilise
STSConfiguration
pour définir les valeurs par défaut si nécessaire (par exemple, lorsque la demande ne spécifie pas une valeur de durée de vie de jeton)
- Le
WSTrustRequestHandler
crée unWSTrustRequestContext
, définissant l'objet de la requêteJAXB
et le principal de l'appelant reçu dePicketLinkSTS
.
- Le
WSTrustRequestHandler
utilise laSTSConfiguration
pour obtenir leSecurityTokenProvider
qui doit être utilisé pour traiter la requête selon le type du jeton qui est demandé. Ensuite, il appelle le fournisseur, en passant leWSTrustRequestContext
en tant que paramètre.
- L'instance
SecurityTokenProvider
traite la demande de jeton et stocke le jeton à produire dans le contexte de demande.
- Le
WSTrustRequestHandler
obtient le jeton du contexte, le crypte si nécessaire, et construit l'objet de réponse WS-Trust contenu dans le jeton de sécurité.
PicketLinkSTS
dicte la réponse générée par le gestionnaire de requêtes et la renvoie au client.
5.2. Configurer PicketLink STS
picketlink-sts.xml
. Voici les éléments qui peuvent être configurés dans le fichier picketlink-sts.xml
.
Note
PicketLinkSTS
: élément root. Définit des propriétés qui permettent à l'administrateur STS de définir les valeurs par défaut suivantes :STSName
: chaîne représentant le nom du service de jeton de sécurité. Si non spécifié, la valeurPicketLinkSTS
par défaut sera utilisée.TokenTimeout
: la valeur de durée de vie du jeton en econdes. Si non spécifié, la valeur par défaut 3600 (une heure) sera utilisée.EncryptToken
: valeur booléenne spécifiant si les jetons émis doivent être cryptés ou non. La valeur par défaut est false.
KeyProvider
: cet élément et tous ses sous-éléments sont utilisées pour configurer le keystore utilisé par PicketLink STS pour signer et chiffrer les jetons. Les propriétés comme l'emplacement du keystore, son mot de passe et l'alias de signature (clé privée) et mot de passe sont tous configurés dans cette section.RequestHandler
: cet élément spécifie le nom qualifié complet de l'implémentation deWSTrustRequestHandler
à utiliser. Si non spécifié, la valeur par défautorg.picketlink.identity.federation.core.wstrust.StandardRequestHandler
sera utilisée.SecurityTokenProvider
: cette section spécifie les implémentationsSecurityTokenProvider
qui doivent être utilisées pour gérer chaque type de jeton de sécurité. Dans l'exemple, nous avons deux fournisseurs - un qui gère les jetons de typeSpecialToken
et un qui gère les jetons de typeStandardToken
. LeWSTrustRequestHandler
appelle la méthodegetProviderForTokenType
(type String) deSTSConfiguration
pour obtenir une référence auSecurityTokenProvider
qui convient.TokenTimeout
: ceci est utilisé par leWSTrustRequestHandler
quand aucune durée de vie n'a été spécifiée dans la requête de WS-Trust. Il crée une instance de durée de vie qui a l'heure actuelle comme heure de création et expire après un nombre indiqué de secondes.ServiceProviders
: cette section spécifie les types de jetons qui doivent être utilisés pour chaque fournisseur de service (le service Web qui requiert un jeton de sécurité). Lorsqu'une demande WS-Trust ne contient pas le type de jeton, leWSTrustRequestHandler
doit utiliser le point de terminaison du fournisseur de service pour déterminer le type du jeton qui doit être délivré.EncryptToken
: ceci est utilisé par leWSTrustRequestHandler
pour décider si le jeton émis doit être crypté ou non. Si true, le certificat de clé publique (PKC) du prestataire de services sera utilisé pour crypter le jeton
Exemple 5.3. Configuration PicketLink STS
<PicketLinkSTS xmlns="urn:picketlink:identity-federation:config:1.0" STSName="Test STS" TokenTimeout="7200" EncryptToken="true"> <KeyProvider ClassName="org.picketlink.identity.federation.bindings.tomcat.KeyStoreKeyManager"> <Auth Key="KeyStoreURL" Value="keystore/sts_keystore.jks"/> <Auth Key="KeyStorePass" Value="testpass"/> <Auth Key="SigningKeyAlias" Value="sts"/> <Auth Key="SigningKeyPass" Value="keypass"/> <ValidatingAlias Key="http://services.testcorp.org/provider1" Value="service1"/> <ValidatingAlias Key="http://services.testcorp.org/provider2" Value="service2"/> </KeyProvider> <RequestHandler>org.picketlink.identity.federation.core.wstrust.StandardRequestHandler</RequestHandler> <TokenProviders> <TokenProvider ProviderClass="org.picketlink.test.identity.federation.bindings.wstrust.SpecialTokenProvider" TokenType="http://www.tokens.org/SpecialToken"/> <TokenProvider ProviderClass="org.picketlink.identity.federation.api.wstrust.plugins.saml.SAML20TokenProvider" TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0"/> </TokenProviders> <ServiceProviders> <ServiceProvider Endpoint="http://services.testcorp.org/provider1" TokenType="http://www.tokens.org/SpecialToken" TruststoreAlias="service1"/> <ServiceProvider Endpoint="http://services.testcorp.org/provider2" TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0" TruststoreAlias="service2"/> </ServiceProviders> </PicketLinkSTS>
5.3. Modules de Login PicketLink STS
Voici les différents types de Modules de Login STS.
STSIssuingLoginModule
- Appelle le STS configuré et demande un jeton de sécurité. Dès la réception du jeton
RequestedSecurityToken
, l'authentification est considérée comme un succès. - Un appel à STS exige normalement une authentification. Ce Module Login utilise les informations d'authentificaition d'une des sources suivantes :
- Son fichier de propriétés, si l'option de module
useOptionsCredentials
est définie àtrue
. - Anciennes informations d'authentification de module de connexion si l'option de module
password-stacking
est définie àuseFirstPass
. - Du
CallbackHandler
configuré en donnant un nom et un mot de passe de Callback.
- Après une authentification réussie, le
SamlCredential
est inséré dans les informations d'authentification du sujet si une même Assertion n'est pas déjà présente.
STSValidatingLoginModule
- Appelle le STS configuré et valide un token de sécurité disponible.
- Un appel à STS exige normalement une authentification. Ce Module Login utilise les informations d'authentificaition d'une des sources suivantes :
- Son fichier de propriétés, si l'option de module
useOptionsCredentials
est définie àtrue
. - Anciennes informations d'authentification de module de connexion si l'option de module
password-stacking
est définie àuseFirstPass
. - Du
CallbackHandler
configuré en donnant un nom et un mot de passe de Callback.
- Après une authentification réussie, SamlCredential est inséré dans les informations d'authentification du sujet si une même Assertion n'est pas déjà présente.
SAML2STSLoginModule
- Ce Module de Login fournit un
ObjectCallback
auCallbackHandler
configuré et attend un objetSamlCredential
retour. L'assertion est validée en rapport au STS configuré. - Si un ID utilisateur ou un jeton SAML sont partagés, ce Module de connexion contournera la validation. S'il sont empilés l'un sur l'autre, connectez-vous au module qui est authentifié.
- Après une authentification réussie, le
SamlCredential
est inspecté pour trouver unNameID
et un attribut de rôle à valeur multiples qui est défini respectivement comme ID et rôles de l'utilisateur.
SAML2LoginModule
- Ce module de connexion est utilisé en conjonction avec d'autres composants pour l'authentification SAML et ne réalise aucune authentification.
SPRedirectFormAuthenticator
utilise ce module de connexion pour l'implémentation PicketLink du Profil de redirection SAML v2 HTTP.- La valve d'authentificateur Tomcat effectue un authentification en redirigeant vers le fournisseur d'identité et en obtenant une assertion SAML.
- Ce module de connexion est utilisé pour faire passer l'ID utilisateur et les rôles au JBoss Security Framework dans le sujet JAAS.
5.4. Configurer STSIssuingLoginModule
STSIssuingLoginModule
utilise un nom d'utilisateur et un mot de passe pour authentifier l'utilisateur par un STS en extrayant un jeton.
Exemple 5.4. Configurer STSIssuingLoginModule
<application-policy name="saml-issue-token"> <authentication> <login-module code="org.picketlink.identity.federation.core.wstrust.auth.STSIssuingLoginModule" flag="required"> <module-option name="configFile">./picketlink-sts-client.properties</module-option> <module-option name="endpointURI">http://security_saml/endpoint</module-option> </login-module> </authentication> <mapping> <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSPrincipalMappingProvider" type="principal" /> <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSGroupMappingProvider" type="role" /> </mapping> </application-policy>
- modifiant leur security-domain déclaré
- spécifiant un Fournisseur de mappage Principal
- spécifiant un Fournisseur de mappage RoleGroup
5.5. Configurer STSValidatingLoginModule
Exemple 5.5. Configurer STSValidatingLoginModule
<application-policy name="saml-validate-token"> <authentication> <login-module code="org.picketlink.identity.federation.core.wstrust.auth.STSValidatingLoginModule" flag="required"> <module-option name="configFile">./picketlink-sts-client.properties</module-option> <module-option name="endpointURI">http://security_saml/endpoint</module-option> </login-module> </authentication> <mapping> <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSPrincipalMappingProvider" type="principal" /> <mapping-module code="org.picketlink.identity.federation.bindings.jboss.auth.mapping.STSGroupMappingProvider" type="role" /> </mapping> </application-policy>
5.6. SAML Web Browser Basé SSO
5.6.1. SAML Web Browser Basé SSO
5.6.2. Installation de Web SSO basé SAML v2 avec HTTP/Redirect Binding
- Identity Provider: le fournisseur d'identité est l'entité faisant autorité responsable de l'authentification d'un utilisateur final et qui affirme l'identité de cet utilisateur de façon fiable à des partenaires de confiance.
- Service Provider: Le fournisseur de Service s'appuie sur le fournisseur d'identité pour affirmer des informations sur un utilisateur via une information d'identification de l'utilisateur électronique, laissant le prestataire de services gérer le contrôle d'accès et de diffusion sur la base d'un ensemble fiable d'affirmations d'identification utilisateur.
5.6.3. Configurer le Fournisseur d'identités
Procédure 5.1. Configurer le Fournisseur d'identités IDP
Configurer la sécurité de l'application web pour l'IDP
Configurer une application web comme fournisseur d'identité.Note
L'utilisation de la sécurité d'application web basée FORM est conseillée car elle donne la possibilité de personnaliser une page de connexion.Ce qui suit est un exemple de configurationweb.xml
Exemple 5.6. Configuration web.xml pour IDP
<display-name>IDP</display-name> <description>IDP</description> <!-- Define a security constraint that gives unlimited access to images --> <security-constraint> <web-resource-collection> <web-resource-name>Images</web-resource-name> <url-pattern>/images/*</url-pattern> </web-resource-collection> </security-constraint> <!-- Define a Security Constraint on this Application --> <security-constraint> <web-resource-collection> <web-resource-name>IDP</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>manager</role-name> </auth-constraint> </security-constraint> <!-- Define the Login Configuration for this Application --> <login-config> <auth-method>FORM</auth-method> <realm-name>IDP Application</realm-name> <form-login-config> <form-login-page>/jsp/login.jsp</form-login-page> <form-error-page>/jsp/loginerror.jsp</form-error-page> </form-login-config> </login-config> <!-- Security roles referenced by this web application --> <security-role> <description> The role that is required to log in to the IDP Application </description> <role-name>manager</role-name> </security-role> </web-app>
Configurer les Valves IDP
Créer un fichiercontext.xml
dans le répertoire WEB-INF de votre application web IDP pour configurer les valves de l'IDP. Ce qui suit est un exemple de fichiercontext.xml
.Exemple 5.7. Configuration web.xml pour Valves IDP
<context> <Valve className="org.picketlink.identity.federation.bindings.tomcat.idp.IDPWebBrowserSSOValve"/> </context>
Configurer le Fichier de configuration PicketLink (picketlink.xml)
Configurerpicketlink.xml
dans le répertoire WEB-INF de votre application web IDP. Dans ce fichier de configuration, vous fournissez l'URL ajouté comme l'émetteur dans les assertions SAML2 sortantes aux fournisseurs de services et l'IDP. Voici un exemple de configurationpicketlink.xml
.Exemple 5.8. Configuration picketlink-idfed.xml
<PicketLink xmlns="urn:picketlink:identity-federation:config:2.1"> <PicketLinkIDP xmlns="urn:picketlink:identity-federation:config:2.1"> <IdentityURL>http://localhost:8080/idp/</IdentityURL> </PicketLinkIDP> <Handlers xmlns="urn:picketlink:identity-federation:handler:config:2.1"> <Handler class="org.picketlink.identity.federation.web.handlers.saml2.SAML2IssuerTrustHandler" /> <Handler class="org.picketlink.identity.federation.web.handlers.saml2.SAML2LogOutHandler" /> <Handler class="org.picketlink.identity.federation.web.handlers.saml2.SAML2AuthenticationHandler" /> <Handler class="org.picketlink.identity.federation.web.handlers.saml2.RolesGenerationHandler" /> </Handlers> </PicketLink>
5.6.4. Configurer le Fournisseur de services
Procédure 5.2. Configuration du Fournisseur de services (SP)
Configurer la sécurité de l'application web pour le SP
L'application web à configurer en tant que SP doit avoir une sécurité basée FORM activée dans son fichier web.xml.Exemple 5.9. Configuration web.xml pour SP
<display-name>IDP</display-name> <description>IDP</description> <!-- Define a security constraint that gives unlimited access to images --> <security-constraint> <web-resource-collection> <web-resource-name>Images</web-resource-name> <url-pattern>/images/*</url-pattern> </web-resource-collection> </security-constraint> <!-- Define a Security Constraint on this Application --> <security-constraint> <web-resource-collection> <web-resource-name>IDP</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>manager</role-name> </auth-constraint> </security-constraint> <!-- Define the Login Configuration for this Application --> <login-config> <auth-method>FORM</auth-method> <realm-name>IDP Application</realm-name> <form-login-config> <form-login-page>/jsp/login.jsp</form-login-page> <form-error-page>/jsp/loginerror.jsp</form-error-page> </form-login-config> </login-config> <!-- Security roles referenced by this web application --> <security-role> <description> The role that is required to log in to the IDP Application </description> <role-name>manager</role-name> </security-role> </web-app>
Configurer la Valve SP
Pour configurer la valve du SP, créer un fichiercontext.xml
dans le répertoire WEB-INF de votre application web SP.Exemple 5.10. Configuration web.xml pour Valves IDP
<Context> <Valve className="org.jboss.identity.federation.bindings.tomcat.sp.SPRedirectSignatureFormAuthenticator" /> </Context>
Configurer le Fichier de configuration PicketLink Federation (picketlink-idfed.xml)
Configurerpicketlink-idfed.xml
dans le WEB-INF de votre application web IDP. Dans ce fichier de configuration, vous fournissez l'URL ajouté comme émetteur dans les assertions SAML2 sortantes pour les fournisseurs de services et l'IDP. Voici un exemple de configuration depicketlink-idfed.xml
.Exemple 5.11. Configuration picketlink-idfed.xml
<PicketLinkIDP xmlns="urn:picketlink:identity-federation:config:1.0" > <IdentityURL>http://localhost:8080/idp/</IdentityURL> </PicketLinkIDP
Configurer le Fichier de configuration PicketLink Federation Handlers (
picketlink-handlers.xml
)Configurerpicketlink-handlers.xml
dans le WEB-INF de votre application web SP.Exemple 5.12. Configurer picketlink-handlers.xml
<Handlers xmlns="urn:picketlink:identity-federation:handler:config:1.0"> <Handler class="org.picketlink.identity.federation.web.handlers.saml2.SAML2LogOutHandler"/> <Handler class="org.picketlink.identity.federation.web.handlers.saml2.SAML2AuthenticationHandler"/> </Handlers>
Note
Conserver l'ordre dans lequel les handlers sont listés.
5.6.5. Installation de Web SSO basé SAML v2 avec HTTP/POST Binding
Procédure 5.3. Installation de Web SSO basé SAML v2 avec HTTP/POST Binding
Configurer le Fournisseur d'identités (IDP).
Les étapes de configuration d'IDP pour HTTP/POST Binding sont les mêmes que pour HTTP/Redirect Binding. Pour plus d'informations sur la façon de configurer l'IDP, voir Section 5.6.2, « Installation de Web SSO basé SAML v2 avec HTTP/Redirect Binding »Configuration du Fournisseur de services (SP)
Note
Les étapes de configuration de SP pour HTTP/POST Binding sont les mêmes que pour HTTP/Redirect Binding, sauf la variation dans le fichiercontext.xml
.Ce qui suit est un exemple de fichiercontext.xml
pour les valves IDP.Exemple 5.13. Configuration web.xml pour Valves IDP
<Context> <Valve className="org.picketlink.identity.federation.bindings.tomcat.sp.SPPostFormAuthenticator" /> </Context>
Pour plus d'informations sur la configuration du SP, voir Section 5.6.4, « Configurer le Fournisseur de services ».
5.7. Configuration du Profil SAML Global Logout
Note
Procédure 5.4. Configuration du Global Logout
Configurer picketlink-handlers.xml
Ajouter leSAML2LogOutHandler
dans le picketlink-handlers.xml.Configurer la page web du fournisseur de services
AjouterGLO=true
au lien qui se trouve en bas de votre page web de fournisseur de service.Exemple 5.14. Créer un lien vers Global Logout
<a href="?GLO=true">Click to Globally LogOut</a>
5.8. Intégration Kerberos et SPNEGO
5.8.1. Intégration Kerberos et SPNEGO
Dans une installation normale, l'utilisateur se connecte à un ordinateur de bureau qui est régi par le domaine Active Directory. L'utilisateur utilise ensuite le navigateur web, Firefox ou Internet Explorer pour accéder à une application web qui utilise la négociation de JBoss Negociation sur JBoss EAP. Le navigateur web transfère l'information de sign on de bureau à l'application web. JBoss EAP utilise les messages GSS d'arrière-plan avec Active Directory ou n'importe quel serveur Kerberos pour valider l'utilisateur. Cela permet à l'utilisateur d"effectuer un SSO sans faille dans l'application web
5.8.2. Desktop SSO using SPNEGO
- Domaine de sécurité
- Propriétés système
- Application Web
Procédure 5.5. Configurer Desktop SSO utilisant SPNEGO
Configurer Domaine de sécurité
Configurer les domaines de sécurité pour qu'il représentent l'identité du serveur et pour sécuriser l'application web.Exemple 5.15. Configuration du domaine de sécurité
<security-domains> <security-domain name="host" cache-type="default"> <authentication> <login-module code="Kerberos" flag="required"> <module-option name="storeKey" value="true"/> <module-option name="useKeyTab" value="true"/> <module-option name="principal" value="host/testserver@MY_REALM"/> <module-option name="keyTab" value="/home/username/service.keytab"/> <module-option name="doNotPrompt" value="true"/> <module-option name="debug" value="false"/> </login-module> </authentication> </security-domain> <security-domain name="SPNEGO" cache-type="default"> <authentication> <login-module code="SPNEGO" flag="requisite"> <module-option name="password-stacking" value="useFirstPass"/> <module-option name="serverSecurityDomain" value="host"/> </login-module> <!-- Login Module For Roles Search --> </security-domain>
Configuration des propriétés système
Si nécessaire, les propriétés système peuvent être configurées dans le modèle de domaine.Exemple 5.16. Configurer les propriétés système
<system-properties> <property name="java.security.krb5.kdc" value="mykdc.mydomain"/> <property name="java.security.krb5.realm" value="MY_REALM"/> </system-properties>
Configurer Application Web
Il n'est pas possible de remplacer les authentificateurs, mais il est possible d'ajouter leNegotiationAuthenticator
comme valve à votre jboss-web.xml pour configurer l'application web.Note
La valve a besoin d'avoirsecurity-constraint
etlogin-config
définis dans le fichier web.xml car c'est utilisé pour décider quelles sources sont sécurisées. Cependant, l'auth-method
est remplacée par cet authenticateur.Exemple 5.17. Configurer Application Web
<!DOCTYPE jboss-web PUBLIC "-//JBoss//DTD Web Application 2.4//EN" "http://www.jboss.org/j2ee/dtd/jboss-web_4_0.dtd"> <jboss-web> <security-domain>java:/jaas/SPNEGO</security-domain> <valve> <class-name>org.jboss.security.negotiation.NegotiationAuthenticator</class-name> </valve> </jboss-web>
L'application web exige aussi qu'une dépendance soit définie dansMETA-INF/MANIFEST.MF
pour trouver les classes de JBoss Negotiation.Exemple 5.18. Définir la dépendance dans
META-INF/MANIFEST.MF
Manifest-Version: 1.0 Build-Jdk: 1.6.0_24 Dependencies: org.jboss.security.negotiation
5.8.3. Configurer JBoss Negociation sur un domaine Microsoft Windows.
{hostname}
, {realm}
, le domaine {domain}
et le serveur hébergeant l'instance de JBoss EAP est dénommé {machine_name}
.
Procédure 5.6. Configurer JBoss Negociation sur un domaine Microsoft Windows.
Supprimer les mappages principaux du service existant
Dans un réseau Microsoft Windows, certains mappages sont créés automatiquement. Supprimez les mappages créés automatiquement pour mapper l'identité du serveur avec le service principal pour que la négociation se déroule correctement. Le mappage permet au navigateur web de l'ordinateur client de faire confiance au serveur et d'essayez SPNEGO. L'ordinateur client vérifie avec le contrôleur de domaine un mappage de la formeHTTP {hostname}
Voici les étapes nécessaires pour supprimer les mappages existants :- Lister les mappages enregistrés dans le domaine de l'ordinateur qui utilise la commande
setspn -L {machine_name}
. - Supprimer les mappages existants par les commandes,
setspn -D HTTP/{hostname} {machine_name}
etsetspn -D host/{hostname} {machine_name}
.
- Créer un compte d'utilisateur hôte.
Note
Veillez à ce que le nom d'utilisateur hôte soit différent de{machine_name}
.Dans le reste de la section, le nom d'utilisateur hôte est{user_name}
. Définir le mappage entre
{user_name}
et{hostname}
.- Exécuter la commande suivante pour configurer le mappage pricipal du service,
ktpass -princ HTTP/{hostname}@{realm} -pass * -mapuser {domain}\{user_name}
. - Saisir le mot de passe du nom d'utilisateur quand vous y serez invité.
Note
Réinitialiser le mot de passe de l'utilisateur comme prérequis d'exportation du keytab. - Vérifier le mappage en exécutant la commande suivante,
setspn -L {user_name}
Exporter le keytab de l'utilisateur dans le serveur sur lequel EAP est installé.
Exécuter la commande suivante pour exporter le keytab,ktab -k service.keytab -a HTTP/{hostname}@{realm}
.Note
Cette commande exporte le ticket duHTTP/{hostname} principal dans le fichier keytabservice.keytab
, qui est utilisé pour configurer le domaine de sécurité hôte sur JBoss.- Définir le principal dans le domaine de sécurité comme suit :
<module-option name="principal">HTTP/{hostname}@{realm}</module-option>
5.9. Authentification
5.9.1. Authentification
5.9.2. Configurer l'authentification dans un Domaine de sécurité
Procédure 5.7. Configurer l'authentification dans un Domaine de sécurité
Ouvrir l'affichage détaillé du domaine de sécurité.
Cliquer sur l'étiquette Profiles en haut et à droite de la console de gestion. Dans un domaine géré, sélectionner le profil à modifier à partir de la case de sélection Profile en haut et à gauche de l'affichage du profil. Cliquer sur l'item de menu Security sur la gauche, et cliquer sur Security Domains à partir du menu déroulant. Cliquer sur le lien View pour obtenir le domaine de sécurité que vous souhaitez modifier.Naviguer dans la configuration du sous-système d'authentification.
Cliquer sur l'étiquette Authentification en haut de l'affichage s'il n'a pas déjà été sélectionné.La zone de configuration est divisée en deux : Login Modules et Details. Le module de connexion est l'unité de base de configuration. Un domaine de sécurité peut inclure plusieurs polices d'autorisation, et chacune peut inclure plusieurs attributs et options.Ajouter un module de connexion
Cliquer sur le bouton Add pour ajouter un module de police d'authentification JAAS. Remplir les informations pour votre module. Le Code est le nom de classe de votre module. Les Flags contrôlent la façon dont le module est lié à d'autres modules de polices d'authentification du même domaine de sécurité.Explication des indicateursLa spécification Java Enterprise Edition 6 fournit l'explication suivante sur les marqueurs des modules de sécurité. La liste suivante provient de http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html#AppendixA. Consulter ce document pour obtenir des informations plus détaillées.
Marqueur Détails requis Le LoginModule est requis pour la réussite. En cas de réussite ou d'échec, l'autorisation continuera son chemin dans la liste du LoginModule.pré-requis Le LoginModule est requis pour la réussite. En cas de succès, l'authentification continue vers le bas de la liste LoginModule. En cas d'échec, le contrôle est renvoyé immédiatement à l'application (l'authentification ne continue pas son chemin le long de la liste LoginModule).suffisant The LoginModule n'est pas nécessaire pour aboutir. S'il ne réussit pas, le contrôle retourne immédiatement à l'application (l'authentification ne se déroule pas vers le bas de la liste LoginModule). S'il échoue, l'authentification se poursuit vers le bas de la liste LoginModule.option Le LoginModule n'est pas requis pour la réussite. En cas de réussite ou d'échec, l'autorisation continuera son chemin dans la liste du LoginModule.Une fois que vous aurez ajouté votre module, vous pourrez modifier son Code ou ses Flags (indicateurs) en cliquant sur le bouton Edit dans la section Details de l'écran. Veillez à ce que l'onglet Attributes soit bien sélectionné.Option : ajouter ou supprimer un module
Pour ajouter des options à votre module, cliquer sur leurs entrées dans la liste Login Modules, et sélectionner l'onglet Module Options dans la section Details qui se trouve en bas de la page. Cliquer sur le bouton Add, et fournir la clé et la valeur de l'option. Utiliser le bouton Remove pour supprimer l'option.
Votre module d'authentification est ajouté au domaine de sécurité, et est rendu disponible immédiatement auprès des applications qui utilisent le domaine de sécurité.
jboss.security.security_domain
Par défaut, chaque module de connexion défini dans un domaine de sécurité a l'option de module jboss.security.security_domain
ajoutée automatiquement. Cette option cause des problèmes avec les modules de connexion, qui vérifient que seules les options connues soient définies. Le module de connexion Kerberos d'IBM com.ibm.security.auth.module.Krb5LoginModule
est l'un d'entre eux.
true
en démarrant la plate-forme JBoss EAP 6. Ajouter ce qui suit pour démarrer les paramètres.
-Djboss.security.disable.secdomain.option=true
5.10. Java Authentication SPI for Containers (JASPI)
5.10.1. Sécurité Java Authentication SPI pour Conteneurs (JASPI)
5.10.2. Configuration de la Sécurité Java Authentication SPI pour Conteneurs (JASPI)
<authentication-jaspi>
à votre domaine de sécurité. La configuration est similaire à celle d'un module d'authentification standard, mais les éléments de module de login sont inclus dans l'élément <login-module-stack>
. La structure de configuration est la suivante :
Exemple 5.19. Structure de l'élément authentication-jaspi
<authentication-jaspi> <login-module-stack name="..."> <login-module code="..." flag="..."> <module-option name="..." value="..."/> </login-module> </login-module-stack> <auth-module code="..." login-module-stack-ref="..."> <module-option name="..." value="..."/> </auth-module> </authentication-jaspi>
EAP_HOME/domain/configuration/domain.xml
ou dans le fichier EAP_HOME/standalone/configuration/standalone.xml
.
5.11. Autorisation
5.11.1. L'autorisation
5.11.2. Configurer l'autorisation pour un domaine de sécurité
Procédure 5.8. Configurer l'autorisation pour un domaine de sécurité
Ouvrir l'affichage détaillé du domaine de sécurité.
Cliquer sur l'étiquette Profiles en haut et à droite de la console de gestion. Dans un domaine géré, sélectionner le profil à modifier à partir de la case de sélection Profile en haut et à gauche de l'affichage du profil. Cliquer sur l'item de menu Security sur la gauche, et cliquer sur Security Domains à partir du menu déroulant. Cliquer sur le lien View pour obtenir le domaine de sécurité que vous souhaitez modifier.Naviguer dans la configuration du sous-système d'autorisation.
Cliquer sur l'étiquette Authorization en haut de l'affichage si elle n'a pas déjà été sélectionnée.La zone de configuration est divisée en deux: Policies et Details. Le module de connexion est l'unité de base de configuration. Un domaine de sécurité peut inclure plusieurs polices d'autorisation, et chacune d'elle peut inclure plusieurs attributs ou options.Ajouter une police.
Cliquer sur le bouton Add pour ajouter un module de police d'autorisation JAAS. Remplir les informations pour votre module. Le Code est le nom de classe de votre module. Les Flags contrôlent la façon dont le module est lié à d'autres modules de polices d'autorisation du même domaine de sécurité.Explication des indicateursLa spécification Java Enterprise Edition 6 fournit l'explication suivante sur les marqueurs des modules de sécurité. La liste suivante provient de http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html#AppendixA. Consulter ce document pour obtenir des informations plus détaillées.
Marqueur Détails requis Le LoginModule est requis pour la réussite. En cas de réussite ou d'échec, l'autorisation continuera son chemin dans la liste du LoginModule.pré-requis Le LoginModule est requis pour la réussite. En cas de succès, l'autorisation continue vers le bas de la liste LoginModule. En cas d'échec, le contrôle est renvoyé immédiatement à l'application (l'autorisation ne continue pas son chemin le long de la liste LoginModule).suffisant The LoginModule n'est pas nécessaire pour aboutir. S'il ne réussit pas, le contrôle retourne immédiatement à l'application (l'autorisation ne se déroule pas vers le bas de la liste LoginModule). S'il échoue, l'authentification se poursuit vers le bas de la liste LoginModule.option Le LoginModule n'est pas requis pour la réussite. En cas de réussite ou d'échec, l'autorisation continuera son chemin dans la liste du LoginModule.Une fois que vous aurez ajouté votre module, vous pourrez modifier son Code ou ses Flags (indicateurs) en cliquant sur le bouton Edit dans la section Details de l'écran. Veillez à ce que l'onglet Attributes soit bien sélectionné.Option : ajouter, éditer, ou supprimer un module
Si vous avez besoin d'ajouter des options à votre module, cliquer sur leurs entrées dans la liste Login Modules, et sélectionner l'onglet Module Options dans la section Details qui se trouve en bas de la page. Cliquer sur le bouton Add, et fournir la clé et la valeur de l'option. Pour la modifier, cliquer sur la clé et modifier. Utiliser le bouton Remove pour supprimer l'option.
Votre module de police de sécurité est ajouté au domaine de sécurité, et est rendu disponible immédiatement auprès des applications qui utilisent le domaine de sécurité.
5.12. Java Authorization Contract for Containers (JACC)
5.12.1. Java Authorization Contract for Containers (JACC)
5.12.2. Configurer la sécurité JACC (Java Authorization Contract for Containers)
jboss-web.xml
pour y inclure les paramètres qu'il faut.
Pour ajouter JACC au domaine de sécurité, ajouter la police d'autorisation JACC
à la pile d'autorisations du domaine de sécurité, avec l'indicateur required
. Voici un exemple de domaine de sécurité avec support JACC. Cependant, le domaine de sécurité est configuré dans la Console de gestion ou Management CLI, plutôt que directement dans le code XML.
<security-domain name="jacc" cache-type="default"> <authentication> <login-module code="UsersRoles" flag="required"> </login-module> </authentication> <authorization> <policy-module code="JACC" flag="required"/> </authorization> </security-domain>
Le fichier jboss-web.xml
se trouve dans META-INF/
ou dans le répertoire WEB-INF/
de votre déploiement, et contient des ajouts ou remplacements de configuration spécifique JBoss pour le conteneur web. Pour utiliser votre domaine de sécurité activé-JACC, vous devrez inclure l'élément <security-domain>
, et aussi définir l'élément <use-jboss-authorization>
sur true
. L'application suivante est configurée correctement pour pouvoir utiliser le domaine de sécurité JACC ci-dessus.
<jboss-web> <security-domain>jacc</security-domain> <use-jboss-authorization>true</use-jboss-authorization> </jboss-web>
La façon de configurer les EJB pour qu'ils utilisent un domaine de sécurité et pour qu'ils utilisent JACC diffère des applications Web. Pour un EJB, vous pouvez déclarer des method permissions (permissions de méthode) sur une méthode ou sur un groupe de méthodes, dans le descripteur ejb-jar.xml
. Dans l'élément <ejb-jar>
, chaque élément <method-permission>
dépendant contient des informations sur les rôles JACC. Voir l'exemple de configuration pour plus d'informations. La classe EJBMethodPermission
fait partie de l'API Java Enterprise Edition 6, et est documentée dans http://docs.oracle.com/javaee/6/api/javax/security/jacc/EJBMethodPermission.html.
Exemple 5.20. Exemple de Permissions de méthode JACC dans un EJB
<ejb-jar> <method-permission> <description>The employee and temp-employee roles may access any method of the EmployeeService bean </description> <role-name>employee</role-name> <role-name>temp-employee</role-name> <method> <ejb-name>EmployeeService</ejb-name> <method-name>*</method-name> </method> </method-permission> </ejb-jar>
jboss-ejb3.xml
qui se trouve dans l'élément enfant <security>
. En plus du domaine de sécurité, vous pouvez également spécifier le run-as principal, qui change le principal que l'EJB exécute.
Exemple 5.21. Exemple de déclaration de domaine de sécurité dans un EJB
<security> <ejb-name>*</ejb-name> <security-domain>myDomain</security-domain> <run-as-principal>myPrincipal</run-as-principal> </security>
5.12.3. Autorisation affinée par XACML
5.12.3.1. Autorisation affinée et XACML
- PERMIT - Accès approuvé.
- DENY - Accès non autorisé.
- INDETERMINATE - Erreur dans le PDP.
- NOTAPPLICABLE - Il y a des attributs manquants dans la requête ou il n'y a pas de politique correspondante.
- Bibliothèque Oasis XACML v2.0
- Modèle d'objet basé JAXB v2.0
- Intégration ExistDB pour stocker/extraire des Polices et Attributs XACML
5.12.3.2. Configurer XACML pour autorisation affinée
Procédure 5.9. Configurer XACML
- Télécharger la bibliothèque qui correspond à un simple fichier jar.
Créer un ou plusieurs fichiers de stratégies pour XACML
- Sous
WEB-INF/classes
, créer un répertoirepolicies
pour sauvegarder toutes vos stratégies. - Créer un
policyConfig.xml
sous le répertoireWEB-INF/classes
.Il existe deux types d'ensembles de stratégies que l'on puisse définir :- Role Permission Policy Sets (RPS)
- Permission Policy Sets (PPS)
Exemple 5.22. Role Permission Policy Sets (RPS)
Employé<PolicySet xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os" PolicySetId="RPS:employee:role" PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:permit-overrides"> <Target> <Subjects> <Subject> <SubjectMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:anyURI-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">employee</AttributeValue> <SubjectAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI"/> </SubjectMatch> </Subject> </Subjects> </Target> <!-- Use permissions associated with the employee role --> <PolicySetIdReference>PPS:employee:role</PolicySetIdReference> </PolicySet>
Gestionnaire<PolicySet xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os" PolicySetId="RPS:manager:role" PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:permit-overrides"> <Target> <Subjects> <Subject> <SubjectMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:anyURI-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">manager</AttributeValue> <SubjectAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI"/> </SubjectMatch> </Subject> </Subjects> </Target> <!-- Use permissions associated with the manager role --> <PolicySetIdReference>PPS:manager:role</PolicySetIdReference> </PolicySet>
Exemple 5.23. Permission Policy Sets (PPS)
Employé<PolicySet xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os" PolicySetId="PPS:employee:role" PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:permit-overrides"> <Target /> <!-- Permissions specifically for the employee role --> <Policy PolicyId="Permissions:specifically:for:the:employee:role" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:permit-overrides"> <Target /> <!-- Permission to create a purchase order --> <Rule RuleId="Permission:to:create:a:purchase:order" Effect="Permit"> <Target> <Resources> <Resource> <ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">purchase order </AttributeValue> <ResourceAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" DataType="http://www.w3.org/2001/XMLSchema#string" /> </ResourceMatch> </Resource> </Resources> <Actions> <Action> <ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">create</AttributeValue> <ActionAttributeDesignator AttributeId="urn:action-id" DataType="http://www.w3.org/2001/XMLSchema#string" /> </ActionMatch> </Action> </Actions> </Target> </Rule> </Policy> <!-- HasPrivilegesOfRole Policy for employee role --> <Policy PolicyId="Permission:to:have:employee:role:permissions" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:permit-overrides"> <Target /> <!-- Permission to have employee role permissions --> <Rule RuleId="Permission:to:have:employee:permissions" Effect="Permit"> <Condition> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:and"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:anyURI-is-in"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">employee</AttributeValue> <ResourceAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI" /> </Apply> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:anyURI-is-in"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">urn:oasis:names:tc:xacml:2.0:actions:hasPrivilegesOfRole </AttributeValue> <ActionAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://www.w3.org/2001/XMLSchema#anyURI" /> </Apply> </Apply> </Condition> </Rule> </Policy> </PolicySet>
Gestionnaire<PolicySet xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os" PolicySetId="PPS:manager:role" PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:permit-overrides"> <Target /> <!-- Permissions specifically for the manager role --> <Policy PolicyId="Permissions:specifically:for:the:manager:role" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:permit-overrides"> <Target /> <!-- Permission to sign a purchase order --> <Rule RuleId="Permission:to:sign:a:purchase:order" Effect="Permit"> <Target> <Resources> <Resource> <ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">purchase order </AttributeValue> <ResourceAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" DataType="http://www.w3.org/2001/XMLSchema#string" /> </ResourceMatch> </Resource> </Resources> <Actions> <Action> <ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">sign</AttributeValue> <ActionAttributeDesignator AttributeId="urn:action-id" DataType="http://www.w3.org/2001/XMLSchema#string" /> </ActionMatch> </Action> </Actions> </Target> </Rule> </Policy> <!-- HasPrivilegesOfRole Policy for manager role --> <Policy PolicyId="Permission:to:have:manager:role:permissions" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:permit-overrides"> <Target /> <!-- Permission to have manager role permissions --> <Rule RuleId="Permission:to:have:manager:permissions" Effect="Permit"> <Condition> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:and"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:anyURI-is-in"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">manager</AttributeValue> <ResourceAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI" /> </Apply> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:anyURI-is-in"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">urn:oasis:names:tc:xacml:2.0:actions:hasPrivilegesOfRole </AttributeValue> <ActionAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://www.w3.org/2001/XMLSchema#anyURI" /> </Apply> </Apply> </Condition> </Rule> </Policy> <!-- Include permissions associated with employee role --> <PolicySetIdReference>PPS:employee:role</PolicySetIdReference> </PolicySet>
Créer un fichier de configuration pour XACML engine.
Un fichier de configuration est créé pour configurer les localisateurs et pour indiquer les répertoires où les stratégies sont sauvegardées.Exemple 5.24. Fichier de configuration
Fichier de configuration uniquement qui indique le répertoire de fichiers de stratégies.<ns:jbosspdp xmlns:ns="urn:jboss:xacml:2.0"> <ns:Policies> <ns:PolicySet> <ns:Location>test/policies/rbac/</ns:Location> </ns:PolicySet> </ns:Policies> <ns:Locators> <ns:Locator Name="org.jboss.security.xacml.locators.JBossRBACPolicySetLocator"/> </ns:Locators> </ns:jbosspdp>
Fichier de configuration indiquant un ensemble de stratégies.<ns:jbosspdp xmlns:ns="urn:jboss:xacml:2.0"> <ns:Policies> <ns:PolicySet> <ns:Location>test/policies/rbac/employee-PPS-policyset.xml</ns:Location> </ns:PolicySet> <ns:PolicySet> <ns:Location>test/policies/rbac/manager-PPS-policyset.xml</ns:Location> </ns:PolicySet> <ns:PolicySet> <ns:Location>test/policies/rbac/employee-RPS-policyset.xml</ns:Location> </ns:PolicySet> <ns:PolicySet> <ns:Location>test/policies/rbac/manager-RPS-policyset.xml</ns:Location> </ns:PolicySet> </ns:Policies> <ns:Locators> <ns:Locator Name="org.jboss.security.xacml.locators.JBossRBACPolicySetLocator"/> </ns:Locators> </ns:jbosspdp>
- Créer un PDP (Policy Decision Point) et le passer dans un fichier de configuration.
- Dans le PEP (Policy Enforcement Point), créer une demande XACML basée sur le contexte. Passer la requête XACML au PDP pour obtenir une des décisions d'accès suivantes :
- Permission
- Interdiction
- Indéterminé
- Non Applicable
Exemple 5.25. Décisions d'accès
Condition de permission<Request xmlns="urn:oasis:names:tc:xacml:2.0:context:schema:os" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:oasis:names:tc:xacml:2.0:context:schema:os access_control-xacml-2.0-context-schema-os.xsd"> <Subject> <Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id" DataType="http://www.w3.org/2001/XMLSchema#string"> <AttributeValue>Anne</AttributeValue> </Attribute> <Attribute AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>manager</AttributeValue> </Attribute> </Subject> <Resource> <Attribute AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>manager</AttributeValue> </Attribute> </Resource> <Action> <Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://www.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>urn:oasis:names:tc:xacml:2.0:actions:hasPrivilegesOfRole</AttributeValue> </Attribute> </Action> </Request>
Déni de permission<Request xmlns="urn:oasis:names:tc:xacml:2.0:context:schema:os" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:oasis:names:tc:xacml:2.0:context:schema:os access_control-xacml-2.0-context-schema-os.xsd"> <Subject> <Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id" DataType="http://www.w3.org/2001/XMLSchema#string"> <AttributeValue>Anne</AttributeValue> </Attribute> <Attribute AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>manager</AttributeValue> </Attribute> </Subject> <Resource> <Attribute AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>manager</AttributeValue> </Attribute> </Resource> <Action> <Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://wwDenyw.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>urn:nobody</AttributeValue> </Attribute> </Action> </Request>
5.13. Security Auditing
5.13.1. Security Auditing
5.13.2. Configurer Security Auditing
Procédure 5.10. Configurer Security Auditing pour un domaine de sécurité
Ouvrir l'affichage détaillé du domaine de sécurité.
Cliquer sur l'étiquette Profiles en haut et à droite de la console de gestion. Dans un domaine autonome, l'onglet est intitulé Profile. Dans un domaine géré, sélectionner le profil à modifier à partir de la case de sélection Profile en haut et à gauche de l'affichage du profil. Cliquer sur l'item de menu Security sur la gauche, et cliquer sur Security Domains à partir du menu déroulant. Cliquer sur le lien View pour obtenir le domaine de sécurité que vous souhaitez modifier.Naviguer dans la configuration du sous-système Auditing.
Cliquer sur l'étiquette Audit en haut de l'affichage si elle n'a pas déjà été sélectionnée.La zone de configuration est divisée en deux : Provider Modules et Details. Le module de fournisseur est l'unité de base de configuration. Un domaine de sécurité peut inclure plusieurs polices d'autorisation, et chacune peut inclure plusieurs attributs et options.Ajouter un module de fournisseur.
Cliquer sur le bouton Add pour ajouter un module de fournisseur. Remplir la section Code avec le nom de classe du module du fournisseur.Une fois que vous aurez ajouté votre module, vous pourrez modifier son Code en cliquant sur le bouton Edit dans la section Details de l'écran. Veillez à ce que l'onglet Attributes soit bien sélectionné.Vérifier que le module fonctionne
Le but d'un module d'auditing est d'offrir un moyen de surveiller les événements dans le sous-système de sécurité. Ce monitoring peut être réalisé sous la forme d'écriture dans un fichier de journalisation, des notifications email ou autre mécanisme d'audit mesurable.Par exemple, JBoss EAP 6 inclut le moduleLogAuditProvider
par défaut. S'il est activé par les étapes décrites ci-dessus, ce module d'audit écrira des notifications de sécurité dans un fichieraudit.log
qui se situe dans le sous-dossierlog
du répertoireEAP_HOME
.Pour vérifier si les étapes ci-dessus fonctionnent dans le contexteLogAuditProvider
, procédez à une action qui risque de déclencher une notification, puis vérifier le fichier de journalisation de l'audit.Pour obtenir une liste complète des Modules Security Auditing Provider, voir : Section A.4, « Modules Security Auditing Provider inclus »Option : ajouter, éditer, ou supprimer un module
Si vous avez besoin d'ajouter des options à votre module, cliquer sur leurs entrées dans la liste Module, et sélectionner l'onglet Module Options dans la section Details de la page. Cliquer sur le bouton Add, et fournir la clé et la valeur de l'option. Pour modifier une option existante, la supprimer en cliquant sur l'étiquette Remove, et l'ajouter à nouveau grâce aux options qui conviennent en cliquant sur le bouton Add.
Votre module d'audit de sécurité est ajouté au domaine de sécurité, et est rendu disponible immédiatement auprès des applications qui utilisent le domaine de sécurité.
5.14. Mappage Sécurité
5.14.1. Security Mapping
5.14.2. Configurer le Security Mapping dans un domaine de sécurité
Procédure 5.11. Configurer le Mappage de sécurité pour un Domaine de sécurité
Ouvrir l'affichage détaillé du domaine de sécurité.
Cliquer sur l'étiquette Profiles en haut et à droite de la console de gestion. Dans un domaine autonome, l'onglet est intitulé Profile. Dans un domaine géré, sélectionner le profile à modifier à partir de la case de sélection Profile en haut et à gauche de l'affichage du profil. Cliquer sur l'item de menu Security sur la gauche, et cliquer sur Security Domains à partir du menu déroulant. Cliquer sur le lien View pour obtenir le domaine de sécurité que vous souhaitez modifier.Naviguer dans la configuration du sous-système de Mapping
Cliquer sur l'étiquette Mapping en haut de l'affichage si elle n'a pas déjà été sélectionnée.La zone de configuration est divisée en deux : Modules et Details. Le module de connexion est l'unité de base de configuration. Un domaine de sécurité peut inclure plusieurs polices de mapping, et chacune peut inclure plusieurs attributs et options.Ajouter un module.
Cliquer sur le bouton Add pour ajouter un module de police de mapping. Remplir les informations pour votre module. Le Code est le nom de classe du module. Le champ Type se rapporte au type de mapping effectué par ce module. Les valeurs autorisées sont les suivantes : principal, rôle, attribut ou identifiant.Une fois que vous aurez ajouté votre module, vous pourrez modifier son Code ou ses Type en cliquant sur le bouton Edit dans la section Details de l'écran. Veillez à ce que l'onglet Attributes soit bien sélectionné.Option : ajouter, éditer ou supprimer un module
Pour ajouter des options à votre module, cliquer sur leurs entrées dans la liste Modules, et sélectionner l'onglet Module Options dans la section Details. Cliquer sur le bouton Add, et fournir la clé et la valeur de l'option. Pour modifier une option existante, la supprimer en cliquant sur l'étiquette Remove, et ajouter la nouvelle valeur. Utiliser le bouton Remove pour supprimer une option.
Votre module de mappage de sécurité est ajouté au domaine de sécurité, et est rendu disponible immédiatement auprès des applications qui utilisent le domaine de sécurité.
5.15. Utiliser un domaine de sécurité dans votre application
Pour utiliser un domaine de sécurité dans votre application, vous devez tout d'abord configurer le domaine dans le fichier de configuration du serveur ou dans le fichier de descripteur de l'application. Ensuite, vous devez ajouter les annotations requises à l'EJB qui l'utilise. Cette rubrique décrit les étapes requises pour utiliser un domaine de sécurité dans votre application.
Procédure 5.12. Configurer votre application pour qu'elle puisse utiliser un Domaine de sécurité
Définir le Domaine de sécurité
Vous pouvez définir le domaine de sécurité soit dans le fichier de configuration du serveur, soit dans le fichier du descripteur de l'application.Configurer le domaine de sécurité dans le fichier de configuration du serveur
Le domaine de sécurité est configuré dans le sous-système desécurité
du fichier de configuration du serveur. Si l'instance de JBoss EAP 6 s'exécute dans un domaine géré, il s'agira du fichierdomain/configuration/domain.xml
. Si l'instance de JBoss EAP 6 s'exécute comme un serveur autonome, ce sera le fichierstandalone/configuration/standalone.xml
.Les domaines de sécuritéother
,jboss-web-policy
, etjboss-ejb-policy
sont fournis par défaut dans JBoss EAP 6. L'exemple XML suivant a été copié à partir du sous-système desécurité
dans le fichier de configuration du serveur.<subsystem xmlns="urn:jboss:domain:security:1.2"> <security-domains> <security-domain name="other" cache-type="default"> <authentication> <login-module code="Remoting" flag="optional"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> <login-module code="RealmDirect" flag="required"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> </authentication> </security-domain> <security-domain name="jboss-web-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> <security-domain name="jboss-ejb-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> </security-domains> </subsystem>
Vous pouvez configurer des domaines de sécurité supplémentaires selon les besoins par la Console de gestion ou par le Management CLI.Configurer le domaine de sécurité dans le fichier de descripteur de l'application.
Le domaine de sécurité est spécifié dans l'élément enfant<security-domain>
de l'élément<jboss-web>
du fichierWEB-INF/jboss-web.xml
de l'application. L'exemple suivant configure un domaine de sécurité nommémy-domain
.<jboss-web> <security-domain>my-domain</security-domain> </jboss-web>
Il s'agit d'une des configurations que vous pouvez indiquer dans le descripteurWEB-INF/jboss-web.xml
.
Ajouter l'annotation requise à l'EJB.
Vous pouvez configurer la sécurité dans EJB par les annotations@SecurityDomain
et@RolesAllowed
. L'exemple de code EJB suivant limite l'accès au domaine de sécuritéother
aux utilisateurs ayant pour rôleguest
(invité).package example.ejb3; import java.security.Principal; import javax.annotation.Resource; import javax.annotation.security.RolesAllowed; import javax.ejb.SessionContext; import javax.ejb.Stateless; import org.jboss.ejb3.annotation.SecurityDomain; /** * Simple secured EJB using EJB security annotations * Allow access to "other" security domain by users in a "guest" role. */ @Stateless @RolesAllowed({ "guest" }) @SecurityDomain("other") public class SecuredEJB { // Inject the Session Context @Resource private SessionContext ctx; /** * Secured EJB method using security annotations */ public String getSecurityInfo() { // Session context injected using the resource annotation Principal principal = ctx.getCallerPrincipal(); return principal.toString(); } }
Pour obtenir des exemples de code supplémentaires, voirejb-security
Quickstart dans le package JBoss EAP 6 Quickstarts disponible à partir du Portail Clients Red Hat.
Chapitre 6. Java Security Manager
6.1. Java Security Manager
Le gestionnaire de sécurité Java est une classe qui gère la limite extérieure de la sandbox Java Virtual Machine (JVM), contrôlant ainsi comment le code qui est exécuté dans la JVM peut interagir avec les ressources à l'extérieur de la machine virtuelle Java. Lorsque le gestionnaire de sécurité Java est activé, l'API Java vérifie avec le gestionnaire de sécurité pour approbation avant d'exécuter une vaste gamme d'opérations potentiellement dangereuses.
6.2. Polices du Java Security Manager
Un jeu d'autorisations définies pour les différentes classes du code. Le gestionnaire de sécurité Java examine les requêtes en provenance des applications en fonction de la politique de sécurité. Si une action est autorisée par la politique, le gestionnaire de sécurité permettra que l'action ait lieu. Si l'action n'est pas autorisée par la police, le gestionnaire de sécurité refusera cette action. La stratégie de sécurité peut définir des autorisations basées sur l'emplacement du code ou sur la signature du code.
java.security.manager
et java.security.policy
.
6.3. Exécuter JBoss EAP 6 dans le Java Security Manager
domain.sh
ou standalone.sh
. La procédure suivante va vous guider à travers les étapes de configuration de votre instance pour exécuter avec la politique du gestionnaire de sécurité Java.
Prérequis
- Avant de suivre cette procédure, vous devrez rédiger une politique de sécurité, en utilisant la commande
policytool
comprise dans votre Java Development Kit (JDK). Cette procédure assume que votre politique se trouve àEAP_HOME/bin/server.policy
. - Le domaine ou le serveur autonome doivent être tout à fait arrêtés avant d'éditer un fichier de configuration quelconque.
Procédure 6.1. Modifier les Fichiers de configuration
Ouvrir le fichier de configuration.
Ouvrir le fichier de configuration pour le modifier. Ce fichier se trouve dans un de ces emplacements, suivant que vous utilisiez un domaine géré ou un serveur autonome. Il ne s'agit pas du fichier exécutable utilisé pour démarrer le serveur ou le domaine.Domaine géré
EAP_HOME/bin/domain.conf
Serveur autonome
EAP_HOME/bin/standalone.conf
Ajouter les options Java en fin de fichier.
Ajouter la ligne suivante sous forme de nouvelle ligne en fin de fichier. Vous pourrez modifier la valeur de-Djava.security.policy
pour spécifier l'emplacement exact de votre politique de sécurité. Doit être contenu sur une ligne seulement, sans interruption. Vous pouvez modifier-Djava.security.debug
pour journaliser des informations, en indiquant leur niveau de débogage. La plus verbeuse estfailure,access,policy
.JAVA_OPTS="$JAVA_OPTS -Djava.security.manager -Djboss.home.dir=$PWD/.. -Djava.security.policy==$PWD/server.policy -Djava.security.debug=failure"
Démarrer le domaine ou le serveur.
Démarrer le domaine ou le serveur en tant que normal.
6.4. Écrire une politique pour le Java Security Manager
Il y a une application nommée policytool
dans la plupart des distributions JDK et JRE, ayant pour but la modification ou la création de politiques de sécurité pour le Java Security Manager. Vous trouverez des informations sur policytool
dans http://docs.oracle.com/javase/6/docs/technotes/tools/.
Une politique de sécurité consiste en les éléments de configuration suivants :
- CodeBase
- L'emplacement de l'URL (à l'exclusion des informations sur l'hôte ou le domaine) d'où viennent les codes. Ce paramètre est en option.
- SignedBy
- L'alias est utilisé dans le fichier de clés pour référencer le signataire dont la clé privée a été utilisée pour signer le code. Cela peut être une valeur unique ou une liste séparée par des virgules. Ce paramètre est facultatif. Si omis, la présence ou l'absence de signature n'a aucun impact sur le gestionnaire de sécurité Java.
- Principaux
- Une liste de paires de principal_type/principal_name, qui doivent se trouver dans l'ensemble Principal du thread en cours d'exécution. L'entrée Principal est facultative. S'il est omis, il signifie « n'importe quel principal »
- Permissions
- Une permission est l'accès qui est accordé au code. De nombreuses autorisations sont fournies dans le cadre de la spécification Java Enterprise Edition 6 (Java EE 6). Ce document couvre uniquement les autorisations supplémentaires qui sont fournies par JBoss EAP 6.
Procédure 6.2. Définir une politique pour le Java Security Manager
Démarrer
policytool
.Démarrer l'outilpolicytool
d'une des façons suivantes.Red Hat Enterprise Linux
À partir de votre GUI ou invite de commande, exécuter/usr/bin/policytool
.Microsoft Windows Server
Exécuterpolicytool.exe
à partir du menu de Démarrage (Start) ou à partir debin\
de votre installation Java. L'emplacement peut varier.
Créer une politique.
Pour créer une politique, sélectionner Add Policy Entry. Ajouter les paramètres dont vous aurez besoin, et cliquer sur Done.Modifier une politique existante
Sélectionner la police à partir d'une liste de politiques existantes, et sélectionner le bouton Edit Policy Entry. Modifier les paramètres suivant les besoins.Supprimer une politique existante.
Sélectionner la politique à partir d'une liste de politiques existantes, et sélectionner le bouton Remove Policy Entry.
Permission spécifique à JBoss EAP 6
- org.jboss.security.SecurityAssociation.getPrincipalInfo
- Donne accès aux méthodes
org.jboss.security.SecurityAssociation
.getPrincipal()
etgetCredential()
. Le risque encouru avec cette permission est que l'on peut voir le thread de l'appelant et ses détails d'authentification. - org.jboss.security.SecurityAssociation.getSubject
- Donne accès à la méthode
org.jboss.security.SecurityAssociation
.getSubject()
. - org.jboss.security.SecurityAssociation.setPrincipalInfo
- Donne accès aux méthodes
org.jboss.security.SecurityAssociation
.setPrincipal()
,setCredential()
,setSubject()
,pushSubjectContext()
, etpopSubjectContext()
. Le risque encouru avec cette permission est que l'on peut voir le thread de l'appelant et ses détails d'authentification. - org.jboss.security.SecurityAssociation.setServer
- Donne accès aux méthodes
org.jboss.security.SecurityAssociation
.setPrincipal()
. Le risque encouru avec cette permission est que l'on peut activer ou désactiver le stockage multi-thread de l'appelant principal et ses détails d'authentification. - org.jboss.security.SecurityAssociation.setRunAsRole
- Donne accès aux méthodes
org.jboss.security.SecurityAssociation
.pushRunAsRole()
,popRunAsRole()
,pushRunAsIdentity()
, etpopRunAsIdentity()
. Le risque encouru avec cette permission est que l'on peut voir le thread de l'appelant et ses détails d'authentification. - org.jboss.security.SecurityAssociation.accessContextInfo
- Donne accès aux méthodes
org.jboss.security.SecurityAssociation
.accessContextInfo()
, etaccessContextInfo()
. Cela vous permet les actions set et get pour définir et obtenir les informations de sécurité. - org.jboss.naming.JndiPermission
- Fournit des permissions spéciales pour les fichiers et répertoires d'un chemin d'accès JNDI spécifié, ou bien de façon récursive pour tous les fichiers et sous-répertoires. Une JndiPermission consiste en un nom de chemin et un ensemble de permissions valides liées au fichier ou répertoire.Les permissions disponibles sont les suivantes :
- bind
- rebind
- unbind
- lookup
- list
- listBindings
- createSubcontext
- all
Les noms de chemin d'accès se terminant par/*
indiquent que les permissions indiquées s'appliquent à tous les fichiers et répertoires de nom du chemin. Les noms de chemin se terminant par/-
indiquent des permissions récursives vers tous les fichiers et sous-directoires du nom du chemin. Les noms de chemins consistants avec le token <<ALL BINDINGS>> correspondent à n'importe quel fichier du répertoire. - org.jboss.security.srp.SRPPermission
- Une classe de permissions personnalisées pour protéger l'accès à des informations sensibles SRP comme la clé de session privée et la clé privée. Cette autorisation n'a pas toutes les actions définies. La cible de
getSessionKey()
donne accès à la clé de session privée qui résulte de la négociation SRP. L'accès à cette clé permet de chiffrer et de déchiffrer les messages qui ont été chiffrés avec la clé de session. - org.hibernate.secure.HibernatePermission
- Cette classe de permissions fournit des permissions de base pour sécuriser les sessions Hibernate. La cible de cette propriété est le nom de l'entité. Les actions disponibles sont les suivantes :
- insérer
- supprimer
- update
- lecture
- * (all)
- org.jboss.metadata.spi.stack.MetaDataStackPermission
- Fournit une classe de permission personnalisée pour contrôler la façon dont les appelants interagissent avec la pile de métadonnées. Les permissions disponibles sont les suivantes :
- modifier
- push (vers la pile)
- pop (de la pile)
- peek (dans la pile)
- * (all)
- org.jboss.config.spi.ConfigurationPermission
- Sécurise la mise en place des propriétés de configuration. Définit uniquement les noms des cibles, mais aucune action. Les cibles pour cette propriété incluent :
- <property name> (la propriété que ce code a la permission de définir)
- * (all properties)
- org.jboss.kernel.KernelPermission
- Sécurise l'accès à la configuration du noyau. Définit uniquement les noms des cibles, mais aucune action. Les cibles pour cette propriété incluent :
- access (à la configuration du noyau)
- configure (implique accès)
- * (all)
- org.jboss.kernel.plugins.util.KernelLocatorPermission
- Sécurise l'accès au noyau. Définit uniquement les noms des cibles, mais aucune action. Les cibles pour cette propriété incluent :
- noyau
- * (all)
6.5. Débogage des politiques du gestionnaire de sécurité
java.security.debug
configure le niveau des informations liées à la sécurité qui ont été reportées. La commande java -Djava.security.debug=help
vous produira de l'aide avec l'ensemble complet des options de débogage. Définir le niveau de débogage à all
est utile quand on résout un échec lié à la sécurité dont la cause est inconnue, mais en général, cela produit trop d'informations. Une valeur par défaut utile et raisonnable est access:failure
.
Procédure 6.3. Activer le débogage général
Cette procédure permettra un bon niveau de sécurité général pour les informations de débogage liées à la sécurité.
Ajouter la ligne suivante au fichier de configuration du serveur.- Si l'instance de JBoss EAP 6 exécute sur une domaine géré, la ligne sera ajoutée au fichier
bin/domain.conf
de Linux ou au fichierbin/domain.conf.bat
de Windows. - Si l'instance de JBoss EAP exécute sur une domaine autonome, la ligne sera ajoutée au fichier
bin/standalone.conf
de Linux ou au fichierbin/standalone.conf.bat
de Windows.
Linux
JAVA_OPTS="$JAVA_OPTS -Djava.security.debug=access:failure"
Windows
JAVA_OPTS="%JAVA_OPTS% -Djava.security.debug=access:failure"
Un niveau général d'informations de débogage lié à la sécurité a été activé.
Chapitre 7. Domaines de sécurité
7.1. Domaines de sécurité
ManagementRealm
stocke les informations d'authentification pour l'API de gestion, qui fournit les fonctionnalités pour le Management CLI et la Console de gestion sur le web. Il fournit un système d'authentification pour gérer JBoss EAP 6 elle-même. Vous pouvez également utiliser leManagementRealm
si votre application a besoin des mêmes règles commerciales que vous utilisez pour l'API de gestion, lors de son authentification.ApplicationRealm
stocke l'utilisateur, le mot de passe et les informations de rôle pour les applications Web et les EJB.
REALM-users.properties
stocke les mots de passe et les mots de passe hachés.REALM-users.properties
stocke les mappages user-to-role.
domain/configuration/
et standalone/configuration/
. Les fichiers sont inscrits simultanément par la commande add-user.sh
ou add-user.bat
. Quand vous exécutez la commande, la première décision est de décider dans quel domaine ajouter votre premier utilisateur.
7.2. Ajout d'un Domaine de sécurité
Exécuter le Management CLI
Démarrer par la commandejboss-cli.sh
oujboss-cli.bat
et connectez-vous au serveur.Créer le nouveau domaine de sécurité lui-même.
Exécutez la commande suivante pour créer un nouveau domaine de sécurité nomméMyDomainRealm
sur un contrôleur de domaine ou sur un serveur autonome./host=master/core-service=management/security-realm=MyDomainRealm:add()
Créer les références du fichier de propriétés qui stocke les informations sur le nouveau rôle.
Exécuter la commande suivante pour créer un pointeur au fichier nommémyfile.properties
, qui contiendra les propriétés attachées au nouveau rôle.Note
Le fichier de propriétés nouvellement créées n'est pas géré par les scriptsadd-user.sh
etadd-user.bat
inclus. Il devra être administré en externe./host=master/core-service=management/security-realm=MyDomainRealm/authentication=properties:add(path=myfile.properties)
Votre nouveau domaine de sécurité est créé. Lorsque vous ajoutez des utilisateurs et des rôles à ce nouveau domaine, l'information va être stockée dans un fichier séparé des domaines de sécurité par défaut. Vous pouvez gérer ce nouveau fichier à l'aide de vos propres applications ou procédures.
7.3. Ajout d'un utilisateur à un Domaine de sécurité
Éxécuter la commande
add-user.sh
ouadd-user.bat
.Ouvrez un terminal (shell) et changez de répertoireEAP_HOME/bin/
. Si vous exécutez Red Hat Enterprise Linux ou un autre système d'exploitation style UNIX, exécutezadd-user.sh
. Si vous exécutez sur un serveur Microsoft Windows, exécutezadd-user.bat
.Choisissez d'ajouter un Utilisateur de gestion ou un Utilisateur d'application.
Pour cette procédure, saisirb
pour ajouter un Utilisateur d'application.Choisir le domaine dans lequel l'utilisateur sera ajouté.
Par défaut, le seul domaine disponible estApplicationRealm
. Si vous avez ajouté un domaine personnalisé, vous pouvez saisir son nom à la place.Saisir le nom d'utilisateur, le mot de passe et les rôles lorsque vous y serez invité.
Saisir le nom d'utilisateur, le mot de passe et les rôles lorsque vous y serez invité. Vérifiez votre choix en tapantyes
, ouno
pour annuler les changements. Les changements sont inscrits dans les fichiers de propriétés du domaine de sécurité.
Chapitre 8. Chiffrement
8.1. Chiffrement
8.2. Cryptage SSL
8.3. Implémentation du cryptage SSL pour le serveur de JBoss EAP 6.
De nombreuses applications web requièrent une connexion cryptée-SSL entre les clients et le serveur, connue sous le nom de connexion HTTPS
. Vous pouvez utiliser cette procédure pour activer HTTPS
sur votre serveur ou groupe de serveurs.
Prérequis
- Vous aurez besoin d'un ensemble de clés de cryptage SSL et d'un certificat de cryptage SSL. Vous pourrez vous les procurer par l'intermédiaire d'une autorité de signature de certificats. Pour générer les clés de cryptage par les utilitaires de Red Hat Enterprise Linux, voir Section 8.4, « Générer une clé de cryptage SSL et un certificat ».
- Vous devrez connaitre les informations suivantes sur votre environnement et sur votre installation :
- Le nom complet du répertoire et le chemin d'accès à vos fichiers de certificats
- Le mot de passe de cryptage pour vos clés de cryptage.
- Vous devrez exécuter le Management CLI et le connecter à votre contrôleur de domaine ou à votre serveur autonome.
Note
/profile=default
du début d'une commande de Management CLI.
Procédure 8.1. Configurer le JBoss Web Server pour qu'il puisse utiliser HTTPS
Ajouter un nouveau connecteur HTTPS.
Exécuter la commande de Management CLI suivante, en changeant le profil comme il se doit. Cela va créer un nouveau connecteur sécurisé, nomméHTTPS
, qui utilise le protocolehttps
, la liaison de sockethttps
(ayant comme valeur par défaut8443
), et qui est définie pour être sécurisée.Exemple 8.1. Commande de Management CLI
/profile=default/subsystem=web/connector=HTTPS/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
Configurer le certificat de cryptage SSL et les clés.
Exécutez les commandes CLI suivantes pour configurer votre certificat SSL, en remplaçant vos propres valeurs par celles de l'exemple. Cet exemple suppose que le keystore est copié dans le répertoire de configuration du serveur, qui estEAP_HOME/domain/configuration/
pour un domaine géré.Exemple 8.2. Commande de Management CLI
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration:add(name=https,certificate-key-file="${jboss.server.config.dir}/keystore.jks",password=SECRET, key-alias=KEY_ALIAS)
Pour obtenir une liste complète des paramètres que vous pouvez définir pour les propriétés SSL du connecteur, voir Section 8.5, « Référence de connecteur SSL ».Déployer une application.
Déployer une application dans un groupe de serveurs qui utilise le profil que vous avez configuré. Si vous utilisez un serveur autonome, déployer une application sur votre serveur. Les demandes HTTP en sa direction utilisent la nouvelle connexion cryptée-SSL.
8.4. Générer une clé de cryptage SSL et un certificat
Prérequis
- La commande
keytool
doit être disponible. Elle est fournie par le Java Development Kit. Dans Red Hat Enterprise Linux, OpenJDK installe cette commande à l'emplacement suivant/usr/bin/keytool
. - Comprendre la syntaxe et les paramètres de la commande
keytool
. Cette procédure utilise des instructions extrêmement génériques, car des discussions plus sophistiquées sur les spécificités des certificats SSL ou sur la commandekeytool
sont hors de portée de cette documentation.
Procédure 8.2. Générer une clé de cryptage SSL et un certificat
Générer un keystore avec des clés privées et des clés publiques.
Exécuter la commande suivante pour générer un keystore nomméserver.keystore
ayant comme aliasjboss
dans votre répertoire actuel.keytool -genkeypair -alias jboss -keyalg RSA -keystore server.keystore -storepass mykeystorepass --dname "CN=jsmith,OU=Engineering,O=mycompany.com,L=Raleigh,S=NC,C=US"
Le tableau suivant décrit les paramètres utilisés avec la commande « keytool ».Paramètre Description -genkeypair
La commande keytool
qui génère une paire de clés contenant une clé publique et une clé privée.-alias
L'alias est pour le keystore. Cette valeur est arbitraire, mais l'alias jboss
est la valeur par défaut utilisée par le serveur JBoss Web.-keyalg
L'algorithme de création de paires de clés. Dans ce cas, c'est RSA
.-keystore
Le nom et l'emplacement du fichier keystore. L'emplacement par défaut est le répertoire en cours. Le nom que vous choisissez est arbitraire. Dans ce cas, il s'agit du fichier nommé server.keystore
.-storepass
Ce mot de passe est utilisé pour authentifier le keystore, et pour que la clé puisse être lue. Le mot de passe doit contenir au moins 6 caractères de long et doit être fourni quand on accède au keystore. Dans un tel cas, on utilise mykeystorepass
. Si vous omettez ce paramètre, on vous demandera de le saisir quand vous exécuterez la commande.-keypass
Il s'agit du mot de passe pour la clé.Note
À cause d'une limitation d'implémentation, il doit correspondre à celui du mot de passe du store.--dname
Une chaîne avec des guillemets qui décrit le nom distinct de la clé, comme par exemple : "CN=jsmith,OU=Engineering,O=mycompany.com,L=Raleigh,C=US". Cette chaîne est une compilation des composants suivants : CN
- Le nom commun ou le nom d'hôte. Si le nom d'hôte est "jsmith.mycompany.com", leCN
sera "jsmith".OU
- L'unité organisationnelle, par exemple "Engineering"O
- Le nom de l'organisation, par exemple "mycompany.com".L
- La localité, par exemple "Raleigh" ou "London"S
- L'état ou la province, par exemple "NC". Ce paramètres est optionnel.C
- Les 2 lettres d'un code pays, par exemple "US" ou "UK".
Quand vous exécuterez la commande ci-dessus, on vous demandera les informations suivantes :- Si vous n'utilisiez pas le paramètre
-storepass
sur la ligne de commande, on vous demandera de saisir le mot de passe du keystore. Saisir le nouveau mot de passe à la seconde invite. - Si vous n'utilisiez pas le paramètre
-keypass
sur la ligne de commande, on vous demandera de saisir le mot de passe de la clé. Appuyez sur Enter pour le définir à la même valeur que celle du mot de passe du keystore.
Quand la commande s'achèvera, le fichierserver.keystore
contiendra la clé unique avec l'aliasjboss
.Vérifier la clé.
Vérifier que la clé fonctionne correctement en utilisant la commande suivante.keytool -list -keystore server.keystore
On vous demande le mot de passe du keystore. Les contenus du keystore sont affichés (dans ce cas, il s'agit d'une simple clé nomméejboss
). Notez le type de la cléjboss
, qui estkeyEntry
. Cela indique que le keystore contient à la fois une entrée publique et une entrée privée pour cette clé.Créer une demande de signature de certificat.
Exécutez la commande suivante pour générer une demande de signature de certificat en utilisant la clé publique du keystore que vous avez créé dans la 1ere étape.keytool -certreq -keyalg RSA -alias jboss -keystore server.keystore -file certreq.csr
On vous demandera le mot de passe pour pouvoir authentifier le keystore. La commandekeytool
crée alors une nouvelle demande de signature de certificat nomméecertreq.csr
dans le répertoire en cours d'utilisation.Tester la demande de signature de certificat nouvellement générée.
Tester les contenus du certificat avec la commande suivante :openssl req -in certreq.csr -noout -text
Les détails du certificat apparaissent.En option : soumettre votre demande de signature de certificat à une autorité de certification (AC).
Une Autorité de Certification (AC) authentifie votre certificat pour qu'il soit considéré de confiance par des clients de tierce partie. L'AC vous a produit un certificat signé, et en option, vous a peut être fourni un ou plusieurs certificats intermédiaires.Option : exporter un certificat auto-signé du keystore.
Si vous n'en avez besoin que dans un but de test ou en interne, vous pourrez utiliser un certificat auto-signé. Vous pourrez en exporter un, créé dans la première étape, en provenance du keystore, comme suit :keytool -export -alias jboss -keystore server.keystore -file server.crt
On vous demande un mot de passe pour pouvoir s'authentifier au keystore. Un certificat auto-signé, intituléserver.crt
, a été créé dans le répertoire en cours d'utilisation.Importer le certificat signé avec tout certificat intermédiaire.
Importer chaque certificat, dans l'ordre dans lequel l'AC vous le demande. Pour chaque AC que vous importez, remplacerintermediate.ca
ouserver.crt
par le nom du fichier. Si vos certificats ne sont pas fournis dans des fichiers séparés, créer un fichier séparé pour chaque certificat, et coller leur contenu dans le fichier.Note
Votre certificat signé et les clés de ce certificat sont des ressources de valeur. Soyez vigilant sur la façon dont vous les transportez entre les serveurs.keytool -import -keystore server.keystore -alias intermediateCA -file intermediate.ca
keytool -import -alias jboss -keystore server.keystore -file server.crt
Testez que vos certificats soient bien importés avec succès.
Exécuter la commande suivante, et saisir le mot de passe de keystore quand on vous le demandera. Les contenus de votre keystore sont affichés, et les certificats font partie de la liste.keytool -list -keystore server.keystore
Votre certificat signé est maintenant inclus dans votre keystore et est prêt à l'utilisation pour crypter les connexions SSL, y compris les communications au serveur web HTTPS.
8.5. Référence de connecteur SSL
par défaut
. Changer le nom du profil à celui que vous souhaitez configurer, pour un domaine géré, ou omettre la portion /profile=default
de la commande, pour un serveur autonome.
Tableau 8.1. Attributs de connecteurs SSL
Attribut | Description | Commande CLI |
---|---|---|
name |
Le nom d'affichage du connecteur SSL
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=name,value=https) |
verify-client |
Définir à
true pour obtenir une chaîne de certificat valide de la part d'un client avant d'accepter une connexion. Définir à want si vous voulez que la pile SSL demande un certificat de client, mais ne pas l'échouer si celui-ci n'est pas présenté. Définir à false (la valeur par défaut) si vous ne souhaitez pas demander de chaîne de certificat, à moins que le client ne demande une ressource protégée par une contrainte de sécurité qui utilise l'authentification de CLIENT-CERT .
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-client,value=want) |
verify-depth |
Le nombre maximal d'émetteurs de certificats intermédiaires vérifiés avant de décider que les clients n'ont pas de certificat valide. La valeur par défaut est
10 .
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=verify-depth,value=10) |
certificate-key-file |
Le chemin d'accès complet et nom de fichier du keystore où le certificat de serveur signé est stocké. Avec le cryptage JSSE, ce fichier de certificat sera le seul, tandis que OpenSSL utilise plusieurs fichiers. La valeur par défaut est le fichier
.keystore dans le répertoire home de l'utilisateur exécutant JBoss EAP 6. Si votre keystoreType n'utilise pas de fichier, définissez le paramètre en chaîne vide.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-key-file,value=../domain/configuration/server.keystore) |
certificate-file |
Si vous utilisez un cryptage OpenSSL, définir la valeur de ce paramètre au chemin d'accès du fichier qui contient le certificat de serveur.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=server.crt) |
password |
Le mot de passe pour le trustore et le keystore à la fois. Dans l'exemple suivant, remplacer PASSWORD par votre propre mot de passe.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=password,value=PASSWORD) |
protocol |
La version de protocole SSL à utiliser. Les valeurs prises en charge comprennent
SSLv2 , SSLv3 , TLSv1 , SSLv2+SSLv3 , et ALL . La valeur par défaut est ALL .
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=ALL) |
cipher-suite |
Une liste séparée par des virgules des algorithmes de cryptage autorisés. La valeur par défaut JVM pour JSSE contient des algorithmes de chiffrement faibles, qui ne doivent pas être utilisés. L'exemple répertorie uniquement les deux algorithmes de chiffrement possibles, mais des exemples concrets en utiliseront probablement plus.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=cipher-suite, value="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA") |
key-alias |
L'alias utilisé pour le certificat de serveur dans le keystore. Dans l'exemple suivant, remplacer KEY_ALIAS par l'alias de votre certificat.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=key-alias,value=KEY_ALIAS) |
truststore-type |
Le type de truststore. Il existe différents types de keystores, dont
PKCS12 et le JKS standard de Java.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=truststore-type,value=jks) |
keystore-type |
Le type de keystore. Il existe différents types de keystores, dont
PKCS12 et le JKS standard de Java.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=keystore-type,value=jks) |
ca-certificate-file |
Le fichier contenant les certificats CA. Il s'agit du
truststoreFile , dans le cas de JSSE, et il utilise le même mot de passe que le keystore. Le fichier ca-certificate-file est utilisé pour valider les certificats de clients.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=certificate-file,value=ca.crt) |
ca-certificate-password |
Le mot de passe de certificat pour le
ca-certificate-file . Dans l'exemple ci-dessous, remplacer MASKED_PASSWORD par votre propre mot de passe masqué.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-certificate-password,value=MASKED_PASSWORD) |
ca-revocation-url |
Un fichier ou URL qui contient la liste de révocations. Se réfère au
crlFile pour JSSE ou au SSLCARevocationFile pour SSL.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=ca-revocation-url,value=ca.crl) |
session-cache-size |
La taille du cache SSLSession. Cet attribut s'applique uniquement aux connecteurs JSSE. La valeur par défaut est
0 , qui indique une taille cache illimitée.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-cache-size,value=100) |
session-timeout |
Le nombre de secondes avant qu'une SSLSession n'expire. Cet attribut s'applique uniquement aux connecteurs JSSE. La valeur par défaut est
86400 secondes, ce qui correspond à 24 heures.
|
/profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=session-timeout,value=43200) |
8.6. Encodage se conformant à FIPS 140-2
8.6.1. Conformité FIPS 140-2
8.6.2. Mots de passe conformes FIPS 140-2
- Une longueur minimale de sept (7) caractères.
- Il doit inclure des caractères d'au moins trois (3) des classes de caractères suivantes :
- chiffres ASCII,
- minuscules ASCII,
- Majuscules ASCII,
- non alphanumériques ASCII, et
- non-ASCII.
8.6.3. Active la Cryptography FIPS 140-2 pour SSL dans Red Hat Enterprise Linux 6
Pré-requis
- Red Hat Enterprise Linux 6 doit déjà être configuré pour être configuré en conformité avec FIPS 140-2. Voir https://access.redhat.com/knowledge/solutions/137833.
Procédure 8.3. Voir Conformité Cryptographie FIPS 140-2 pour SSL
Créer la base de données
Créer la base de données NSS dans un répertoire qui appartienne à l'utilisateurjboss
.$ mkdir -p /usr/share/jboss-as/nssdb $ chown jboss /usr/share/jboss-as/nssdb $ modutil -create -dbdir /usr/share/jboss-as/nssdb
Créer un fichier de configuration NSS
Créer un nouveau fichier texte ayant comme nomnss_pkcsll_fips.cfg
dans le répertoire/usr/share/jboss-as
avec le contenu suivant :name = nss-fips nssLibraryDirectory=/usr/lib64 nssSecmodDirectory=/usr/share/jboss-as/nssdb nssModule = fips
Le fichier de configuration NSS doit spécifier :- un nom,
- le répertoire où se trouve la bibliothèque, et
- le répertoire où la base de données NSS a été créée selon l'étape 1.
Si vous n'êtes pas sur une version 64bit de Red Hat Enterprise Linux 6, alors définirnssLibraryDirectory
à/usr/lib
à la place de/usr/lib64
.Activer le fournisseur SunPKCS11
Modifier le fichier de configurationjava.security
de votre JRE ($JAVA_HOME/jre/lib/security/java.security
) et ajouter la ligne suivante :security.provider.1=sun.security.pkcs11.SunPKCS11 /usr/share/jboss-as/nss_pkcsll_fips.cfg
Notez que le fichier de configuration spécifié sur cette ligne est le fichier créé à l'étape 2.Toute autre lignesecurity.provider.X
de ce fichier devra posséder la valeur X +1 pour que la priorité soit donnée à ce fournisseur.Activer le mode FIPS pour la bibliothèque NSS
Exécutez la commandemodutil
comme indiqué pour activer le mode FIPS :modutil -fips true -dbdir /usr/share/jboss-as/nssdb
Notez que le répertoire indiqué ici est le répertoire créé à l'étape 1.Vous aurez sans doute une erreur de bibliothèque à ce niveau, ce qui vous oblige à régénérer les signatures de bibliothèques sur certains des objets NSS partagés.Modifier le mot de passe du token FIPS
Définir le mot de passe du token FIPS par la commande suivante. Notez que le nom du token doit correspondre àNSS FIPS 140-2 Certificate DB
.modutil -changepw "
NSS FIPS 140-2 Certificate DB
" -dbdir /usr/share/jboss-as/nssdbLe mot de passe utilisé pour le token FIPS doit être un mot de passe conforme FIPS.Créer le certificat grâce aux outils NSS
Saisir la commande suivante pour créer un certificat par les outils NSS.certutil -S -k rsa -n jbossweb -t "u,u,u" -x -s "CN=localhost, OU=MYOU, O=MYORG, L=MYCITY, ST=MYSTATE, C=MY" -d /usr/share/jboss-as/nssdb
Configurer le connecteur HTTPS pour utiliser le keystore PKCS11
Ajouter un connecteur HTTPS par la commande suivante dans JBoss CLI :/subsystem=web/connector=https/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
Puis, ajouter la configuration SSL par la commande suivante, en remplaçant PASSWORD par le mot de passe conforme FIPS de l'étape 5./subsystem=web/connector=https/ssl=configuration:add(name=https,password=PASSWORD,keystore-type=PCKS11, cipher-suite="SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_anon_WITH_AES_128_CBC_SHA, TLS_ECDH_anon_WITH_AES_256_CBC_SHA")
Vérifier
Vérifier que la JVM puisse lire la clé privée du keystore PKCS11 en exécutant la commande suivante :keytool -list -storetype pkcs11
Exemple 8.3. Configuration XML du connecteur HTTPS avec conformité FIPS 140-2
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="https" password="****" cipher-suite="SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_anon_WITH_AES_128_CBC_SHA, TLS_ECDH_anon_WITH_AES_256_CBC_SHA" keystore-type="PKCS11"/> </connector>
cipher-suite
a des sauts de ligne insérés pour faciliter la lecture.
Chapitre 9. Sécurité de réseau
9.1. Sécuriser les interfaces de gestion
Dans un environnement de test, il est de pratique courante de faire fonctionner JBoss EAP 6 sans couche de sécurité sur les interfaces de gestion, composées de la Console de gestion, du Management CLI ou autre implémentation de l'API. Cela permet des changements rapides de développement et de configuration.
9.2. Indiquer l'interface de réseau que JBoss EAP 6 utilise
Isoler les services afin qu'ils soient accessibles uniquement aux clients qui en ont besoin augmente la sécurité de votre réseau. JBoss EAP 6 comprend deux interfaces dans sa configuration par défaut, qui se lient à l'IP adresse 127.0.0.1
ou localhost
, par défaut. Une des interfaces est appelée gestion
et est utilisée par la Console de gestion, CLI et API. L'autre est appelé public
et est utilisé pour déployer des applications. Ces interfaces ne sont pas spéciales ou importantes, mais sont fournies comme point de départ.
management
utilise les ports 9990 et 9999 par défaut, et l'interface public
utilise le port 8080, ou le port 8443 avec HTTPS.
Avertissement
Stopper le serveur JBoss EAP 6
Stopper JBoss EAP 6 en envoyant une interruption de manière appropriée pour votre système d'exploitation. Si vous exécutez JBoss EAP 6 comme une application de premier plan, il suffit d'appuyer sur Ctrl+C.Démarrer JBoss EAP 6 à nouveau, en spécifiant l'adresse de liaison.
Utiliser l'argument de ligne de commande-b
pour démarrer JBoss EAP 6 sur une interface particulière.Exemple 9.1. Indiquer l'interface publique.
EAP_HOME/bin/domain.sh -b 10.1.1.1
Exemple 9.2. Indiquer l'interface de gestion.
EAP_HOME/bin/domain.sh -bmanagement=10.1.1.1
Exemple 9.3. Indiquer des adresses différentes pour chaque interface.
EAP_HOME/bin/domain.sh -bmanagement=127.0.0.1 -b 10.1.1.1
Exemple 9.4. Lier l'interface publique à toutes les interfaces de réseau.
EAP_HOME/bin/domain.sh -b 0.0.0.0
-b
pour spécifier une adresse IP en cours d'exécution, donc ce n'est pas recommandé. Si vous décidez de le faire, n'oubliez pas de stopper JBoss EAP 6 complètement avant d'éditer le fichier XML.
9.3. Configurer les pare-feux de réseau pour qu'ils fonctionnent avec JBoss EAP 6
La plupart des environnements de production utilisent des pare-feux dans le cadre d'une stratégie globale de sécurité réseau. Si vous avez besoin que plusieurs instances de serveur puissent communiquer entre eux ou avec des services externes tels que des serveurs web ou des bases de données, votre pare-feu doit en tenir compte. Un pare-feu bien géré ouvre uniquement les ports qui sont nécessaires à l'opération et limite l'accès aux ports pour des adresses IP, des sous-réseaux et protocoles réseau spécifiques.
Prérequis
- Déterminer les ports que vous souhaitez ouvrir.
- Vous devez avoir une bonne compréhension de vos logiciels de pare-feux. Cette procédure utilise la commande
system-config-firewall
de Red Hat Enterprise Linux 6. Microsoft Windows Server inclut un pare-feu intégré, et plusieurs solutions de pare-feux de tierce partie existent pour chaque plate-forme.
Cette procédure configure un pare-feu dans un environnement qui comprend les hypothèses suivantes :
- Le système d'exploitation est Red Hat Enterprise Linux 6
- JBoss EAP 6 exécute sur l'hôte
10.1.1.2
. En option, le serveur peut avoir son propre pare-feu. - Le serveur du pare-feu de réseau exécute sur l'hôte
10.1.1.1
sur l'interfaceeth0
, et possède une interface externeeth1
. - Le trafic de réseau devra être redirigé vers le port 5445 (port utilisé par JMS) renvoyé sur JBoss EAP 6. Le trafic ne doit pas pouvoir transiter par le pare-feu du réseau.
Procédure 9.1. Gérer les pare-feux de réseau pour qu'ils soient opérationnels dans JBoss EAP 6
Connectez-vous à la Console de gestion.
Connectez-vous à la Console de gestion. Par défaut, elle exécute sur http://localhost:9990/console/.Déterminer les liaisons de socket utilisées par le groupe de liaisons de socket.
Cliquer sur l'étiquette Profiles qui se trouve en haut et à droite de la Console de gestion. Sur la gauche de l'écran, vous verrez une série de menus. Le titre en bas du menu est General Configuration (Configuration générale). Cliquer sur Socket Binding sous ce titre. L'écran Socket Binding Declarations apparaîtra. Pour commencer, vous verrez le groupestandard-sockets
. Vous pourrez choisir un autre groupe en le sélectionnant à partir de la case mixte à droite.Note
Si vous utilisez un serveur autonome, il ne possédera qu'un seul groupe de liaisons de socket.La liste de noms de sockets et des ports apparaît, avec huit valeurs par page. Vous pourrez naviguer entre les pages grâce à la flèche de navigation en dessous du tableau.Déterminer les ports que vous souhaitez ouvrir.
Suivant la fonction d'un port particulier, et suivant les besoins de votre environnement, certains ports devront sans doute être ouverts sur votre pare-feu.Configurer votre pare-feu pour rediriger le trafic réseau vers la plateforme JBoss EAP 6.
Procéder à ces étapes de configuration de votre pare-feu de réseau pour permettre au trafic de se diriger vers le port désiré.- Connectez-vous au pare-feu de votre machine, et accéder à cette commande, en tant qu'utilisateur root.
- Saisir la commande
system-config-firewall
pour lancer l'utilitaire de configuration du pare-feu. Un GUI ou Utilitaire de ligne de commande opérera selon la façon dont vous êtes connecté au système de pare-feu. Cette tâche assume que vous êtes connecté via SSH et que vous utilisez l'interface de ligne de commande. - Utiliser la clé TAB de votre clavier pour naviguer vers le bouton Customize, puis appuyer sur la clé ENTER. L'écranTrusted Services apparaîtra.
- Ne changez aucune valeur, mais utilisez la clé TAB pour naviguer vers le bouton Forward, puis, appuyer sur ENTER pour aller vers le prochain écran. L'écran Other Ports apparaîtra.
- Utiliser la clé TAB pour naviguer vers le bouton <Add>, puis appuyer sur la clé ENTER. L'écran Port and Protocol apparaîtra.
- Saisir
5445
dans le champ Port / Port Range, puis utiliser la clé TAB pour vous rendre dans le champ Protocol, puis saisirtcp
. Utiliser la clé TAB pour naviguer vers le bouton OK, puis appuyer sur ENTER. - Utiliser la clé TAB pour naviguer vers le bouton Forward jusqu'à atteindre l'écran Port Forwarding.
- Utiliser la clé TAB pour naviguer vers le bouton <Add>, puis appuyer sur la clé ENTER.
- Remplir les valeurs suivantes pour définir la redirection de port vers port 5445.
- Interface source: eth1
- Protocol: tcp
- Port / Port Range: 5445
- Destination IP address: 10.1.1.2
- Port / Port Range: 5445
Utiliser la clé TAB pour naviguer vers le bouton OK, puis appuyer sur la clé ENTER. - Utiliser la clé TAB pour naviguer vers le bouton Close, puis appuyer sur la clé ENTER.
- Utiliser la clé TAB pour naviguer vers le bouton OK, puis appuyer sur ENTER. Pour appliquer les changements, lire la notice d'avertissement, puis appuyer sur Yes.
Configurer un pare-feu sur votre hôte de plateforme JBoss EAP 6.
Certaines organisations choisissent de configurer un pare-feu sur le serveur JBoss EAP 6 lui-même et de fermer tous les ports qui ne sont pas utiles à son fonctionnement. Voir Section 9.4, « Ports de réseau utilisés par JBoss EAP 6 » pour déterminer quels ports ouvrir, puis fermer le reste. La configuration par défaut de Red Hat Enterprise Linux 6 ferme tous les ports sauf 22 (utilisé pour Secure Shell (SSH) et 5353 (utilisé pour la multi-diffusion DNS). Si vous configurez les ports, assurez-vous que vous avez un accès physique à votre serveur pour ne pas, par inadvertance, vous verrouiller vous-même.
Votre pare-feu est configuré pour renvoyer le trafic vers votre serveur JBoss EAP 6 interne, de la façon dont vous avez spécifié dans la configuration de votre pare-feu. Si vous avez choisi d'activer un pare-feu sur votre serveur JBoss Enterprise Application Platform 6, tous les ports seront fermés sauf ceux nécessaires à l'exécution de vos applications.
9.4. Ports de réseau utilisés par JBoss EAP 6
- Le fait que vos groupes de serveurs utilisent le groupe de liaisons de sockets par défaut, ou un groupe de liaisons de sockets personnalisé.
- Des exigences de vos déploiements individuels.
Note
Groupes de liaison de socket par défaut
full-ha-sockets
full-sockets
ha-sockets
standard-sockets
Tableau 9.1. Référence aux Groupes de liaison de socket par défaut
Nom | Port | Port Multidiffusion | Description | full-ha-sockets | full-sockets | ha-socket | standard-socket |
---|---|---|---|---|---|---|---|
ajp | 8009 | Protocole Apache JServ. Utilisé pour le clustering HTTP et pour l'équilibrage des charges. | Oui | Oui | Oui | Oui | |
http | 8080 | Le port par défaut des applications déployées. | Oui | Oui | Oui | Oui | |
https | 8443 | Connexion cryptée-SSL entre les applications déployées et les clients. | Oui | Oui | Oui | Oui | |
jacorb | 3528 | Services CORBA pour les transactions JTS et autres services dépendants-ORB. | Oui | Oui | Non | Non | |
jacorb-ssl | 3529 | Services CORBA cryptés-SSL. | Oui | Oui | Non | Non | |
jgroups-diagnostics | 7500 | Multidiffusion. Utilisé pour découverte de pair dans les groupements HA. Non configurable par les Interfaces de gestion. | Oui | Non | Oui | Non | |
jgroups-mping | 45700 | Multicast. Utilisé pour découvrir l'appartenance de groupe d'origine dans un cluster HA. | Oui | Non | Oui | Non | |
jgroups-tcp | 7600 | Découverte de pairs unicast dans les groupements HA avec TCP. | Oui | Non | Oui | Non | |
jgroups-tcp-fd | 57600 | Utilisé pour la détection des échecs en TCP. | Oui | Non | Oui | Non | |
jgroups-udp | 55200 | 45688 | Découverte de pairs unicast dans les groupements HA avec UDP. | Oui | Non | Oui | Non |
jgroups-udp-fd | 54200 | Utilisé pour la détection des échecs par UDP. | Oui | Non | Oui | Non | |
messaging | 5445 | Service JMS. | Oui | Oui | Non | Non | |
messaging-group | Référencé par la diffusion HornetQ JMS et les groupes Discovery | Oui | Oui | Non | Non | ||
messaging-throughput | 5455 | Utilisé par JMS à distance. | Oui | Oui | Non | Non | |
mod_cluster | 23364 | Port multidiffusion pour la communication entre JBoss EAP 6 et l'équilibreur de charges HTTP. | Oui | Non | Oui | Non | |
osgi-http | 8090 | Utilisé par les composants internes qui utilisent le sous-système OSGi. Non configurable par les Interfaces de gestion. | Oui | Oui | Oui | Oui | |
remoting | 4447 | Utilisé pour l'invocation EJB. | Oui | Oui | Oui | Oui | |
txn-recovery-environment | 4712 | Gestionnaire de recouvrement des transactions JTA. | Oui | Oui | Oui | Oui | |
txn-status-manager | 4713 | Gestionnaire des transactions JTA / JTS. | Oui | Oui | Oui | Oui |
En plus des groupes de liaisons de socket, chaque contrôleur d'hôte ouvre deux ports supplémentaires pour la gestion :
- 9990 - Le port de Console de gestion
- 9999 - Le port utilisé par la Console de gestion et par le Management API
Chapitre 10. Sécurité Interface de gestion
10.1. Sécuriser les interfaces de gestion
Dans un environnement de test, il est de pratique courante de faire fonctionner JBoss EAP 6 sans couche de sécurité sur les interfaces de gestion, composées de la Console de gestion, du Management CLI ou autre implémentation de l'API. Cela permet des changements rapides de développement et de configuration.
10.2. Configuration Sécurité Utilisateur par défaut
Toutes les interfaces de gestion de JBoss EAP 6 sont sécurisées par défaut. Cette sécurité existe sous deux formes :
- Les interfaces locales sont sécurisées par un contrat SASL entre des clients locaux et le serveur auquel ils se connectent. Ce mécanisme de sécurité repose sur la capacité du client à accéder au système de fichiers local. C'est parce que l'accès au système de fichiers local permettrait au client d'ajouter un utilisateur ou encore de modifier la configuration pour déjouer les autres mécanismes de sécurité. Cela est conforme au principe selon lequel si l'accès physique au système de fichiers est réussi, les autres mécanismes de sécurité sont superflus. Le mécanisme passe par quatre étapes :
Note
L'accès HTTP est considéré comme éloigné, même si vous vous connectez à l'hôte local par HTTP.- Le client envoie un message au serveur incluant une requête pour authentifier le mécanisme SASL local.
- Le serveur génère un token unique, qu'il écrit dans un fichier unique, et envoie un message au client avec le chemin d'accès fichier complet.
- Le client lit le token dans le fichier et l'envoie au serveur, pour vérifier qu'il a l'accès local au système de fichiers.
- Le serveur vérifie le token et efface le fichier.
- Les clients distants, y compris HTTP, utilisent une sécurité basée domaine. Le domaine par défaut qui comprend les autorisations pour configurer la plate-forme JBoss EAP 6 à distance en utilisant les interfaces de gestion est
ManagementRealm
. Un script est fourni pour vous permettre d'ajouter des utilisateurs à ce domaine (ou à des domaines que vous créez). Pour plus d'informations sur la façon d'ajouter des utilisateurs, voir le chapitre Getting Started de JBoss EAP 6 Installation Guide. Pour chaque utilisateur, le nom d'utilisateur, un mot de passe haché et le domaine sont stockés dans un fichier.- Domaine géré
EAP_HOME/domain/configuration/mgmt-users.properties
- Serveur autonome
EAP_HOME/standalone/configuration/mgmt-users.properties
Même si les contenus demgmt-users.properties
sont masqués, le fichier doit toujours être considéré comme un fichier sensible. Il est recommandé qu'il soit défini sur le mode de fichier600
, qui ne donne aucun accès autre que l'accès en lecture et écriture au propriétaire du fichier.
10.3. Aperçu Général de la Configuration de l'Interface de Gestion avancée
EAP_HOME/domain/configuration/host.xml
ou EAP_HOME/standalone/configuration/standalone.xml
contrôle l'interface réseau à laquelle se relie le processus contrôleur hôte, les types d'interfaces de gestion qui sont disponibles à tous, et quel type de système d'authentification est utilisé pour authentifier les utilisateurs sur chaque interface. Cette rubrique explique comment configurer les interfaces de gestion en fonction de votre environnement.
<management
avec plusieurs attributs configurables, et les trois éléments enfants configurables suivants. Les domaines de sécurité et les connexions sortantes sont définies chacune pour commencer, puis appliquées aux interfaces de gestion en tant qu'attributs.
<security-realms>
<outbound-connections>
<management-interfaces>
Le domaine de sécurité est chargé de l'authentification et de permettre aux utilisateurs autorisés d'administrer JBoss EAP 6 via l'API de gestion, le Management CLI ou la Console de gestion basée-web.
ManagementRealm
et ApplicationRealm
. Chacun de ces domaines de sécurité utilise un fichier -users.properties
pour stocker les utilisateurs et les mots de passe de hachage, et -roles.properties
pour stocker les correspondances entre les utilisateurs et les rôles. Un support est également inclus pour le domaine de sécurité activé-LDAP.
Note
Certains domaines de sécurité se connectent à des interfaces externes, comme un serveur LDAP. Une connexion sortante définit la manière d'établir cette connexion. Un type de connexion prédéfinie, la connexion ldap-connection
, définit tous les attributs obligatoires et facultatifs pour se connecter au serveur LDAP et vérifier les informations d'identification.
Une interface de gestion comprend des propriétés sur la façon de connecter et configurer JBoss EAP. Ces informations comprennent l'interface réseau nommée, le port, le domaine de sécurité et autres informations configurables sur l'interface. Deux interfaces sont incluses dans une installation par défaut :
http-interface
est la configuration de la console de gestion basée-web.native-interface
est la configuration pour la Management CLI en ligne de commande et l'API de gestion Rest-like.
10.4. Désactiver l'interface de gestion HTTP
Note
console-enabled
de l'interface HTTP à false
, au lieu de désactiver l'interface complètement.
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=console-enabled,value=false)
Exemple 10.1. Lire la configuration de l'interface HTTP
/host=master/core-service=management/management-interface=http-interface/:read-resource(recursive=true,proxies=false,include-runtime=false,include-defaults=true)
{
"outcome" => "success",
"result" => {
"console-enabled" => true,
"interface" => "management",
"port" => expression "${jboss.management.http.port:9990}",
"secure-port" => undefined,
"security-realm" => "ManagementRealm"
}
}
Exemple 10.2. Supprimer l'interface HTTP
/host=master/core-service=management/management-interface=http-interface/:remove
Exemple 10.3. Recréer l'Interface HTTP
/host=master/core-service=management/management-interface=http-interface:add(console-enabled=true,interface=management,port="${jboss.management.http.port:9990}",security-realm=ManagementRealm)
10.5. Supprimer l'Authentification silencieuse du Domaine de sécurité par défaut.
L'installation par défaut de JBoss EAP 6 contient une méthode d'authentification silencieuse pour un utilisateur de Management LCI local. Cela donne à l'utilisateur local la possibilité d'accéder au Management CLI sans authentification par nom d'utilisateur ou mot de passe. Cette fonctionnalité est activée dans un but pratique et pour faciliter l'exécution des scripts de Management CLI sans exiger l'authentification des utilisateurs locaux.Cette méthode est considérée comme une caractéristique utile étant donné que l'accès à la configuration locale donne généralement aussi à l'utilisateur la possibilité d'ajouter ses propres détails utilisateur ou sinon la possibilité de désactiver les contrôles de sécurité
local
dans la section security-realm
du fichier de configuration. S'applique à la fois à standalone.xml
pour une instance de serveur autonome, ou à host.xml
pour un domaine géré. Vous ne devriez envisager de supprimer l'élément local
que si vous comprenez l'impact que ceci pourrait avoir sur la configuration de votre serveur particulier.
local
visible dans l'exemple suivant.
Exemple 10.4. Exemple d'élément local
dans security-realm
<security-realms> <security-realm name="ManagementRealm"> <authentication> <local default-user="$local"/> <properties path="mgmt-users.properties" relative-to="jboss.server.config.dir"/> </authentication> </security-realm> <security-realm name="ApplicationRealm"> <authentication> <local default-user="$local" allowed-users="*"/> <properties path="application-users.properties" relative-to="jboss.server.config.dir"/> </authentication> <authorization> <properties path="application-roles.properties" relative-to="jboss.server.config.dir"/> </authorization> </security-realm> </security-realms>
Prérequis
- Démarrer l'instance de JBoss EAP 6
- Lancer le Management CLI.
Procédure 10.1. Supprimer l'Authentification silencieuse du Domaine de sécurité par défaut.
Supprimer l'authentification silencieuse par le Management CLI
Supprimer l'élémentlocal
du Domaine de gestion et du Domaine d'application comme requis.- Supprimer l'élément
local
du Domaine de gestion.Pour les serveurs autonomes
/core-service=management/security-realm=ManagementRealm/authentication=local:remove
Pour les domaines gérés
/host=HOST_NAME/core-service=management/security-realm=ManagementRealm/authentication=local:remove
- Supprimer l'élément
local
du Domaine d'application.Pour les serveurs autonomes
/core-service=management/security-realm=ApplicationRealm/authentication=local:remove
Pour les domaines gérés
/host=HOST_NAME/core-service=management/security-realm=ApplicationRealm/authentication=local:remove
L'authentification silencieuse est retirée du ManagementRealm
et de l'ApplicationRealm
.
10.6. Désactiver l'accès à distance du Sous-système JMX
/profil=default
. Pour un serveur autonome, retirer complètement cette partie de la commande.
Note
Exemple 10.5. Supprimer le Connecteur distant du Sous-système JMX
/profile=default/subsystem=jmx/remoting-connector=jmx/:remove
Exemple 10.6. Supprimer le Sous-système JMX
/profile=default/subsystem=jmx/:remove
10.7. Configurer les Domaines de sécurité pour les Interfaces de gestion
Cet exemple montre la configuration par défaut du domaine de sécurité du ManagementRealm
. Il utilise un fichier mgmt-users.properties
qui contient ses informations de configuration.
Exemple 10.7. ManagementRealm par défaut
/host=master/core-service=management/security-realm=ManagementRealm/:read-resource(recursive=true,proxies=false,include-runtime=false,include-defaults=true)
{
"outcome" => "success",
"result" => {
"authorization" => undefined,
"server-identity" => undefined,
"authentication" => {"properties" => {
"path" => "mgmt-users.properties",
"plain-text" => false,
"relative-to" => "jboss.domain.config.dir"
}}
}
}
Les commandes suivantes créent un nouveau domaine de sécurité nommé TestRealm
et définissent le répertoire du fichier de propriétés qui conviennent.
Exemple 10.8. Rédaction d'un domaine de sécurité
/host=master/core-service=management/security-realm=TestRealm/:add
/host=master/core-service=management/security-realm=TestRealm/authentication=properties/:add(path=TestUsers.properties, relative-to=jboss.domain.config.dir)
Après avoir ajouté un domaine de sécurité, l'utiliser comme référence à l'interface de gestion.
Exemple 10.9. Ajouter un Domaine de sécurité à une Interface de gestion
/host=master/core-service=management/management-interface=http-interface/:write-attribute(security-realm=TestRealm)
10.8. Configurer la Console de gestion pour HTTPS en Mode autonome
Procédure 10.2.
- Veillez à ce que la Console de gestion soit reliée à
HTTPS
pour son interface en ajoutant la configurationmanagement-https
et en supprimant la configurationmanagement-http
.Cela peut se faire en modifiant le fichierstandalone.xml
(non recommandé) ou en utilisant les commandes CLI suivantes :/core-service=management/management-interface=http-interface:write-attribute(name=secure-socket-binding, value=management-https)
/core-service=management/management-interface=http-interface:undefine-attribute(name=socket-binding)
En option :
Si vous utilisez un groupesocket-binding
personnalisé, veillez à ce que la liaisonmanagement-https
soit définie (présente par défaut, liée au port9443
).<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}"> <socket-binding name="management-native" interface="management" port="${jboss.management.native.port:9999}"/> <socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/> <socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9443}"/>
- Génère une paire de clés comme expliqué dans Section 8.4, « Générer une clé de cryptage SSL et un certificat ».
- Ajouter un élément
server-identities
à la sectionsecurity-realm
de la configurationstandalone.xml
de votre installation.Dans cet élément, vous pourrez définir le protocole, le chemin de keystore, le mot de passe du keystore et l'alias de la paire de clés.Exécutez les commandes CLI suivantes, en remplaçant vos propres valeurs par celles de l'exemple. Cet exemple suppose que le keystore est copié dans le répertoire de configuration du serveur, qui estEAP_HOME/standalone/configuration/
pour un domaine autonome./core-service=management/security-realm=ManagementRealm/server-identity=ssl:add(keystore-path=server.keystore,keystore-relative-to=jboss.server.config.dir, keystore-password=SECRET, alias=KEY_ALIAS)
- Démarrer à nouveau votre serveur autonome.
10.9. Configurer la Console de gestion pour HTTPS en Mode de domaine
Procédure 10.3.
- Génère une paire de clés comme expliquée dans Section 8.4, « Générer une clé de cryptage SSL et un certificat ».
- Ajouter un élément
server-identities
au blocsecurity-realm
dans le fichierhost.xml.
de vos installations.Dans cet élément, vous pourrez définir le protocole, le chemin de keystore, le mot de passe du keystore et l'alias de la paire de clés.Exécutez les commandes CLI suivantes, en remplaçant vos propres valeurs par celles de l'exemple. Cet exemple suppose que le keystore est copié dans le répertoire de configuration du serveur, qui est EAP_HOME/domain/configuration/ pour un domaine géré./host=master/core-service=management/security-realm=ManagementRealm/server-identity=ssl:add(protocol=TLSv1, keystore-path=server.keystore,keystore-relative-to=jboss.domain.config.dir, keystore-password=SECRET, alias=KEY_ALIAS)
- Modifier l'élément de socket de la section
management-interface
en ajoutantsecure-port
et en supprimant la configuration de port.Exécutez les commandes suivantes :/host=master/core-service=management/management-interface=http-interface:write-attribute(name=secure-port,value=9443)
/host=master/core-service=management/management-interface=http-interface:undefine-attribute(name=port)
- Démarrer à nouveau votre domaine.
10.10. 2-way SSL dans l'Interface de gestion et dans le CLI
- HOST1
- Le nom d'hôte du serveur JBoss. Par exemple;
jboss.redhat.com
- HOST2
- Un nom qui convient au client. Par exemple :
myclient
. Notez qu'il ne s'agit par forcément d'un nom d'hôte. - CA_HOST1
- Le DN (distinguished name) utilisé pour le certificat HOST1. Par exemple
cn=jboss,dc=redhat,dc=com
. - CA_HOST2
- Le DN (distinguished name) utilisé pour le certificat HOST2. Par exemple
cn=myclient,dc=redhat,dc=com
.
Procédure 10.4.
- Générez les stores :
keytool -genkeypair -alias HOST1_alias -keyalg RSA -keysize 1024 -validity 365 -keystore host1.keystore.jks -dname "CA_HOST1" -keypass secret -storepass secret
keytool -genkeypair -alias HOST2_alias -keyalg RSA -keysize 1024 -validity 365 -keystore host2.keystore.jks -dname "CA_HOST2" -keypass secret -storepass secret
- Exportez les certificats :
keytool -exportcert -keystore HOST1.keystore.jks -alias HOST1_alias -keypass secret -storepass secret -file HOST1.cer
keytool -exportcert -keystore HOST2.keystore.jks -alias HOST2_alias -keypass secret -storepass secret -file HOST2.cer
- Importe des certificats dans les trust stores opposés :
keytool -importcert -keystore HOST1.truststore.jks -storepass secret -alias HOST2_alias -trustcacerts -file HOST2.cer
keytool -importcert -keystore HOST2.truststore.jks -storepass secret -alias HOST1_alias -trustcacerts -file HOST1.cer
- Définir un CertificateRealm dans la configuration de votre installation (
host.xml
oustandalone.xml
) et y pointez l'interface :Cela peut se faire en modifiant le fichier de configuration manuellement (non recommandé) ou en utilisant les commandes suivantes :/core-service=management/security-realm=CertificateRealm:add()
/core-service=management/security-realm=CertificateRealm:add/server-identity=ssl:add(keystore-path=/path/to/HOST1.keystore.jks,keystore-password=secret, alias=HOST1_alias)
/core-service=management/security-realm=CertificateRealm/authentication=truststore:add(keystore-path=/path/to/HOST1.truststore.jks,keystore-password=secret)
- Modifier
JBOSS_HOME/bin/jboss-cli.xml
et ajouter la configuration SSL (en utilisant les valeurs appropriées pour les variables) :<ssl> <alias>$HOST2alias</alias> <key-store>/path/to/HOST2.keystore.jks</key-store> <key-store-password>secret</key-store-password> <trust-store>/path/to/HOST2.truststore.jks</trust-store> <trust-store-password>secret</trust-store-password> <modify-trust-store>true</modify-trust-store> </ssl>
10.11. L'archivage sécurisé des mots de passe pour les strings de nature confidentielle
10.11.1. Sécurisation des chaînes confidentielles des fichiers en texte clair
Avertissement
java.io.IOException: com.sun.crypto.provider.SealedObjectForKeyProtector
10.11.2. Créer un Keystore Java pour stocker des strings sensibles
Prérequis
- La commande
keytool
doit être disponible. Elle est fournie par le Java Runtime Environment (JRE). Chercher le chemin du fichier. Se trouve à l'emplacement suivant/usr/bin/keytool
dans Red Hat Enterprise Linux.
Procédure 10.5. Installation du Java Keystore
Créer un répertoire pour stocker votre keystore et autres informations cryptées.
Créer un répertoire qui contiendra votre keystore et autres informations pertinentes. Le reste de cette procédure assume que le répertoire est/home/USER/vault/
.Déterminer les paramètres à utiliser avec
keytool
.Déterminer les paramètres suivants :- alias
- L'alias est un identificateur unique pour l'archivage sécurisé ou autres données stockées dans le keystore. L'alias dans l'exemple de commande à la fin de cette procédure est
vault
(archivage sécurisé). Les alias sont insensibles à la casse. - keyalg
- L'algorithme à utiliser pour le cryptage. Dans cette procédure, l'exemple utilise
RSA
. Consultez la documentation de votre JRE et de votre système d'exploitation pour étudier vos possibilités. - keysize
- La taille d'une clé de cryptage impacte sur la difficulté de décrypter au seul moyen de la force brutale. Dans cette procédure, l'exemple utilise
1024
. Pour plus d'informations sur les valeurs appropriées, voir la documentation distribuée aveckeytool
. - keystore
- Le keystore est une base de données qui contient des informations chiffrées et des informations sur la façon de déchiffrer. Si vous ne spécifiez pas de keystore, le keystore par défaut à utiliser est un fichier appelé
.keystore
dans votre répertoire personnel. La première fois que vous ajoutez des données dans un keystore, il sera créé. L'exemple de cette procédure utilise le keystorevault.keystore
.
La commande dukeytool
a plusieurs options. Consulter la documentation de votre JRE ou de votre système d'exploitation pour obtenir plus d'informations.Détermine les réponses aux questions que la commande
keystore
vous demandera.Lekeystore
a besoin des informations suivantes pour remplir le keytore :- Mot de passe du keystore
- Lorsque vous créez un keystore, vous devez définir un mot de passe. Pour pouvoir travailler dans keystore dans le futur, vous devez fournir le mot de passe. Créer un mot de passe dont vous vous souviendrez. Le keystore est sécurisé par son mot de passe et par la sécurité du système d'exploitation et du système de fichiers où il se trouve.
- Mot de passe Clé (en option)
- En plus du mot de passe du keystore, vous pouvez indiquer un mot de passe pour chaque clé contenue. Pour utiliser une clé, le mot de passe doit être donné à chaque utilisation. Normalement, cette fonction n'est pas utilisée.
- Prénom et nom de famille
- Cela, ainsi que le reste de l'information dans la liste, aide à identifier la clé de façon unique et à la placer dans une hiérarchie par rapport aux autres clés. Il ne doit pas nécessairement être un nom, mais doit être composé de deux mots et doit être unique à une clé. L'exemple dans cette procédure utilise
Accounting Administrator
. En termes de répertoires, cela devient le common name (nom commmun) du certificat. - Unité organisationnelle
- Il s'agit d'un mot unique d'identification qui utilise le certificat. Il se peut que ce soit l'application ou l'unité commerciale. L'exemple de cette procédure utilise
enterprise_application_platform
. Normalement, tous les keystores utilisés par un groupe ou une application utilisent la même unité organisationnelle. - Organisation
- Il s'agit normalement d'une représentation de votre nom d'organisation en un seul mot. Demeure constant à travers tous les certificats qui sont utilisés par une organisation. Cet exemple utilise
MyOrganization
. - Ville ou municipalité
- Votre ville.
- État ou province
- Votre état ou province, ou l'équivalent pour votre localité.
- Pays
- Le code pays en deux lettres.
Ces informations vont créer ensemble une hiérarchie de vos keystores et certificats, qui garantira qu'ils utilisent une structure de nommage consistante, et unique.Exécuter la commande
keytool
, fournissant les informations que vous avez collectées.Exemple 10.10. Exemple d'entrée et de sortie de la commande
keystore
$ keytool -genseckey -alias vault -storetype jceks -keyalg AES -keysize 128 -storepass vault22 -keypass vault22 -keystore /home/USER/vault/vault.keystore Enter keystore password: vault22 Re-enter new password:vault22 What is your first and last name? [Unknown]:
Accounting Administrator
What is the name of your organizational unit? [Unknown]:AccountingServices
What is the name of your organization? [Unknown]:MyOrganization
What is the name of your City or Locality? [Unknown]:Raleigh
What is the name of your State or Province? [Unknown]:NC
What is the two-letter country code for this unit? [Unknown]:US
Is CN=Accounting Administrator, OU=AccountingServices, O=MyOrganization, L=Raleigh, ST=NC, C=US correct? [no]:yes
Enter key password for <vault> (RETURN if same as keystore password):
Un fichier nommé vault.keystore
est créé dans le répertoire /home/USER/vault/
. Il stocke une clé simple, nommée vault
, qui sera utilisée pour stocker des strings cryptés, comme des mots de passe, pour la plateforme JBoss EAP 6.
10.11.3. Masquer le mot de passe du keystore et Initialiser le mot de passe de l'archivage de sécurité
Prérequis
- L'application
EAP_HOME/bin/vault.sh
doit pouvoir être accessible via l'interface de ligne de commande.
Exécuter la commande
vault.sh
.ExécuterEAP_HOME/bin/vault.sh
. Démarrer une nouvelle session interactive en tapant0
.Saisir le nom du répertoire où les fichiers cryptés seront stockés.
Ce répertoire doit être raisonnablement sécurisé, mais JBoss EAP 6 doit pouvoir y accéder. Si vous suivez Section 10.11.2, « Créer un Keystore Java pour stocker des strings sensibles », votre keystore sera dans un répertoire nommévault/
dans votre répertoire de base (home). Cet exemple utilise le répertoire/home/USER/vault/
.Note
N'oubliez pas d'inclure la barre oblique finale dans le nom du répertoire. Soit/
ou\
, selon votre système d'exploitation.Saisir le nom de votre keystore.
Saisir le nom complet vers le fichier de keystore. Cet exemple utilise/home/USER/vault/vault.keystore
.Crypter le mot de passe du keystore.
Les étapes suivantes vous servent à crypter le mot de passe du keystore, afin que vous puissiez l'utiliser dans les applications et les fichiers de configuration en toute sécuritéSaisir le mot de passe du keystore.
Quand vous y serez invité, saisir le mot de passe du keystore.Saisir une valeur salt.
Entrez une valeur salt de 8 caractères. La valeur salt, ainsi que le nombre d'itérations (ci-dessous), sont utilisés pour créer la valeur de hachageSaisir le nombre d'itérations.
Saisir un nombre pour le nombre d'itérations.Notez les informations de mot de passe masqué.
Le mot de passe masqué, salt et le nombre d'itérations sont imprimés en sortie standard. Prenez-en note dans un endroit sûr. Un attaquant pourrait les utiliser pour déchiffrer le mot de passe.Saisir un alias pour l'archivage de sécurité.
Quand on vous y invite, saisir un alias pour l'archivage de sécurité. Si vous suivez Section 10.11.2, « Créer un Keystore Java pour stocker des strings sensibles » pour créer votre archivage de sécurité, l'alias seravault
.
Sortir de la console interactive.
Saisir2
pour sortir de la console interactive.
Votre mot de passe de keystore est masqué afin de pouvoir être utilisé dans les fichiers de configuration et de déploiement. De plus, votre archivage de sécurité est complètement configuré et prêt à l'utilisation.
10.11.4. Configurer JBoss EAP pour qu'il utilise l'archivage sécurisé des mots de passe
Avant de masquer les mots de passe et d'autres attributs sensibles dans les fichiers de configuration, vous devez sensibiliser JBoss EAP 6 à l'archivage sécurisé des mots de passe qui les stocke et les déchiffre. Actuellement, cela vous oblige à arrêter Enterprise Application Platform et à modifier la configuration directement.
Prérequis
Procédure 10.6. Assigner un mot de passe d'archivage sécurisé.
Déterminer les valeurs qui conviennent pour la commande.
Déterminer les valeurs pour les paramètres suivants, déterminés par les commandes utilisées pour créer le keystore lui-même. Pour obtenir des informations sur la façon de créer un keystore, voir les sujets suivants : Section 10.11.2, « Créer un Keystore Java pour stocker des strings sensibles » et Section 10.11.3, « Masquer le mot de passe du keystore et Initialiser le mot de passe de l'archivage de sécurité ».Paramètre Description KEYSTORE_URL Le chemin d'accès ou URI du fichier keystore, qui s'appelle normalementvault.keystore
KEYSTORE_PASSWORD Le mot de passe utilisé pour accéder au keystore. Cette valeur devrait être masquée.KEYSTORE_ALIAS Le nom du keystore.SALT Le salt utilisé pour crypter et décrypter les valeurs de keystore.ITERATION_COUNT Le nombre de fois que l'algorithme de chiffrement est exécuté.ENC_FILE_DIR Le chemin d'accès au répertoire à partir duquel les commandes de keystore sont exécutées. Normalement, le répertoire contient les mots de passe sécurisés.hôte (domaine géré uniquement) Le nom de l'hôte que vous configurezUtiliser le Management CLI pour activer les mots de passe sécurisés.
Exécutez une des commandes suivantes, selon que vous utilisez un domaine géré ou une configuration de serveur autonome. Substituez les valeurs de la commande par celles de la première étape de cette procédure.Note
Si vous utilisez Microsoft Windows Server, remplacer chaque caractère de/
dans un chemin d'accès de nom de fichier ou de répertoire par quatre caractères\
. C'est parce qu'il faut deux caractères\
, chacun échappé. Cela n'a pas besoin d'être fait pour les autres caractères/
.Domaine géré
/host=YOUR_HOST/core-service=vault:add(vault-options=[("KEYSTORE_URL" => "PATH_TO_KEYSTORE"), ("KEYSTORE_PASSWORD" => "MASKED_PASSWORD"), ("KEYSTORE_ALIAS" => "ALIAS"), ("SALT" => "SALT"),("ITERATION_COUNT" => "ITERATION_COUNT"), ("ENC_FILE_DIR" => "ENC_FILE_DIR")])
Serveur autonome
/core-service=vault:add(vault-options=[("KEYSTORE_URL" => "PATH_TO_KEYSTORE"), ("KEYSTORE_PASSWORD" => "MASKED_PASSWORD"), ("KEYSTORE_ALIAS" => "ALIAS"), ("SALT" => "SALT"),("ITERATION_COUNT" => "ITERATION_COUNT"), ("ENC_FILE_DIR" => "ENC_FILE_DIR")])
Ce qui suit est un exemple de la commande avec des valeurs hypothétiques :/core-service=vault:add(vault-options=[("KEYSTORE_URL" => "/home/user/vault/vault.keystore"), ("KEYSTORE_PASSWORD" => "MASK-3y28rCZlcKR"), ("KEYSTORE_ALIAS" => "vault"), ("SALT" => "12438567"),("ITERATION_COUNT" => "50"), ("ENC_FILE_DIR" => "/home/user/vault/")])
JBoss EAP 6 est configuré pour décrypter les strings masqués par l'intermédiaire de l'archivage sécurisé de mots de passe. Pour ajouter des strings à l'archivage sécurisé, et les utiliser dans votre configuration, voir la section suivante : Section 10.11.5, « Stocker et Résoudre des strings sensibles cryptés du Keystore Java. ».
10.11.5. Stocker et Résoudre des strings sensibles cryptés du Keystore Java.
En comptant les mots de passe et les autres strings sensibles, les fichiers de configuration en texte brut ne sont pas sécurisés. JBoss EAP 6 inclut la capacité de stocker et d'utiliser les valeurs masquées dans les fichiers de configuration, et d'utiliser ces valeurs masquées dans les fichiers de configuration.
Prérequis
- L'application
EAP_HOME/bin/vault.sh
doit pouvoir être accessible via l'interface de ligne de commande.
Procédure 10.7. Installation du Java Keystore
Exécuter la commande
vault.sh
.ExécuterEAP_HOME/bin/vault.sh
. Démarrer une nouvelle session interactive en tapant0
.Saisir le nom du répertoire où les fichiers cryptés seront stockés.
Si vous suivez Section 10.11.2, « Créer un Keystore Java pour stocker des strings sensibles », votre keystore sera dans un répertoire nommévault/
de votre répertoire de base. Dans la plupart des cas, il est logique de stocker toutes vos informations cryptées au même endroit dans le keystore. Cet exemple utilise le répertoire/home/USER/vault/
.Note
N'oubliez pas d'inclure la barre oblique finale dans le nom du répertoire. Soit/
ou\
, selon votre système d'exploitation.Saisir le nom de votre keystore.
Saisir le nom complet vers le fichier de keystore. Cet exemple utilise/home/USER/vault/vault.keystore
.Saisir le mot de passe du keystore, le nom de l'archivage sécurisé, salt, et le nombre d'itérations.
Quand vous y êtes invité, saisir le mot de passe du keystore, le nom de l'archivage sécurisé, salt, et le nombre d'itérations.Sélectionner l'option de stockage d'un mot de passe.
Sélectionner l'option0
de stockage d'un mot de passe ou autre string sensible.Saisir la valeur.
Une fois que vous y êtes invité, saisir la valeur deux fois. Si les valeurs ne correspondent pas, vous serez invité à essayer à nouveau.Saisir le bloc d'archivage sécurisé.
Saisir le bloc d'archivage sécurisé, qui est un conteneur pour les attributs qui ont trait à la même ressource. Un exemple de nom d'attribut seraitds_ExampleDS
. Cela fera partie de la référence à la chaîne cryptée, dans votre source de données ou autre définition de service.Saisir le nom de l'attribut.
Saisir le nom de l'attribut que vous stockez. Exemple de nom d'attributpassword
.RésultatUn message comme celui qui suit montre que l'attribut a été sauvegardé.
Valeur de l'attribut pour (ds_ExampleDS, password) sauvegardé
Notez les informations pour ce string crypté.
Un message s'affiche sur la sortie standard, montrant le bloc d'archivage sécurisé, le nom de l'attribut, la clé partagée et des conseils sur l'utilisation du string dans votre configuration. Prendre note de ces informations dans un emplacement sécurisé. Voici un exemple de sortie.******************************************** Vault Block:ds_ExampleDS Attribute Name:password Configuration should be done as follows: VAULT::ds_ExampleDS::password::1 ********************************************
Utiliser le string crypté dans votre configuration.
Utiliser le string de l'étape de configuration précédente, à la place du string en texte brut. Une source de données utilisant le mot de passe crypté ci-dessus, est montrée ci-dessous.... <subsystem xmlns="urn:jboss:domain:datasources:1.0"> <datasources> <datasource jndi-name="java:jboss/datasources/ExampleDS" enabled="true" use-java-context="true" pool-name="H2DS"> <connection-url>jdbc:h2:mem:test;DB_CLOSE_DELAY=-1</connection-url> <driver>h2</driver> <pool></pool> <security> <user-name>sa</user-name> <password>${VAULT::ds_ExampleDS::password::1}</password> </security> </datasource> <drivers> <driver name="h2" module="com.h2database.h2"> <xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class> </driver> </drivers> </datasources> </subsystem> ...
Vous pouvez utiliser un string crypté n'importe où dans votre fichier de configuration autonome ou de domaine pour lequel les expressions sont autorisées.Note
Pour vérifier si les expressions sont utilisées dans un sous-système particulier, exécuter la commande CLI suivante sur ce sous-système :/host=master/core-service=management/security-realm=TestRealm:read-resource-description(recursive=true)
À partir du résultat de cette commande, chercher la valeur du paramètreexpressions-allowed
. Si 'true', vous pourrez utiliser des expressions dans la configuration de ce sous-système particulier.Une fois que vous aurez mis votre string dans le keystore, utiliser la syntaxe suivante pour remplacer tout string en texte claire par un texte crypté.${VAULT::<replaceable>VAULT_BLOCK</replaceable>::<replaceable>ATTRIBUTE_NAME</replaceable>::<replaceable>ENCRYPTED_VALUE</replaceable>}
Voici un exemple de valeur réelle, où le bloc d'archivage sécurisé estds_ExampleDS
et l'attribut estpassword
.<password>${VAULT::ds_ExampleDS::password::1}</password>
10.11.6. Stocker et Résoudre des strings sensibles de vos Applications
Les éléments de configuration de la plate-forme JBoss EAP 6 prennent en charge la capacité de régler les chaînes cryptées par rapport aux valeurs stockées dans Java Keystore, via le mécanisme Security Vault. Vous pouvez ajouter le support pour cette fonctionnalité à vos propres applications.
Avant d'effectuer cette procédure, assurez-vous que le répertoire pour stocker vos fichiers dans le Security Vault existe bien. Qu'importe où vous les placez, tant que l'utilisateur qui exécute JBoss EAP 6 dispose de l'autorisation de lire et écrire des fichiers. Cet exemple situe le répertoire vault/
dans le répertoire /home/USER/vault/
. Le Security Vault lui-même correspond à un fichier nommé vault.keystore
qui se trouve dans le répertoire vault/
.
Exemple 10.11. Ajout du String de Mot de passe au Security Vault
EAP_HOME/bin/vault.sh
. La série de commandes et réponses est incluse dans la session suivante. Les valeurs saisies par l'utilisateur apparaîtront clairement. Certaines sorties seront supprimées pour le formatage. Dans Microsoft Windows, le nom de la commande est vault.bat
. Notez que dans Microsoft Windows, les chemins d'accès au fichier utilisent le caractère \
comme séparateur de répertoire, et non pas le caractère /
.
[user@host bin]$ ./vault.sh ********************************** **** JBoss Vault ******** ********************************** Please enter a Digit:: 0: Start Interactive Session 1: Remove Interactive Session 2: Exit0
Starting an interactive session Enter directory to store encrypted files:/home/user/vault/
Enter Keystore URL:/home/user/vault/vault.keystore
Enter Keystore password:...
Enter Keystore password again:...
Values match Enter 8 character salt:12345678
Enter iteration count as a number (Eg: 44):25
Enter Keystore Alias:vault
Vault is initialized and ready for use Handshake with Vault complete Please enter a Digit:: 0: Store a password 1: Check whether password exists 2: Exit0
Task: Store a password Please enter attribute value:sa
Please enter attribute value again:sa
Values match Enter Vault Block:DS
Enter Attribute Name:thePass
Attribute Value for (DS, thePass) saved Please make note of the following: ******************************************** Vault Block:DS Attribute Name:thePass Configuration should be done as follows: VAULT::DS::thePass::1 ******************************************** Please enter a Digit:: 0: Store a password 1: Check whether password exists 2: Exit2
VAULT
.
Exemple 10.12. Servlet qui utilise un mot de passe Vaulted
package vaulterror.web; import java.io.IOException; import java.io.Writer; import javax.annotation.Resource; import javax.annotation.sql.DataSourceDefinition; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.sql.DataSource; /*@DataSourceDefinition( name = "java:jboss/datasources/LoginDS", user = "sa", password = "sa", className = "org.h2.jdbcx.JdbcDataSource", url = "jdbc:h2:tcp://localhost/mem:test" )*/ @DataSourceDefinition( name = "java:jboss/datasources/LoginDS", user = "sa", password = "VAULT::DS::thePass::1", className = "org.h2.jdbcx.JdbcDataSource", url = "jdbc:h2:tcp://localhost/mem:test" ) @WebServlet(name = "MyTestServlet", urlPatterns = { "/my/" }, loadOnStartup = 1) public class MyTestServlet extends HttpServlet { private static final long serialVersionUID = 1L; @Resource(lookup = "java:jboss/datasources/LoginDS") private DataSource ds; @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { Writer writer = resp.getWriter(); writer.write((ds != null) + ""); } }
10.12. LDAP
10.12.1. LDAP
10.12.2. Utiliser LDAP pour vous authentifier auprès des interfaces de Gestion
- Créer une connexion sortante au serveur LDAP.
- Créer un domaine de sécurité activé-LDAP.
- Référencer le nouveau domaine de sécurité dans l'interface de Gestion.
La connexion sortante LDAP autorise les attributs suivants :
Tableau 10.1. Attributs d'une Connexion sortante LDAP
Attribut | Requis | Description |
---|---|---|
url | oui |
L'adresse URL du serveur de répertoire.
|
search-dn | oui |
Le nom unique (DN) de l'utilisateur autorisé à effectuer des recherches.
|
search-credentials | oui |
Le mot de passe de l'utilisateur autorisé à effectuer des recherches.
|
initial-context-factory | non |
L'usine de contexte initiale à utiliser quand on établit une connexion. Valeur par défaut
com.sun.jndi.ldap.LdapCtxFactory .
|
security-realm | non |
Domaine de sécurité à référencer pour obtenir un
SSLContext configuré pour établir la connexion.
|
Exemple 10.13. Ajouter une connexion sortante LDAP
- Search DN:
cn=search,dc=acme,dc=com
- Search Credential:
myPass
- URL:
ldap://127.0.0.1:389
/host=master/core-service=management/security-realm=ldap_security_realm:add
/host=master/core-service=management/ldap-connection=ldap_connection/:add(search-credential=myPass,url=ldap://127.0.0.1:389,search-dn="cn=search,dc=acme,dc=com")
Les Interfaces de gestion peuvent authentifier sur le serveur LDAP au lieu des domaines de sécurité basés propriété-fichier et configurés par défaut. L'authentificateur LDAP fonctionne en établissant tout d'abord une connexion au serveur de répertoires distant. Il effectue ensuite une recherche en utilisant le nom d'utilisateur que l'utilisateur a transmis au système d'authentification, afin de trouver le nom unique complet (DN) du dossier LDAP. Une nouvelle connexion est alors établie, utilisant le DN de l'utilisateur comme information d'identification et mot de passe fournis par l'utilisateur. Si cette authentification au serveur LDAP réussit, le DN est considéré comme valide.
- connection
- Le nom de la connexion définie dans
<outbound-connections>
à utiliser pour se connecter au répertoire LDAP. - base-dn
- Le nom unique (DN) du contexte pour commencer à chercher l'utilisateur.
- recursive
- Indique si la recherche doit être récursive dans toute l'arborescence de répertoires LDAP, ou si l'on doit rechercher uniquement le contexte spécifié. La valeur par défaut est
false
. - user-dn
- Attribut de l'utilisateur qui détient le nom unique (DN). Utilisé par la suite pour tester l'authentification. Valeur par défaut
dn
. - Soit
username-filter
ouadvanced-filter
, comme élément enfant. - Le
username-filter
utilise un attribut unique nomméattribute
, dont la valeur correspond au nom de l'attribut LDAP qui contient le nom d'utilisateur, commeuserName
ousambaAccountName
.Leadvanced-filter
prend un attribut unique nomméfilter
, qui contient une recherche de filtre en syntaxe LDAP standard. Veillez à bien échapper les caractères&
en commutant à& amp;
. Voici un exemple de filtre :(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))
Après avoir échappé un caractère esperluette, le filtre apparaîtra ainsi :(&(sAMAccountName={0})(memberOf=cn=admin,cn=users,dc=acme,dc=com))
Exemple 10.14. XML représentant un Domaine de sécurité activé-LDAP
- connection -
ldap_connection
- base-dn -
cn=users,dc=acme,dc=com
. - username-filter -
attribute="sambaAccountName"
<security-realm name="ldap_security_realm"> <authentication> <ldap connection="ldap_connection" base-dn="cn=users,dc=acme,dc=com"> <username-filter attribute="sambaAccountName" /> </ldap> </authentication> </security-realm>
Avertissement
Exemple 10.15. Ajout d'un Domaine de sécurité LDAP
/host=master/core-service=management/security-realm=ldap_security_realm/authentication=ldap:add(base-dn="DC=mycompany,DC=org", recursive=true, username-attribute="MyAccountName", connection="ldap_connection")
Après avoir créé un domaine de sécurité, vous devez le référencer dans la configuration de votre interface de gestion. L'interface de gestion utilisera le domaine de sécurité pour l'authentification HTTP digest.
Exemple 10.16. Ajouter le Domaine de sécurité à l'interface HTTP
/host=master/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=ldap-security-realm)
Pour configurer un hôte dans un domaine géré pour s'authentifier sur Active Directory de Microsoft, suivre cette procédure, qui crée un domaine de sécurité et mappe les rôles aux groupes Active Directory, par l'authentification JAAS. Cette procédure est nécessaire parce que Microsoft Active Directory autorise la liaison avec un mot de passe vide. Cette procédure empêche l'utilisation d'un mot de passe vide dans la plate-forme d'applications.
master
.
Ajouter un nouveau
<security-realm>
nomméldap_security_realm
, et le configurer pour qu'il puisse utiliser JAAS.Les commandes CLI suivantes ajoutent le domaine de sécurité, puis définissent son mécanisme d'authentification. Modifier le nom de l'hôte selon les besoins./host=master/core-service=management/security-realm=ldap_security_realm/:add
/host=master/core-service=management/security-realm=ldap_security_realm/authentication=jaas/:add(name=managementLDAPDomain)
Configurer
<http-interface>
pour utiliser le nouveau domaine de sécurité.La commande de Management CLI suivante configure l'interface HTTP./host=master/core-service=management/management-interface=http-interface/:write-attribute(name=security-realm,value=ldap_security_realm)
Configurer JBoss Enterprise Application Platform pour ajouter une configuration JAAS personnalisée à ses paramètres de démarrage (start-up).
Modifier le fichierEAP_HOME /bin/domain.conf
. Rechercher la variableHOST_CONTROLLER_JAVA_OPTS
puis y ajouter des directives pour la JVM, qui sont nécessaires avant le démarrage de JBoss Enterprise Application Platform. Voici un exemple du contenu par défaut de ce paramètre :HOST_CONTROLLER_JAVA_OPTS="$JAVA_OPTS"
Ajouter la directive suivante à la ligne :-Djava.security.auth.login.config=/opt/jboss-eap-6.0/domain/configuration/jaas.conf"
La ligne modifiée ressemble à ceci :-Djava.security.auth.login.config=/opt/jboss-eap-6.0/domain/configuration/jaas.conf"
Ajouter le module de connexion aux options de module.
Dans le même fichier, chercher la ligne contenant ce qui suit :JBOSS_MODULES_SYSTEM_PKGS="org.jboss.byteman"
Modifier cette ligne pour qu'elle ressemble à ceci. Veillez à ne pas insérer d'espaces supplémentaires.JBOSS_MODULES_SYSTEM_PKGS="org.jboss.byteman,com.sun.security.auth.login"
Sauvegarder et fermer le fichierdomain.conf
.Créer la configuration JAAS qui sera ajoutée au chemin de classe.
Créer un nouveau fichier à l'emplacement suivant :EAP_HOME/domain/configuration/jaas.conf
Le fichier doit contenir ce qui suit. Modifier les paramètres pour qu'ils correspondent à votre environnement.managementLDAPDomain { org.jboss.security.auth.spi.LdapExtLoginModule required java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory" java.naming.provider.url="ldap://your_active_directory_host:389" java.naming.security.authentication="simple" bindDN="cn=Administrator,cn=users,dc=domain,dc=your_company,dc=com" bindCredential="password" baseCtxDN="cn=users,dc=domain,dc=redhat,dc=com" baseFilter="(&(sAMAccountName={0})(|(memberOf=cn=Domain Guests,cn=Users,dc=domain,dc=acme,dc=com)(memberOf=cn=Domain Admins,cn=Users,dc=domain,dc=acme,dc=com)))" allowEmptyPasswords="false" rolesCtxDN="cn=users,dc=domain,dc=acme,dc=com" roleFilter="(cn=no such group)" searchScope="SUBTREE_SCOPE"; };
- Redémarrer JBoss Enterprise Application Platform et votre interface HTTP utilisera le serveur LDAP pour l'authentification.
Chapitre 11. Activer les interfaces de gestion par le contrôle d'accès basé rôle
11.1. Les RBAC (Role-Based Access Control)
11.2. Les RBAC (Role-Based Access Control) dans le GUI et le CLI
- La Console de gestion
- Dans la Console de gestion, certains contrôles et vues sont désactivés (en gris) ou invisibles selon les permissions du rôle qui vous est assigné.Si vous n'avez pas de permission Lecture pour un attribut de ressource, cet attribut apparaîtra en blanc sur la console. Par exemple, la plupart des rôles ne peuvent pas lire les champs Nom d'utilisateur ou Mot de passe des sources de données.Si vous n'avez pas de permission Écriture sur un attribut de ressource, cet attribut sera désactivé (grisé) dans le formulaire de modification de la ressource. Si vous n'avez pas du tout de permission Écriture sur la ressource, le bouton de modification de la ressource ne s'affichera pas.Si vous n'avez pas les permissions nécessaires pour accéder à une ressource ou à un attribut (c'est « non adressable » pour votre rôle) et cela ne vous apparaîtra pas dans la console. L'accès contrôle système lui-même qui est uniquement visible par quelques rôles par défaut en est un exemple.
- Management API
- Les utilisateurs de l'outil
jboss-cli.sh
ou directement de l'API rencontreront un comportement légèrement différent dans l'API lorsque RBAC est activé.Les ressources et les attributs qui ne peuvent être lus sont filtrés des résultats. Si les éléments filtrés sont adressables par le rôle, leurs noms seront répertoriés en tant quefiltered-attributes
dans la sectionresponse-headers
du résultat. Si une ressource ou un attribut n'est pas adressable par le rôle, il n'apparaîtra pas du tout.Toute tentative d'accès à une ressource non adressable résultera par l'erreur : « resource not found ».Si un utilisateur tente d'écrire ou de lire une ressource qu'il peut adresser, mais qu'il n'a pas les permissions de lecture ou d'écriture qui conviennent, une erreur "Permission Denied" apparaîtra.
11.3. Schémas d'authentification supportés
username/password
, client certificate
, et local user
.
- Username/Password
- Les utilisateurs sont authentifiés par une combinaison de nom d'utilisation et de mot de passe qui sont ensuite vérifiés par le fichier
mgmt-users.properties
, ou via un serveur LDAP. - Client Certificate
- Utilisation du Trust Store
- Utilisateur local
jboss-cli.sh
authentifie automatiquement en tant que Local User si le serveur exécute sur la même machine. Par défaut, Local User est un membre du groupeSuperUser
.
mgmt-users.properties
ou par un serveur LDAP, ces systèmes peuvent fournir des informations de groupes d'utilisateur. Cette information peut également servir à JBoss EAP pour attribuer des rôles aux utilisateurs.
11.4. Les rôles standard
- Monitor
- Les utilisateurs du rôle Monitor ont le plus petit nombre de permissions et ne peuvent lire que la configuration ou l'état du serveur en cours. Ce rôle est destiné aux utilisateurs qui ont besoin de vérifier et reporter la performance du serveur.Les Monitors ne peuvent pas modifier la configuration du serveur, et ne peuvent pas accéder aux données ou opérations confidentielles.
- Operator
- Le rôle Operator étend le rôle Monitor en ajoutant la possibilité de modifier l'état d'exécution du serveur. Cela signifie que les opérateurs peuvent recharger et arrêter le serveur, ainsi que suspendre et reprendre les destinations JMS. Le rôle Operator est idéal pour les utilisateurs responsables des hôtes physiques ou virtuels du serveur d'applications, puisqu'ils peuvent s'assurer ainsi que les serveurs puissent être arrêtés, redémarrés ou corrigés si nécessaire.Le opérateurs ne peuvent pas modifier la configuration du serveur ou accéder à des données ou opérations confidentielles.
- Maintainer
- Le rôle Maintainer a le droit de visualiser et modifier l'état d'exécution et toute la configuration à l'exception des données sensibles et des opérations. Le rôle du mainteneur est un rôle d'usage général qui n'a pas accès aux données sensibles et aux opérations. Le rôle Maintainer permet aux utilisateurs de bénéficier d'un accès presque total d'administration du serveur, sans donner à ces utilisateurs l'accès aux mots de passe ou autres informations sensibles.Le mainteneurs ne peuvent pas accéder à des données ou opérations sensibles.
- Administrator
- Le rôle Administrator a un accès illimité aux ressources et opérations sur le serveur sauf sur le système d'enregistrement d'audit. L'administrateur est le seul rôle (excepté SuperUser) qui a accès à des données sensibles et aux opérations. Ce rôle peut également configurer le système de contrôle d'accès. Le rôle Administrator n'est requis lorsque vous manipulez des données sensibles ou configurez les utilisateurs et les rôles.
- SuperUser
- Le rôle SuperUser a un accès illimité aux ressources et opérations sur le serveur, y compris au système d'enregistrement d'audit. Ce rôle est équivalent aux rôles d'utilisateurs administrateurs des versions plus anciennes de JBoss EAP 6 (6.0 et 6.1). Si RBAC est désactivé, tous les utilisateurs de management auront une permission équivalente à celle d'un rôle SuperUser.
- Deployer
- Le rôle Deployer a les mêmes permissions que Monitor, mais peut modifier la configuration et l'état des déploiements ou n'importe quel autre type de ressource activée en tant que ressource d'application.
- Auditor
- Le rôle Auditor possède toutes les permissions du rôle Monitor et peut également voir (mais pas modifier) les données sensibles. Il a aussi accès au système de journalisation de l'auditing. Le rôle Auditor est le seul rôle en dehors de SuperUser qui puisse accéder au système de journalisation de l'auditing.Les auditeurs ne peuvent pas modifier les données ou les ressources sensibles. Seul l'accès lecture est permis.
11.5. Les Permissions de rôle
Tableau 11.1. Matrice de permissions de rôle
Monitor
|
Operator
|
Maintainer
|
Deployer
|
Auditor
|
Administrator
|
SuperUser
| |
Lecture Config et État
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
Lire Données sensibles [2]
|
X
|
X
|
X
| ||||
Modifier Données sensibles [2]
|
X
|
X
| |||||
Lire/Modifer Audit Log
|
X
|
X
| |||||
Modifier État du Runtime
|
X
|
X
|
X[1]
|
X
|
X
| ||
Modifier Config persistante
|
X
|
X[1]
|
X
|
X
| |||
Lire/Modifier Contrôle d'accès
|
X
|
X
|
11.6. Contraintes
- Contraintes d'application
- Les contraintes d'application définissent des ensembles de ressources et des attributs qui sont accessibles aux utilisateurs du rôle chargé du déploiement (Deployer). Par défaut, la seule Contrainte d'application activée est la principale qui inclut des déploiements, des superpositions de déploiement. Les contraintes d'application sont également incluses (mais pas activées par défaut) pour les sources de données, connexion, mail, messagerie, nommage, adaptateurs de ressources et sécurité. Ces contraintes permettent aux utilisateurs de Deployer, non seulement de déployer des applications mais également de configurer et de maintenir les ressources requises par ces applications.La configuration de contraintes d'applications se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=application-classification
. - Contraintes de sensibilité
- Les contraintes de confidentialité définissent des ressources considérées comme « sensibles ». Une ressource sensible est généralement de nature secrète, comme un mot de passe, ou une information qui puisse avoir de graves répercussions sur le fonctionnement du serveur, comme le networking, la configuration de la JVM ou les propriétés système. Le système de contrôle d'accès lui-même est aussi considéré comme sensible.Les seuls rôles autorisés à écrire dans les ressources sensibles sont Administrateur et Superutilisateur. Le rôle Auditeur est seulement capable de lire les ressources confidentielles. Aucun autre rôle ne peut avoir accès.La configuration de contraintes de sensibilité se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=sensitivity-classification
. - Contrainte d'expression d'archivage sécurisé
- Une contrainte d'expression d'archivage sécurisé détermine si la lecture ou l'écriture d'expressions d'archivage sécurisé est considéré comme une opération sensible. Par défaut, les deux sont sensibles.La configuration de contraintes d'expression d'archivage sécurisé se trouve dans l'API de gestion à l'adresse suivante :
/core-service=management/access=authorization/constraint=vault-expression
.
11.7. JMX et RBAC (Role-Based Access Control)
- L'API de gestion de JBoss EAP 6 est exposé comme JMX Management Beans. Ces Management Beans sont appelés « core mbeans » et leur accès est contrôlé et filtré exactement de la même façon que l'API de gestion sous-jacent lui-même.
- Le sous-système JMX est configuré avec des permissions d'écriture « sensibles ». Cela signifie que seuls les utilisateurs avec les rôles Administrateur et Superutilisateur peuvent apporter des modifications à ce sous-système. Les utilisateurs avec le rôle Auditeur peuvent aussi lire cette configuration du sous-système.
- Par défaut, les beans de gestion enregistrés par des applications déployées et des services (non-core mbeans) sont accessibles par tous les utilisateurs de gestion, mais seuls les utilisateurs ayant un rôle Maintenance, Opérateur, Administrateur, Superutilisateur peuvent écrire dessus.
11.8. Configurer le RBAC (Role-Based Access Control)
11.8.1. Aperçu des tâches de configuration RBAC
- Voir et configurer les rôles assignés (ou exclus) pour chaque utilisateur
- Voir et configurer les rôles assignés (ou exclus) pour chaque groupe
- Voir Appartenance Utilisateur et Groupe par Rôle.
- Configurer Appartenance par défaut pour un rôle.
- Créer un scoped rôle
- Activer et désactiver RBAC
- Modifier la police de combinaison de permissions
- Configurer les contraintes de sensibilité des ressources et des ressources d'applications
11.8.2. Activer le RBAC (Role-Based Access Control)
simple
à rbac
. Cela peut être fait en utilisant l'outil jboss-cli.sh
, ou en modifiant la configuration du serveur XML du fichier si le serveur est hors ligne. Quand RBAC est désactivé ou activé sur un serveur en cours d'exécution, la configuration du serveur doit être rechargée avant de prendre effet.
jboss-cli.sh
est exécuté par le rôle SuperUser s'il est exécuté dans la même machine que le serveur.
Procédure 11.1. Activer RBAC
- Pour activer RBAC avec
jboss-cli.sh
utiliser l'opérationwrite-attribute
de la ressource d'autorisation d'accès, pour définir la valeur de l'attribut provider àrbac
/core-service=management/access=authorization:write-attribute(name=provider, value=rbac)
[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=provider, value=rbac) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /] /:reload { "outcome" => "success", "result" => undefined } [standalone@localhost:9999 /]
Procédure 11.2. Désactiver RBAC
- Pour désactiver RBAC avec
jboss-cli.sh
utiliser l'opérationwrite-attribute
de la ressource d'autorisation d'accès pour définir la valeur de l'attribut provider àsimple
/core-service=management/access=authorization:write-attribute(name=provider, value=simple)
[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=provider, value=simple) { "outcome" => "success", "response-headers" => { "operation-requires-reload" => true, "process-state" => "reload-required" } } [standalone@localhost:9999 /] /:reload { "outcome" => "success", "result" => undefined } [standalone@localhost:9999 /]
provider
de l'élément de contrôle d'accès de l'élément de gestion. Définissez la valeur rbac
sur « activé » et simple
sur « désactivé ».
<management> <access-control provider="rbac"> <role-mapping> <role name="SuperUser"> <include> <user name="$local"/> </include> </role> </role-mapping> </access-control> </management>
11.8.3. Modifier la police de combinaison de permissions
permissive
ou rejecting
. La valeur par défaut est permissive
.
permissive
, si un rôle est assigné à l'utilisateur pour permettre une action, alors l'action sera autorisée.
rejecting
est sélectionné, si plusieurs rôle sont assignés à l'utilisateur pour permettre une action, alors l'action ne sera pas autorisée.
jboss-cli.sh
lorsque la police est définie sur rejecting
.
permission-combination-policy
soit permissive
ou rejecting
. Cela peut être fait par l'outil jboss-cli.sh
, ou en modifiant la configuration du serveur XML du fichier si le serveur est hors ligne.
Procédure 11.3. Définir la police de combinaison de permissions
- Effectuer l'opération
write-attribute
de la ressource d'autorisation d'accès pour définir l'attributpermission-combination-policy
au nom de la police requise./core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
Les noms de police valide sont « rejecting » ou « permissive ».[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
permission-combination-policy
de l'élément de contrôle d'accès.
<access-control provider="rbac" permission-combination-policy="rejecting"> <role-mapping> <role name="SuperUser"> <include> <user name="$local"/> </include> </role> </role-mapping> </access-control>
11.9. Gestion des rôles
11.9.1. Appartenance à un rôle
- L'utilisateur est :
- listé comme utilisateur à inclure dans le rôle, ou
- un membre d'un groupe qui est listé pour être inclus dans le rôle.
- L'utilisateur n'est pas :
- listé comme utilisateur à exclure du rôle, ou
- un membre d'un groupe qui est listé pour être exclus du rôle.
jboss-cli.sh
.
11.9.2. Configurer Attribution de Rôle Utilisateur
jboss-cli.sh
. Cette section explique uniquement comment utiliser la Console de gestion.
- Connectez-vous à la Console de gestion.
- Cliquer sur l'onglet Administration.
- Déployer l'élément Contrôle d'accès (Access Control) sur la gauche et sélectionner Attribution de rôles (Role Assignment).
- Sélectionner l'onglet Utilisateurs (USERS).
Figure 11.1. Instantané de Gestion de rôle dans la Console de gestion
Procédure 11.4. Créer une nouvelle attribution de rôle pour l'utilisateur
- Connexion à la Console de gestion.
- Naviguer vers l'onglet Utilisateur de la section Attribution de rôles.
- Cliquer sur le bouton Add en haut et à droite de la liste d'utilisateur. Le dialogue Ajouter Utilisateur (Add User) apparaîtra.
Figure 11.2. Boîte de dialogue Ajouter Utilisateur (Add User)
- Vous devez préciser un nom d'utilisateur, ou domaine si possible.
- Définir le type de menu à inclure ou à exclure.
- Cliquer la case des rôles à inclure ou à exclure. Vous pouvez utiliser la clé de contrôle (clé de commande OSX) pour cocher les divers items.
- Cliquer Sauvegarde.Si cela réussit, la boîte de dialogue Ajouter un utilisateur se ferme, et la liste des utilisateurs sera mise à jour pour refléter les modifications apportées. En cas d'échec, un message « Impossible d'enregistrer l'attribution de rôle » s'affichera.
Procédure 11.5. Mise à jour d'une attribution de rôle pour un utilisateur
- Connexion à la Console de gestion.
- Naviguer vers l'onglet Utilisateur de la section Attribution de rôles.
- Sélectionner un utilisateur dans la liste.
- Cliquer sur le bouton Édit. Le panneau de sélection est alors en mode Édit.
Figure 11.3. Sélection Vue Édit
Vous pourrez ici ajouter ou supprimer les rôles assignés pour exclus pour l'utilisateur.- Pour ajouter un rôle assigné, sélectionner le rôle requis de la liste de rôles disponibles sur la gauche et cliquer sur le bouton avec une flèche pointant sur la droite qui se trouve à côté de la liste de rôles assignés. Le rôle se déplacera alors depuis la liste de rôles disponibles vers la liste de rôles assignés.
- Pour supprimer un rôle assigné, sélectionner le rôle requis de la liste de rôles assignés sur la droite et cliquer sur le bouton avec une flèche pointant sur la gauche qui se trouve à côté de la liste de rôles assignés. Le rôle se déplacera alors depuis la liste de rôles assignés vers la liste de rôles disponibles.
- Pour ajouter un rôle exclus, sélectionner le rôle requis de la liste de rôles disponibles sur la gauche et cliquer sur le bouton avec une flèche pointant sur la droite qui se trouve à côté de la liste de rôles exclus. Le rôle se déplacera alors depuis la liste de rôles disponibles vers la liste de rôles exclus.
- Pour supprimer un rôle exclus, sélectionner le rôle requis de la liste de rôles assignés sur la droite et cliquer sur le bouton avec une flèche pointant sur la gauche qui se trouve à côté de la liste de rôles exclus. Le rôle se déplacera alors depuis la liste de rôles exclus vers la liste de rôles disponibles.
- Cliquer Sauvegarde.Si cela réussit, la vue Édit se ferme, et la liste des utilisateurs sera mise à jour pour refléter les modifications apportées. En cas d'échec, un message « Impossible d'enregistrer l'attribution de rôle » s'affichera.
Procédure 11.6. Suppression d'une attribution de rôle pour un utilisateur
- Connexion à la Console de gestion.
- Naviguer vers l'onglet Utilisateur de la section Attribution de rôles.
- Sélectionner un utilisateur dans la liste.
- Cliquer sur le bouton Suppression (Remove). La boîte de dialogue Suppression d'attribution de rôle (Remove Role Assignment) apparaîtra.
- Cliquez sur le bouton oui pour confirmer.Si cela réussit, l'utilisateur n'apparaîtra plus sur la liste d'attributions de rôle d'utilisateur.
Important
11.9.3. Configurer Attribution de Rôle Utilisateur avec jboss-cli.sh
jboss-cli.sh
. Cette section explique uniquement comment utiliser jboss-cli.sh
.
/core-service=management/access=authorization
en tant qu'éléments role-mapping
.
Procédure 11.7. Affichage de la Configuration Attribution de rôles
- Utiliser l'opération :read-children-names pour obtenir une liste complète des rôles configurés :
/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
[standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping) { "outcome" => "success", "result" => [ "ADMINISTRATOR", "DEPLOYER", "MAINTAINER", "MONITOR", "OPERATOR", "SuperUser" ] }
- Utiliser l'opération
read-resource
d'un mappage de rôle (role-mapping) pour obtenir toutes les informations sur un rôle particulier :/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
[standalone@localhost:9999 access=authorization] ./role-mapping=ADMINISTRATOR:read-resource(recursive=true) { "outcome" => "success", "result" => { "include-all" => false, "exclude" => undefined, "include" => { "user-theboss" => { "name" => "theboss", "realm" => undefined, "type" => "USER" }, "user-harold" => { "name" => "harold", "realm" => undefined, "type" => "USER" }, "group-SysOps" => { "name" => "SysOps", "realm" => undefined, "type" => "GROUP" } } } } [standalone@localhost:9999 access=authorization]
Procédure 11.8. Ajouter un nouveau rôle
- Utiliser l'opération
add
pour ajouter une nouvelle configuration de rôle./core-service=management/access=authorization/role-mapping=ROLENAME:add
ROLENAME est le nom du rôle du nouveau mappage.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR:add {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procédure 11.9. Ajouter un Utilisateur comme inclus dans un rôle
- Utiliser l'opération
add
pour ajouter une entrée d'utilisateur dans la liste d'inclusions du rôle./core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=USERNAME, type=USER)
ROLENAME est le nom du rôle en cours de configuration.ALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commeuser-USERNAME
.USERNAME est le nom de l'utilisateur entrain d'être ajouté à la liste des inclusions.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/include=user-max:add(name=max, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procédure 11.10. Ajouter un Utilisateur comme exclus dans un rôle
- Utiliser l'opération
add
pour ajouter une entrée d'utilisateur dans la liste d'exclusions du rôle./core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=USERNAME, type=USER)
ROLENAME est le nom du rôle en cours de configuration.USERNAME est le nom de l'utilisateur ajouté à la liste des exclusions.ALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commeuser-USERNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/exclude=user-max:add(name=max, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procédure 11.11. Configuration Suppression d'un rôle d'utilisateur d'inclusion
- Utiliser l'opération
remove
pour supprimer la saisie./core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
ROLENAME est le nom du rôle en cours de configurationALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commeuser-USERNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/include=user-max:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Supprimer l'utilisateur de la liste d'inclusions ne permet pas de supprimer l'utilisateur du système, ni ne garantit que le rôle ne sera pas assigné à l'utilisateur. Le rôle peut être assigné sur la base de l'appartenance à un groupe.
Procédure 11.12. Configuration Suppression d'un rôle d'utilisateur d'exclusion
- Utiliser l'opération
remove
pour supprimer la saisie./core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
ROLENAME est le nom du rôle en cours de configuration.ALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commeuser-USERNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/exclude=user-max:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Supprimer l'utilisateur de la liste d'exclusions ne permet pas de supprimer l'utilisateur du système, ni ne garantit que le rôle puisse être assigné à l'utilisateur. Le rôle peut être assigné sur la base de l'appartenance à un groupe.
11.9.4. Groupes Utilisateurs et Rôles
mgmt-users.properties
ou d'un serveur LDAP peuvent être membres des groupes d'utilisateurs. Un groupe d'utilisateurs est une étiquette arbitraire qui peut être assignée à un ou plusieurs utilisateurs.
mgmt-users.properties
, l'information groupe est stockée dans le fichier de mgmt-groups.properties
. Lorsque vous utilisez LDAP, l'information groupe est stockée dans le serveur LDAP et maintenue par les responsables du serveur LDAP.
11.9.5. Configurer Attribution de rôles de groupe
jboss-cli.sh
. Cette section explique uniquement comment utiliser la Console de gestion.
- Connectez-vous à la Console de gestion.
- Cliquer sur l'onglet Administration.
- Déployer l'élément Contrôle d'accès (Access Control) sur la gauche et sélectionner Attribution de rôles (Role Assignment).
- Sélectionner l'onglet Groupes (GROUPS).
Figure 11.4. Gestion de rôle de groupe dans la Console de gestion
Procédure 11.13. Créer une nouvelle attribution de rôle pour un groupe
- Connectez-vous à la Console de gestion
- Naviguer vers l'onglet Groupes de la section Attribution de rôles.
- Cliquer sur le bouton Add en haut et à droite de la liste d'utilisateur. Le dialogue Ajouter Utilisateur (Add User) apparaîtra.
Figure 11.5. Ajouter le dialogue de groupe
- Vous devez préciser un nom de groupe, et domaine si possible.
- Définir le type de menu à inclure ou à exclure.
- Cliquer la case des rôles à inclure ou à exclure. Vous pouvez utiliser la clé de contrôle (clé de commande OSX) pour cocher les divers items.
- Cliquer Sauvegarde.Si cela réussit, la boîte de dialogue Ajouter un groupe se ferme, et la liste des groupes sera mise à jour pour refléter les modifications apportées. En cas d'échec, un message « Impossible d'enregistrer l'attribution de rôle » s'affichera.
Procédure 11.14. Mise à jour d'une attribution de rôle pour un groupe
- Connexion à la Console de gestion.
- Naviguer vers l'onglet Groupes de la section Attribution de rôles.
- Sélectionner un groupe dans la liste.
- Cliquer sur le bouton Édit. La vue de sélection est alors en mode Édit.
Figure 11.6. Sélection Vue Mode Édition
Vous pourrez ici ajouter ou supprimer les rôles assignés ou exclus du groupe :- Pour ajouter un rôle assigné, sélectionner le rôle requis de la liste de rôles disponibles sur la gauche et cliquer sur le bouton avec une flèche pointant sur la droite qui se trouve à côté de la liste de rôles assignés. Le rôle se déplacera alors depuis la liste de rôles disponibles vers la liste de rôles assignés.
- Pour supprimer un rôle assigné, sélectionner le rôle requis de la liste de rôles assignés sur la droite et cliquer sur le bouton avec une flèche pointant sur la gauche qui se trouve à côté de la liste de rôles assignés. Le rôle se déplacera alors depuis la liste de rôles assignés vers la liste de rôles disponibles.
- Pour ajouter un rôle exclus, sélectionner le rôle requis de la liste de rôles disponibles sur la gauche et cliquer sur le bouton avec une flèche pointant sur la droite qui se trouve à côté de la liste de rôles exclus. Le rôle se déplacera alors depuis la liste de rôles disponibles vers la liste de rôles exclus.
- Pour supprimer un rôle exclus, sélectionner le rôle requis de la liste de rôles assignés sur la droite et cliquer sur le bouton avec une flèche pointant sur la gauche qui se trouve à côté de la liste de rôles exclus. Le rôle se déplacera alors depuis la liste de rôles exclus vers la liste de rôles disponibles.
- Cliquer Sauvegarde.Si cela réussit, la vue Édit se ferme, et la liste des groupes sera mise à jour pour refléter les modifications apportées. En cas d'échec, un message « Impossible d'enregistrer l'attribution de rôle » s'affichera.
Procédure 11.15. Supprimer une attribution de rôle pour un groupe
- Connexion à la Console de gestion.
- Naviguer vers l'onglet Groupes de la section Attribution de rôles.
- Sélectionner un groupe dans la liste.
- Cliquer sur le bouton Suppression (Remove). La boîte de dialogue Suppression d'attribution de rôle (Remove Role Assignment) apparaîtra.
- Cliquez sur le bouton oui pour confirmer.Si cela réussit, le rôle n'apparaîtra plus sur la liste d'attributions de rôle d'utilisateur.La suppression du groupe de la liste d'attribution de rôles ne retire pas l'utilisateur du système, ni ne garantit qu'aucun rôle ne sera assigné aux membres de ce groupe. Chaque membre du groupe peut encore avoir un rôle qui lui soit directement assigné.
11.9.6. Configurer Attribution de rôles de groupe avec jboss-cli.sh
jboss-cli.sh
. Cette section explique uniquement comment utiliser l'outil jboss-cli.sh
.
/core-service=management/access=authorization
en tant qu'éléments de mappage.
Procédure 11.16. Affichage de la Configuration Attribution de rôles de groupe
- Utiliser l'opération
read-children-names
pour obtenir une liste complète des rôles configurés :/core-service=management/access=authorization:read-children-names(child-type=role-mapping)
[standalone@localhost:9999 access=authorization] :read-children-names(child-type=role-mapping) { "outcome" => "success", "result" => [ "ADMINISTRATOR", "DEPLOYER", "MAINTAINER", "MONITOR", "OPERATOR", "SuperUser" ] }
- Utiliser l'opération
read-resource
d'un mappage de rôle (role-mapping) pour obtenir toutes les informations sur un rôle particulier :/core-service=management/access=authorization/role-mapping=ROLENAME:read-resource(recursive=true)
[standalone@localhost:9999 access=authorization] ./role-mapping=ADMINISTRATOR:read-resource(recursive=true) { "outcome" => "success", "result" => { "include-all" => false, "exclude" => undefined, "include" => { "user-theboss" => { "name" => "theboss", "realm" => undefined, "type" => "USER" }, "user-harold" => { "name" => "harold", "realm" => undefined, "type" => "USER" }, "group-SysOps" => { "name" => "SysOps", "realm" => undefined, "type" => "GROUP" } } } } [standalone@localhost:9999 access=authorization]
Procédure 11.17. Ajouter un nouveau rôle
- Utiliser l'opération
add
pour ajouter une nouvelle configuration de rôle./core-service=management/access=authorization/role-mapping=ROLENAME:add
[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR:add {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procédure 11.18. Ajouter un Groupe comme inclus dans un rôle
- Utiliser l'opération
add
pour ajouter une entrée de Groupe dans la liste d'inclusions du rôle./core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:add(name=GROUPNAME, type=GROUP)
ROLENAME est le nom du rôle en cours de configuration.GROUPNAME est le nom du groupe entrain d'être ajouté à la liste des inclusions.ALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commegroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/include=group-investigators:add(name=investigators, type=GROUP) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procédure 11.19. Ajouter un groupe comme exclus dans un rôle
- Utiliser l'opération
add
pour ajouter une entrée de Groupe dans la liste d'exclusions du rôle./core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:add(name=GROUPNAME, type=GROUP)
ROLENAME est le nom du rôle en cours de configurationGROUPNAME est le nom du groupe entrain d'être ajouté à la liste des inclusionsALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commegroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/exclude=group-supervisors:add(name=supervisors, type=USER) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Procédure 11.20. Configuration Suppression d'un rôle de groupe
- Utiliser l'opération
remove
pour supprimer la saisie./core-service=management/access=authorization/role-mapping=ROLENAME/include=ALIAS:remove
ROLENAME est le nom du rôle en cours de configurationALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commegroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/include=group-investigators:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Supprimer le groupe de la liste d'inclusions ne permet pas de supprimer le groupe du système, ni ne garantit que le rôle ne sera pas assigné à des utilisateurs de ce groupe. Le rôle peut être assigné à des utilisateurs du groupe individuellement.
Procédure 11.21. Supprimer une entrée d'exclusion de groupe d'utilisateurs
- Utiliser l'opération
remove
pour supprimer la saisie./core-service=management/access=authorization/role-mapping=ROLENAME/exclude=ALIAS:remove
ROLENAME est le nom du rôle en cours de configuration.ALIAS
est un nom unique pour ce mappage. Red Hat recommande d'utiliser une convention de mappage pour tous les alias commegroup-GROUPNAME
.[standalone@localhost:9999 access=authorization] ./role-mapping=AUDITOR/exclude=group-supervisors:remove {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Supprimer le groupe de la liste d'exclusions ne permet pas de supprimer le groupe du système, ni ne garantit que le rôle ne va pas être assigné à des membres du groupe. Les rôles peuvent être exclus sur la base de l'appartenance à un groupe.
11.9.7. Autorisation et Chargement de groupes avec LDAP
<authorization> <ldap connection="..."> <username-to-dn> <!-- OPTIONAL --> <!-- Only one of the following. --> <username-is-dn /> <username-filter base-dn="..." recursive="..." user-dn-attribute="..." attribute="..." /> <advanced-filter base-dn="..." recursive="..." user-dn-attribute="..." filter="..." /> </username-to-dn> <group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." > <!-- One of the following --> <group-to-principal base-dn="..." recursive="..." search-by="..."> <membership-filter principal-attribute="..." /> </group-to-principal> <principal-to-group group-attribute="..." /> </group-search> </ldap> </authorization>
Important
username-to-dn
username-to-dn
indique comment elle est définie. Cet élément est uniquement nécessaire si ce qui suit est true :
- L'étape d'authentification n'a pas eu lieu avec LDAP.
- La recherche de groupe utilise le nom unique pendant la recherche.
- 1:1 username-to-dn
- Il s'agit de la forme de configuration de base et elle est utilisée pour spécifier que le nom d'utilisateur saisi par l'utilisateur éloigné est en fait le nom unique de l'utilisateur.
<username-to-dn> <username-is-dn /> </username-to-dn>
Comme cela définit un mappage 1:1, il n'y a pas de configuration supplémentaire possible. - username-filter
- La prochaine option est très semblable à la simple option décrite ci-dessus dans l'étape d'authentification. Tout simplement, un attribut est spécifié et on recherche une correspondance avec le nom d'utilisateur fourni.
<username-to-dn> <username-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" attribute="sn" user-dn-attribute="dn" /> </username-to-dn>
Les attributs qui peuvent être définis sont les suivants :base-dn
: le nom unique du contexte pour commencer la recherche.recursive
: indique si la recherche va s'étendre à des sous-contextes. La valeur par défaut estfalse
.attribute
: l'attribut de l'entrée de l'utilisateur à faire correspondre avec le nom d'utilisateur fourni. La valeur par défaut estuid
.user-dn-attribute
: l'attribut à lire pour obtenir les noms uniques d'utilisateurs. La valeur par défaut estdn
.
- advanced-filter
- L'option finale est de spécifier un filtre avancé. Comme dans la section authentification, c'est l'opportunité d'utiliser un filtre personnalisé pour trouver le nom unique de l'utilisateur.
<username-to-dn> <advanced-filter base-dn="dc=people,dc=harold,dc=example,dc=com" recursive="false" filter="sAMAccountName={0}" user-dn-attribute="dn" /> </username-to-dn>
Pour les attributs qui correspondent à celles du username-filter, le sens et les valeurs par défaut sont les mêmes, donc je ne vais pas les énumérer ici et cela laisse un nouvel attribut :filter
: filtre personnalisé utilisé pour chercher une entrée d'utilisateur quand le nom d'utilisateur est substitué dans l'espace réservé{0}
Important
Le code XML doit rester valide une fois que le filtre est défini donc si des caractères spéciaux comme&
sont utilisés, assurez-vous que la forme qui convient soit utilisée. Par exemple& amp ;
pour le caractère&
.
La recherche Groupe
Exemple 11.1. Principal à Groupe - Exemple LDIF
TestUserOne
, qui est membre de GroupOne
, GroupOne
est alors à son tour membre de GroupFive
. L'appartenance au groupe est démontrée par l'utilisation d'un attribut memberOf
qui est défini sur le nom unique du groupe dont l'utilisateur est membre.
memberOf
définis, un pour chaque groupe dont l'utilisateur est un membre direct.
dn: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org objectClass: extensibleObject objectClass: top objectClass: groupMember objectClass: inetOrgPerson objectClass: uidObject objectClass: person objectClass: organizationalPerson cn: Test User One sn: Test User One uid: TestUserOne distinguishedName: uid=TestUserOne,ou=users,dc=principal-to-group,dc=example,dc=org memberOf: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org memberOf: uid=Slashy/Group,ou=groups,dc=principal-to-group,dc=example,dc=org userPassword:: e1NTSEF9WFpURzhLVjc4WVZBQUJNbEI3Ym96UVAva0RTNlFNWUpLOTdTMUE9PQ== dn: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org objectClass: extensibleObject objectClass: top objectClass: groupMember objectClass: group objectClass: uidObject uid: GroupOne distinguishedName: uid=GroupOne,ou=groups,dc=principal-to-group,dc=example,dc=org memberOf: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org dn: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org objectClass: extensibleObject objectClass: top objectClass: groupMember objectClass: group objectClass: uidObject uid: GroupFive distinguishedName: uid=GroupFive,ou=subgroups,ou=groups,dc=principal-to-group,dc=example,dc=org
Exemple 11.2. Groupe à Principal - Exemple LDIF
TestUserOne
qui est un membre de GroupOne
, qui est à son tour membre de GroupFive
- cependant dans ce cas, c'est un attribut uniqueMember
du groupe à l'utilisateur utilisé pour la référence croisée.
dn: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org objectClass: top objectClass: inetOrgPerson objectClass: uidObject objectClass: person objectClass: organizationalPerson cn: Test User One sn: Test User One uid: TestUserOne userPassword:: e1NTSEF9SjR0OTRDR1ltaHc1VVZQOEJvbXhUYjl1dkFVd1lQTmRLSEdzaWc9PQ== dn: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org objectClass: top objectClass: groupOfUniqueNames objectClass: uidObject cn: Group One uid: GroupOne uniqueMember: uid=TestUserOne,ou=users,dc=group-to-principal,dc=example,dc=org dn: uid=GroupFive,ou=subgroups,ou=groups,dc=group-to-principal,dc=example,dc=org objectClass: top objectClass: groupOfUniqueNames objectClass: uidObject cn: Group Five uid: GroupFive uniqueMember: uid=TestUserFive,ou=users,dc=group-to-principal,dc=example,dc=org uniqueMember: uid=GroupOne,ou=groups,dc=group-to-principal,dc=example,dc=org
Recherche de groupe standard
<group-search group-name="..." iterative="..." group-dn-attribute="..." group-name-attribute="..." > ... </group-search>
group-name
: cet attribut est utilisé pour indiquer le formulaire qui doit être utilisé pour le nom de groupe retourné comme liste de groupes dont l'utilisateur est membre, cela peut être sous la simple forme de nom du groupe ou le nom unique du groupe, si le nom unique est nécessaire, cet attribut peut être défini àDISTINGUISHED_NAME
. Valeur par défautSIMPLE
.itérative
: cet attribut est utilisé pour indiquer si après avoir identifié les groupes qui appartiennent à un utilisateur, on doit rechercher également de manière itérative basée sur les groupes afin d'identifier quels groupes appartiennent à quels groupes. Si la recherche itérative est activée, nous continuons jusqu'à ce que nous rejoignions un groupe qui ne soit pas membre si aucun autre groupe ou cycle est détecté. Par défaut,false
.
Important
group-dn-attribute
: sur une entrée pour un groupe dont l'attribut est son nom unique. La valeur par défaut estdn
.group-name-attribute
: sur une entrée pour un groupe dont l'attribut est son simple nom. La valeur par défautuid
.
Exemple 11.3. Configuration d'exemple de Principal à Groupe
memberOf
de l'utilisateur.
<authorization> <ldap connection="LocalLdap"> <username-to-dn> <username-filter base-dn="ou=users,dc=principal-to-group,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" /> </username-to-dn> <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid"> <principal-to-group group-attribute="memberOf" /> </group-search> </ldap> </authorization>
principal-to-group
a été ajouté avec un seul attribut.
group-attribute
: le nom de l'attribut sur l'entrée d'utilisateur qui correspond au nom unique du groupe qui appartient à l'utilisateur. La valeur par défautmemberOf
.
Exemple 11.4. Configuration d'exemple de Groupe à Principal
<authorization> <ldap connection="LocalLdap"> <username-to-dn> <username-filter base-dn="ou=users,dc=group-to-principal,dc=example,dc=org" recursive="false" attribute="uid" user-dn-attribute="dn" /> </username-to-dn> <group-search group-name="SIMPLE" iterative="true" group-dn-attribute="dn" group-name-attribute="uid"> <group-to-principal base-dn="ou=groups,dc=group-to-principal,dc=example,dc=org" recursive="true" search-by="DISTINGUISHED_NAME"> <membership-filter principal-attribute="uniqueMember" /> </group-to-principal> </group-search> </ldap> </authorization>
group-to-principal
est ajouté ici. Cet élément est utilisé pour définir comment les recherches de groupes qui référencent l'entrée de l'utilisateur seront exécutées. Les attributs suivants sont définis :
base-dn
: le nom unique du contexte à utiliser pour commencer la recherche.recursive
: indique si les sous-contextes peuvent également être recherchés. La valeur par défaut estfalse
.search-by
: Le forme du nom de rôle utilisé dans les recherches. Valeurs validesSIMPLE
etDISTINGUISHED_NAME
. Valeur par défautDISTINGUISHED_NAME
.
principal-attribute
: le nom de l'attribut d'entrée de groupe qui référence l'entrée utilisateur. La valeur par défaut estmember
.
11.9.8. Scoped Rôles
- Un nom unique.
- Qui correspond aux rôles standards sur lesquels il est basé.
- S'il s'applique au Groupes de serveurs ou aux Hôtes
- La liste des groupes de serveurs ou hôtes auxquels il est limité.
- Si tous les utilisateurs sont inclus automatiquement. La valeur par défaut sera false.
- Rôles Host-scoped
- Un rôle non host-scoped limite les permissions de ce rôle à un ou plusieurs hôtes. Cela signifie que l'accès est donné aux arborescences de ressources
/host=*/
qui conviennent, mais les ressources spécifiques à d'autres hôtes sont cachées. - Rôles Server-Group-scoped
- Un rôle server-group-scoped limite les permissions de ce rôle à un ou plusieurs groupes de serveurs. De plus, les permissions de rôle seront appliquées également au profil, groupe de liaison de socket, config du serveur et aux ressources de serveur qui sont associées avec les groupes de serveur spécifiés. Toutes les ressources secondaires à l'intérieur qui ne sont pas liées de manière logique au groupe de serveurs ne seront pas visibles par l'utilisateur.
11.9.9. Création de Rôles scoped
- Connectez-vous à la console de gestion
- Cliquer sur l'onglet Administration
- Étendre l'élément Contrôle d'accès sur la gauche et sélectionner Attribution de rôles.
- Sélectionner l'onglet ROLES, puis l'onglet Scoped roles à l'intérieur.
Figure 11.7. Configuration des Scoped roles dans la Console de gestion.
Procédure 11.22. Ajouter un Nouveau Scoped role
- Connectez-vous à la console de gestion
- Naviguez vers la partie Scoped roles de l'onglet Rôles.
- Cliquer sur le bouton Ajouter. La boîte de dialogues Ajouter apparaîtra.
Figure 11.8. Ajouter la boite de dialogues Scoped role.
- Indiquer les détails suivants :
- Name, le nom unique du nouveau scoped role.
- Base Role, le rôle sur lequel ce rôle basera sa permission.
- Type, indique si ce rôle sera limité à des hôtes ou groupes de serveurs.
- Scope, la liste d'hôtes ou de groupes de serveurs auxquels le rôle est limité. Vous pouvez sélectionner plusieurs entrées.
- Include All, indique si le rôle doit automatiquement inclure tous les utilisateurs. La valeur par défaut est non.
- Cliquer sur le bouton de Sauvegarde. La boîte de dialogue se fermera et le rôle nouvellement créé apparaîtra dans le tableau.
Procédure 11.23. Modifier un Scoped Role.
- Connectez-vous à la console de gestion
- Naviguer dans la partie Scoped roles de l'onglet Rôles.
- Cliquer sur le scoped role que vous souhaitez modifier dans le tableau. Les détails de ce rôle apparaissent dans le Panneau de sélection qui se trouve sous le tableau.
Figure 11.9. Rôle sélectionné.
- Cliquer sur le lien Modifier du Panneau de sélection. Le panneau de sélection passera alors en mode d'édition.
Figure 11.10. Panneau de sélection en Mode édition.
- Mettre à jour les informations que vous souhaitez modifier et cliquer sur le bouton Sauvegarde. Le Panneau de sélection retourne à son état précédent. Le panneau de sélection et le tableau afficheront les informations nouvellement mises à jour.
Procédure 11.24. Afficher les membres scoped role
- Connectez-vous à la console de gestion
- Naviguer dans la partie Scoped roles de l'onglet Rôles.
- Cliquer sur le scoped role du tableau dont vous souhaitez voir les membres, puis cliquer sur le bouton Membres. La boîte de dialogue Rôles de membres apparaîtra. Elle nous affichera les utilisateurs et les groupes qui sont inclus ou exclus du rôle.
Figure 11.11. Dialogue Appartenance à un rôle
- Cliquer sur le bouton Terminé quand vous aurez fini de consulter cette information.
Procédure 11.25. Supprimer un Scoped Role.
Important
- Connectez-vous à la console de gestion
- Naviguer dans la partie Scoped roles de l'onglet Rôles.
- Sélectionner le scoped role à supprimer du tableau.
- Cliquer sur le bouton Suppression. La boîte de dialogue Suppression Scoped Role apparaîtra.
- Cliquer sur le bouton Confirmer. La boîte de dialogue se fermera et le rôle sera supprimé.
11.10. Configurer les contraintes
11.10.1. Configurer les contraintes de sensibilité
/core-service=management/access=authorization/constraint=sensitivity-classification
.
classification
. Les classifications sont ensuite regroupées en types
. Il existe 39 catégories incluses qui sont regroupées en 13 types.
write-attribut
permet de paramétrer les attributs configured-requires-read
, configured-requires-write
, ou configured-requires-addressable
. Pour rendre ce type d'opération sensible, définir la valeur de l'attribut à true
, sinon, pour le rendre non sensible, le définir à la valeur false
. Par défaut, ces attributs ne sont pas définis et les valeurs default-requires-read
, default-requires-write
, et default-requires-addressable
seront utilisées. Une fois que l'attribut est configuré, ce sera cette valeur qui sera utilisée à la place de la valeur par défaut. Impossible de modifier les valeurs par défaut.
Exemple 11.5. Comment rendre les propriétés système des opérations sensibles.
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property [domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 classification=system-property] :read-resource { "outcome" => "success", "result" => { "configured-requires-addressable" => undefined, "configured-requires-read" => true, "configured-requires-write" => undefined, "default-requires-addressable" => false, "default-requires-read" => false, "default-requires-write" => true, "applies-to" => { "/host=master/system-property=*" => undefined, "/host=master/core-service=platform-mbean/type=runtime" => undefined, "/server-group=*/system-property=*" => undefined, "/host=master/server-config=*/system-property=*" => undefined, "/host=master" => undefined, "/system-property=*" => undefined, "/" => undefined } } } [domain@localhost:9999 classification=system-property]
Tableau 11.2. Résultats des configurations de contraintes de sensibilité
Valeur | requires-read | requires-write | requires-addressable |
---|---|---|---|
true
|
L'opération lecture est sensible.
Seuls les rôles Auditeur, Administrateur, ou SuperUtilisateur peuvent lire.
|
L'opération écriture est sensible.
Seuls les Administrateurs et les SuperUtilisateurs peuvent écrire.
|
L'opération Adressage est sensible.
Seuls les rôles Auditeur, Administrateur, ou SuperUtilisateur peuvent adresser.
|
false
|
L'opération lecture n'est pas sensible.
Tous les utilisateurs de gestion peuvent lire.
|
L'opération écriture n'est pas sensible.
Seuls les rôles Mainteneur, Administrateur, ou SuperUtilisateur peuvent écrire. Les Déployeurs peuvent également écrire la ressource dans une ressource d'applications.
|
L'opération Adressage n'est pas sensible.
Tous les utilisateurs de gestion peuvent adresser.
|
11.10.2. Configurer les contraintes des ressources d'applications
/core-service=management/access=authorization/constraint=application-classification/
.
classification
. Les classifications sont ensuite regroupées en types
. Il existe 14 catégories incluses qui sont regroupées en 8 types. Chaque classification comporte un élément applies-to
qui correspond à une liste de modèles de chemins d'accès de ressources auxquels s'applique la configuration de la classification.
core
. Core inclut des déploiements, des superpositions de déploiement et des opérations de déploiement.
write-attribute
permet de définir l'attribut configured-application attribute
de la classification sur true
. Pour désactiver une ressource d'application, définir cet attribut sur false
. Par défaut, ces attributs ne sont pas définis et la valeur default-application attribute
sera utilisée. La valeur par défaut ne peut pas être changée
Exemple 11.6. Activer la classification des ressources d'application logger-profile
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=application-classification/type=logging/classification=logging-profile [domain@localhost:9999 classification=logging-profile] :write-attribute(name=configured-application, value=true) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 classification=logging-profile] :read-resource { "outcome" => "success", "result" => { "configured-application" => true, "default-application" => false, "applies-to" => {"/profile=*/subsystem=logging/logging-profile=*" => undefined} } } [domain@localhost:9999 classification=logging-profile]
Important
11.10.3. Configuration de contraintes d'expressions d'archivage sécurisé
/core-service=management/access=authorization/constraint=vault-expression
.
write-attribute
pour définir les attributs de configured-requires-write
et configured-requires-read
à true
ou false
. Par défaut, celles-ci ne sont pas définies et les valeurs default-requires-read
et default-requires-write
sont utilisées. Impossible de modifier les valeurs par défaut.
Exemple 11.7. Comment rendre l'écriture d'expressions d'archivage une opération non sensible
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=vault-expression [domain@localhost:9999 constraint=vault-expression] :write-attribute(name=configured-requires-write, value=false) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 constraint=vault-expression] :read-resource { "outcome" => "success", "result" => { "configured-requires-read" => undefined, "configured-requires-write" => false, "default-requires-read" => true, "default-requires-write" => true } } [domain@localhost:9999 constraint=vault-expression]
Tableau 11.3. Résultats des configurations de contraintes d'expressions d'archivage sécurisé
Valeur | requires-read | requires-write |
---|---|---|
true
|
L'opération lecture est sensible.
Seuls les rôles Auditeur, Administrateur, ou SuperUtilisateur peuvent lire.
|
L'opération écriture est sensible.
Seuls les Administrateurs et les SuperUtilisateurs peuvent écrire.
|
false
|
L'opération lecture n'est pas sensible.
Tous les utilisateurs de gestion peuvent lire.
|
L'opération écriture n'est pas sensible.
Les rôles Moniteur, Administrateur, ou SuperUtilisateur peuvent écrire. Les Déployeurs peuvent également écrire si l'expression d'archivage de sécurité est dans une ressource d'applications.
|
11.11. Références de contraintes
11.11.1. Références de contraintes des ressources d'applications
Type: core
- Classification: deployment-overlay
- default: true
CHEMIN Attributs Opérations /deployment-overlay=*/deployment=*/upload-deployment-stream, full-replace-deployment, upload-deployment-url, upload-deployment-bytes
Type: datasources
- Classification: datasource
- default: false
CHEMIN Attributs Opérations /deployment=*/subdeployment=*/subsystem=datasources/data-source=*/subsystem=datasources/data-source=*/subsystem=datasources/data-source=ExampleDS/deployment=*/subsystem=datasources/data-source=*
- Classification: jdbc-driver
- default: false
CHEMIN Attributs Opérations /subsystem=datasources/jdbc-driver=*
- Classification: xa-data-source
- default: false
CHEMIN Attributs Opérations /subsystem=datasources/xa-data-source=*/deployment=*/subsystem=datasources/xa-data-source=*/deployment=*/subdeployment=*/subsystem=datasources/xa-data-source=*
Type: logging
- Classification: logger
- default: false
CHEMIN Attributs Opérations /subsystem=logging/logger=*/subsystem=logging/logging-profile=*/logger=*
- Classification: logging-profile
- default: false
CHEMIN Attributs Opérations /subsystem=logging/logging-profile=*
Type: mail
- Classification: mail-session
- default: false
CHEMIN Attributs Opérations /subsystem=mail/mail-session=*
Type: naming
- Classification: binding
- default: false
CHEMIN Attributs Opérations /subsystem=naming/binding=*
Type: resource-adapters
- Classification: resource-adapters
- default: false
CHEMIN Attributs Opérations /subsystem=resource-adapters/resource-adapter=*
Type: security
- Classification: security-domain
- default: false
CHEMIN Attributs Opérations /subsystem=security/security-domain=*
11.11.2. Références de contraintes de sensibilité
Type: core
- Classification: access-control
- requires-addressable: true
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /core-service=management/access=authorization/subsystem=jmxnon-core-mbean-sensitivity
- Classification: credential
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=mail/mail-session=*/server=pop3username , password/subsystem=mail/mail-session=*/server=imapnom d'utilisateur, mot de passe/subsystem=datasources/xa-data-source=*user-name, recovery-username, password, recovery-password/subsystem=mail/mail-session=*/custom=*nom d'utilisateur, mot de passe/subsystem=datasources/data-source=*"Nom d'utilisateur, mot de passe/subsystem=remoting/remote-outbound-connection=*"nom d'utilisateur/subsystem=mail/mail-session=*/server=smtpusername , password/subsystem=web/connector=*/configuration=sslkey-alias, password/subsystem=resource-adapters/resource-adapter=*/connection-definitions=*"recovery-username, recovery-password
- Classification: domain-controller
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations
- Classification: domain-names
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations
- Classification: extensions
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /extension=*
- Classification: jvm
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=platform-mbean/type=runtimeinput-arguments, boot-class-path, class-path, boot-class-path-supported, library-path
- Classification: management-interfaces
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=management/management-interface=native-interface/core-service=management/management-interface=http-interface
- Classification: module-loading
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=module-loading
- Classification: patching
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=patching/addon=*/core-service=patching/layer=*"/core-service=patching
- Classification: read-whole-config
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /read-config-as-xml
- Classification: security-domain
- requires-addressable: true
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=security/security-domain=*
- Classification: security-domain-ref
- requires-addressable: true
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=datasources/xa-data-source=*security-domain/subsystem=datasources/data-source=*security-domain/subsystem=ejb3default-security-domain/subsystem=resource-adapters/resource-adapter=*/connection-definitions=*security-domain, recovery-security-domain, security-application, security-domain-and-application
- Classification: security-realm
- requires-addressable: true
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /core-service=management/security-realm=*
- Classification: security-realm-ref
- requires-addressable: true
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=remoting/connector=*security-realm/core-service=management/management-interface=native-interfacesecurity-realm/core-service=management/management-interface=http-interfacesecurity-realm/subsystem=remoting/remote-outbound-connection=*security-realm
- Classification: security-vault
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=vault
- Classification: service-container
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=service-container
- Classification: snapshots
- requires-addressable: false
- requires-read: false
- requires-write: false
CHEMIN attributs opérations /take-snapshot, list-snapshots, delete-snapshot
- Classification: socket-binding-ref
- requires-addressable: false
- requires-read: false
- requires-write: false
CHEMIN attributs opérations /subsystem=mail/mail-session=*/server=pop3outbound-socket-binding-ref/subsystem=mail/mail-session=*/server=imapoutbound-socket-binding-ref/subsystem=remoting/connector=*socket-binding/subsystem=web/connector=*socket-binding/subsystem=remoting/local-outbound-connection=*outbound-socket-binding-ref/socket-binding-group=*/local-destination-outbound-socket-binding=*socket-binding-ref/subsystem=remoting/remote-outbound-connection=*outbound-socket-binding-ref/subsystem=mail/mail-session=*/server=smtpoutbound-socket-binding-ref/subsystem=transactionsprocess-id-socket-binding, status-socket-binding, socket-binding
- Classification: socket-config
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /interface=*resolve-internet-address/core-service=management/management-interface=native-interfaceport, interface, socket-binding/socket-binding-group=*/core-service=management/management-interface=http-interfaceport, secure-port, interface, secure-socket-binding, socket-binding/resolve-internet-address/subsystem=transactionsprocess-id-socket-max-ports
- Classification: system-property
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /core-service=platform-mbean/type=runtimesystem-properties/system-property=*/resolve-expression
Type: datasources
- Classification: data-source-security
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=datasources/xa-data-source=*user-name, security-domain, password/subsystem=datasources/data-source=*user-name, security-domain, password
Type: jdr
- Classification: jdr
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /subsystem=jdrgenerate-jdr-report
Type: jmx
- Classification: jmx
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /subsystem=jmx
Type: mail
- Classification: mail-server-security
- requires-addressable: false
- requires-read: false
- requires-write: true
CHEMIN attributs opérations /subsystem=mail/mail-session=*/server=pop3username, tls, ssl, password/subsystem=mail/mail-session=*/server=imapusername, tls, ssl, password/subsystem=mail/mail-session=*/custom=*username, tls, ssl, password/subsystem=mail/mail-session=*/server=smtpusername, tls, ssl, password
Type: naming
- Classification: jndi-view
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=namingjndi-view
- Classification: naming-binding
- requires-addressable: false
- requires-read: false
- requires-write: false
CHEMIN attributs opérations /subsystem=naming/binding=*
Type: remoting
- Classification: remoting-security
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=remoting/connector=*authentication-provider, security-realm/subsystem=remoting/remote-outbound-connection=*username, security-realm/subsystem=remoting/connector=*/security=sasl
Type: resource-adapters
- Classification: resource-adapter-security
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=resource-adapters/resource-adapter=*/connection-definitions=*security-domain, recovery-username, recovery-security-domain, security-application, security-domain-and-application, recovery-password
Type: security
- Classification: misc-security
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=securitydeep-copy-subject-mode
Type: web
- Classification: web-access-log
- requires-addressable: false
- requires-read: false
- requires-write: false
CHEMIN attributs opérations /subsystem=web/virtual-server=*/configuration=access-log
- Classification: web-connector
- requires-addressable: false
- requires-read: false
- requires-write: false
CHEMIN attributs opérations /subsystem=web/connector=*
- Classification: web-ssl
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=web/connector=*/configuration=ssl
- Classification: web-sso
- requires-addressable: false
- requires-read: true
- requires-write: true
CHEMIN attributs opérations /subsystem=web/virtual-server=*/configuration=sso
- Classification: web-valve
- requires-addressable: false
- requires-read: false
- requires-write: false
CHEMIN attributs opérations /subsystem=web/valve=*
Chapitre 12. Configuration de sous-système de transaction
12.1. Transactions JTS
12.1.1. Configurer l'ORB pour les transactions JTS
Note
full
et full-ha
uniquement. Dans un serveur autonome, il est disponible uniquement quand vous utilisez les configurations standalone-full.xml
ou standalone-full-ha.xml
.
Procédure 12.1. Configurer l'ORB par la Console de gestion
Voir les paramètres de configuration du profil.
Sélectionnez Profiles (domaine géré) ou Profile (serveur autonome) dans la partie supérieure droite de la console de gestion. Si vous utilisez un domaine géré, sélectionnez soit le profil full ou full-ha à partir de la boîte de dialogue de sélection en haut à gauche.Modifier les paramètres d' Initializers
Étendre le menu Subsystems (sous-systèmes) sur la gauche, si nécessaire. Étendre le sous-menu Container et cliquer sur JacORB.Sur le formulaire qui apparaît sur l'écran principal, sélectionner l'onglet Initializers, et cliquer sur le bouton Edit (modifier).Activer les intercepteurs de sécurité en configurant la valeur de Security àon
.Pour activer ORB sur JTS, définir la valeur des Transaction Interceptors àon
, au lieu de la valeur par défautspec
.Voir le lien Need Help? sur le formulaire pour accéder à des explications sur ces valeurs. Cliquer sur Save quand vous aurez fini de modifier les valeurs.Configuration ORB avancée
Voir les autres sections du formulaire pour les options de configuration avancées. Chaque section inclut un lien Need Help? avec des informations détaillées sur les paramètres.
Vous pouvez configurer chaque aspect de l'ORB à l'aide du Management CLI. Les commandes suivantes configurent les initialiseurs aux mêmes valeurs que celles de la procédure ci-dessus, pour la Console de gestion. Il s'agit de la configuration minimale pour l'ORB, si utilisé avec JTS.
/profile=full
des commandes.
Exemple 12.1. Activer les intercepteurs de sécurité
/profile=full/subsystem=jacorb/:write-attribute(name=security,value=on)
Exemple 12.2. Activer l'ORB pour JTS
/profile=full/subsystem=jacorb/:write-attribute(name=transactions,value=on)
Exemple 12.3. Activer les transactions dans le sous-système JacORB
/profile=full/subsystem=jacorb/:write-attribute(name=transactions,value=on)
Exemple 12.4. Activer JTS dans le sous-système de transactions
/subsystem=transactions:write-attribute(name=jts,value=true)
12.1.2. Configuration JMS
12.1.2.1. Référence pour les attributs de configuration d'HornetQ
read-resource
.
Exemple 12.5. Exemple
[standalone@localhost:9999 /] /subsystem=messaging/hornetq-server=default:read-resource
Tableau 12.1. Attributs HornetQ
Attribut | Exemple de valeur | Type |
---|---|---|
allow-failback | true | BOOLÉEN |
async-connection-execution-enabled | true | BOOLÉEN |
backup | false | BOOLÉEN |
cluster-password | somethingsecure | STRING |
mask-password | true | BOOLÉEN |
cluster-user | HORNETQ.CLUSTER.ADMIN.USER | STRING |
clustered | false | BOOLÉEN |
connection-ttl-override | -1 | LONG |
create-bindings-dir | true | BOOLÉEN |
create-journal-dir | true | BOOLÉEN |
failback-delay | 5000 | LONG |
failover-on-shutdown | false | BOOLÉEN |
id-cache-size | 2000 | INT |
jmx-domain | org.hornetq | STRING |
jmx-management-enabled | false | BOOLÉEN |
journal-buffer-size | 100 | LONG |
journal-buffer-timeout | 100 | LONG |
journal-compact-min-files | 10 | INT |
journal-compact-percentage | 30 | INT |
journal-file-size | 102400 | LONG |
journal-max-io | 1 | INT |
journal-min-files | 2 | INT |
journal-sync-non-transactional | true | BOOLÉEN |
journal-sync-transactional | true | BOOLÉEN |
journal-type | ASYNCIO | STRING |
live-connector-ref | référence | STRING |
log-journal-write-rate | false | BOOLÉEN |
management-address | jms.queue.hornetq.management | STRING |
management-notification-address | hornetq.notifications | STRING |
memory-measure-interval | -1 | LONG |
memory-warning-threshold | 25 | INT |
message-counter-enabled | false | BOOLÉEN |
message-counter-max-day-history | 10 | INT |
message-counter-sample-period | 10000 | LONG |
message-expiry-scan-period | 30000 | LONG |
message-expiry-thread-priority | 3 | INT |
page-max-concurrent-io | 5 | INT |
perf-blast-pages | -1 | INT |
persist-delivery-count-before-delivery | false | BOOLÉEN |
persist-id-cache | true | BOOLÉEN |
persistence-enabled | true | BOOLÉEN |
remoting-interceptors | Non défini | LIST |
run-sync-speed-test | false | BOOLÉEN |
scheduled-thread-pool-max-size | 5 | INT |
security-domain | autre | STRING |
security-enabled | true | BOOLÉEN |
security-invalidation-interval | 10000 | LONG |
server-dump-interval | -1 | LONG |
shared-store | true | BOOLÉEN |
started | true | BOOLÉEN |
thread-pool-max-size | 30 | INT |
transaction-timeout | 300000 | LONG |
transaction-timeout-scan-period | 1000 | LONG |
version | 2.2.16.Final (HQ_2_2_16_FINAL, 122) | STRING |
wild-card-routing-enabled | true | BOOLÉEN |
Avertissement
journal-file-size
doit être plus élevée que celle de la taille du message envoyé au serveur, ou bien le serveur ne pourra pas stocker le message.
Chapitre 13. Web, Connecteurs HTTP, et HTTP Clustering
13.1. Configurer un mod_cluster Worker Node
Un mod_cluster Worker Node est un serveur de JBoss EAP 6. Ce serveur peut faire partie d'un groupe de serveurs d'un Domaine géré, ou d'un serveur autonome. Dans JBoss Enterprise Application Platform, il y a un processus séparé qui gère tous les noeuds du cluster. Il s'agit du master. Pour plus d'informations conceptuelles sur les worker nodes, voir Worker Node dans le guide Red Hat JBoss EAP 6.1 Administration and Configuration Guide. Pour obtenir des informations sur l'équilibrage des charges HTTPD, voir Overview of HTTP Connectors dans le guide Administration and Configuration Guide.
mod_cluster
. Pour configurer le sous-système mod_cluster
, reportez-vous à Configure the mod_cluster Subsystem dans Administration and Configuration Guide. Chaque nœud du travailleur est configuré séparément, alors répétez cette procédure pour chaque nœud que vous souhaitez ajouter au cluster.
Configuration d'un noeud de worker
- Si vous utilisez un serveur autonome, il devra être démarré par le profile
standalone-ha
. - Si vous utilisez un domaine géré, votre groupe de serveurs devra utiliser le profil
ha
oufull-ha
, et le groupe de liaisons de socketsha-sockets
oufull-ha-sockets
. JBoss EAP 6 est fourni avec un groupe de serveurs à clusterisation activée, nomméother-server-group
qui remplit ces prérequis.
Note
/profile=full-ha
des commandes.
Procédure 13.1. Configurer un noeud de worker
Configurer les interfaces de réseau
Les interfaces de réseau ont toutes la valeur127.0.0.1
par défaut. Chaque hôte physique, qui accueille un serveur autonome ou bien un ou plusieurs serveurs au sein d'un groupe de serveurs, a besoin de ses interfaces configurées pour utiliser son adresse IP, que les autres serveurs peuvent apercevoir.Pour changer l'adresse IP d'un hôte de JBoss EAP 6, vous devrez le fermer et modifier son fichier de configuration directement. C'est parce que l'API de gestion qui actionne la Console de gestion et le Management CLI se fie à une adresse de gestion stable.Suivez ces étapes pour changer l'adresse IP sur chaque serveur de votre cluster en votre adresse IP publique de master.- Fermer le serveur complètement.
- Modifier soit
host.xml
, qui se trouve dansEAP_HOME/domain/configuration/
pour un domaine géré, ou bien le fichierstandalone-ha.xml
, qui se trouve dansEAP_HOME/standalone/configuration/
pour un serveur autonome. - Chercher l'élément
<interfaces>
. Il y a trois interfaces configurées. Ces interfaces sontmanagement
,public
, etunsecured
. Pour chacune d'entre elles, changer la valeur127.0.0.1
à l'adresse IP externe de l'hôte. - Pour les hôtes qui participent à un domaine géré, mais qui ne sont pas master, localiser l'élément
<host
. Notez qu'il n'a pas de symbole de fermeture>
, car il contient des attributs. Modifiez la valeur de son nom d'attributmaster
par un nom unique, avec un nom différent par esclave. Ce nom servira aussi à l'esclave pour identifier au cluster, donc notez bien ceci. - Pour les hôtes nouvellement configurés qui ont besoin de rejoindre un domaine géré, chercher l'élément
<domain-controller>
. Dé-commenter ou supprimer l'élément<local />
, et ajouter la ligne suivante, en changeant l'adresse IP (X.X.X.X
) par l'adresse du contrôleur de domaine. Cette étape ne s'applique pas à un serveur autonome.<remote host="X.X.X.X" port="${jboss.domain.master.port:9999}" security-realm="ManagementRealm"/>
- Sauvegarder le fichier et sortir.
Configurer l'authentification pour chaque serveur esclave.
Chaque serveur esclave a besoin d'un nom d'utilisateur et d'un mot de passe créé dans leManagementRealm
du contrôleur de domaine ou du master autonome. Sur le contrôleur de domaine ou sur le master autonome, exécutez la commandeEAP_HOME/bin/add-user.sh
. Ajouter un utilisateur avec le même nom d'utilisateur comme esclave, auManagementRealm
. Quand on vous demandera si cet utilisateur doit s'authentifier auprès d'une instance de JBoss AS externe, répondezOui
. Vous trouverez un exemple de l'entrée et de la sortie de la commande ci-dessous, pour un esclave appeléslave1
, et un mot de passechangeme
.user:bin user$ ./add-user.sh What type of user do you wish to add? a) Management User (mgmt-users.properties) b) Application User (application-users.properties) (a):
a
Enter the details of the new user to add. Realm (ManagementRealm) : Username :slave1
Password :changeme
Re-enter Password :changeme
About to add user 'slave1' for realm 'ManagementRealm' Is this correct yes/no?yes
Added user 'slave1' to file '/home/user/jboss-eap-6.0/standalone/configuration/mgmt-users.properties' Added user 'slave1' to file '/home/user/jboss-eap-6.0/domain/configuration/mgmt-users.properties' Is this new user going to be used for one AS process to connect to another AS process e.g. slave domain controller? yes/no? yes To represent the user add the following to the server-identities definition <secret value="Y2hhbmdlbWU=" />Copier l'élément codé-Base64
<secret>
à partir de la sortieadd-user.sh
.Si vous prévoyez de spécifier un mot de passe codé Base64 pour l'authentification, copier l'élément<secret>
à partir de la dernière ligne de la sortieadd-user.sh
car vous en aurez besoin à l'étape suivante.Modifier le domaine de sécurité de l'hôte esclave pour la nouvelle authentification.
- Réouvrir le fichier
host.xml
oustandalone-ha.xml
de l'hôte esclave. - Chercher l'élément
<security-realms>
. C'est là où vous pourrez configurer le domaine de sécurité. - Vous pourrez spécifier la valeur secrète d'une des manières suivantes :
Spécifier le mot de passe codé Base64 dans le fichier de configuration.
- Ajouter le bloc suivant de code XML sous la ligne
<security-realm name="ManagementRealm">
,<server-identities> <secret value="Y2hhbmdlbWU="/> </server-identities>
- Remplacer "Y2hhbmdlbWU=" par la valeur secrète retournée de la sortie
add-user.sh
lors de l'étape précédente.
Configurer l'hôte pour obtenir un mot de passe de l'archivage sécurisé.
- Utiliser le script
vault.sh
pour générer un mot de passe masqué. Cela va créer un string qui ressemblera à ceci :VAULT::secret::password::ODVmYmJjNGMtZDU2ZC00YmNlLWE4ODMtZjQ1NWNmNDU4ZDc1TElORV9CUkVBS3ZhdWx0
.Vous pourrez trouver plus d'informations sur l'archivage sécurisé dans Password Vaults de la section Sensitive Strings de ce guide, ici : Section 10.11.1, « Sécurisation des chaînes confidentielles des fichiers en texte clair ». - Ajouter le bloc de code XML suivant directement sous la ligne
<security-realm name="ManagementRealm">
.<server-identities> <secret value="${VAULT::secret::password::ODVmYmJjNGMtZDU2ZC00YmNlLWE4ODMtZjQ1NWNmNDU4ZDc1TElORV9CUkVBS3ZhdWx0}"/> </server-identities>
Veillez à remplacer la valeur secrète par le mot de passe masqué généré lors de l'étape précédente.Note
Quand vous créez un mot de passe dans l'archivage sécurisé, celui-ci devra être spécifié en texte brut, et non pas codé Base64.
Spécifier le mot de passe en tant que propriété système.
- Ajouter le bloc de code XML suivant sous la ligne
<security-realm name="ManagementRealm">
<server-identities> <secret value="${server.identity.password}"/> </server-identities>
- Quand vous spécifiez le mot de passe en tant que propriété système, vous pouvez configurer l'hôte d'une des manières suivantes :
- Démarrer le serveur en saisissant le mot de passe en texte brut comme argument de ligne de commande, comme par exemple :
-Dserver.identity.password=changeme
Note
Le mot de passe doit être saisi en texte brut et sera visible par quiconque lance la commandeps -ef
. - Mettez le mot de passe dans un fichier de propriétés et passer l'URL du fichier de propriétés sous forme d'argument de ligne de commande.
- Ajouter la paire clé/valeur à un fichier de propriétés. Par exemple :
server.identity.password=changeme
- Démarrer le serveur par les arguments de ligne de commande
--properties=URL_TO_PROPERTIES_FILE
.
- Sauvegarder et sortir du fichier.
Redémarrer le serveur.
L'esclave va maintenant authentifier le master en utilisant son nom d'hôte comme nom d'utilisateur et le string codifié comme son mot de passe.
Votre serveur autonome, ou les serveurs au sein d'un groupe de serveurs d'un domaine géré, sont désormais configurés en tant que od_cluster Worker Node. Si vous déployez une application en cluster, ses sessions sont répliquées sur tous les nœuds de cluster de basculement, et il peut accepter les demandes provenant d'un serveur HTTPD externe ou d'un équilibreur de charge. Chaque nœud du cluster détecte les autres nœuds à l'aide de découverte automatique, par défaut. Pour configurer la détection automatique et les autres paramètres spécifiques du sous-système mod_cluster
, reportez-vous à Configure the mod_cluster Subsystem dans le guide Administration and Configuration Guide. Pour configurer le serveur Apache HTTPD, reportez-vous à Use an External HTTPD as the Web Front-end for JBoss EAP 6 Applications dans Administration and Configuration Guide.
Chapitre 14. Installation de correctif
14.1. Correctifs et Mises à jour
14.2. Mécanismes de correction
- Mises à jour asynchrônes: correctifs ponctuels publiés en dehors d'un cycle de mises à jour normal du produit existant. Ces mises à jour peuvent inclure les correctifs de sécurité, ainsi que d'autres correctifs ponctuels fournis par GSS (Red Hat Global Support Services) pour résoudre ces problèmes.
- Mises à jour prévues : comprennent les correctifs cumulatifs, ainsi que les mises à niveau mineures ou majeures d'un produit existant. Les correctifs cumulatifs incluent toutes les mises à jour asynchrones déjà développées pour cette version du produit.
Important
14.3. Abonnez-vous aux Listes de diffusion de correctifs (Patch Mailing Lists)
L'équipe JBoss de Red Hat maintient une liste de diffusion pour les annonces de sécurité pour les produits Red Hat JBoss Enterprise Middleware. Cette section couvre ce que vous devez faire pour vous abonner à cette liste.
Pré-requis
- Aucun
Procédure 14.1. Abonnez-vous à JBoss Watch List
- Cliquer sur le lien suivant pour vous rendre sur la page de la liste de diffusion JBoss Watch: JBoss Watch Mailing List.
- Saisir votre adresse email dans la section Subscribing to Jboss-watch-list.
- [Vous pourrez aussi saisir votre nom et sélectionner un mot de passe. Ceci est en option, mais recommandé.]
- Cliquer sur le bouton Subscribe pour démarrer le processus d'abonnement.
- Vous pouvez naviguer les archives de la liste de diffusion en vous rendant à : JBoss Watch Mailing List Archives.
Après la confirmation de votre adresse email, vous serez abonné aux communiqués de sécurité sur la liste de diffusion des correctifs de JBoss.
14.4. Installer des correctifs en Zip
14.4.1. La commande patch
patch
est utilisée pour appliquer des correctifs zip téléchargés dans une seule instance de serveur de JBoss EAP 6. Elle ne peut pas être utilisée pour corriger automatiquement les instances de serveur JBoss EAP 6 dans un domaine géré, mais des instances de serveur individuel peuvent être corrigées individuellement dans un domaine géré.
Important
patch
. Consultez Section 14.5, « Installer des correctifs en RPM » pour mettre à jour les serveurs JBoss EAP 6 installés via RPM.
Note
patch
ne peut être utilisée qu'avec les correctifs produits pour les versions JBoss EAP 6.2 et versions supérieures. Pour les correctifs des versions JBoss EAP antérieures à 6.2, vous devrez, à la place, consulter la documentation de la version concernée à l'adresse suivante https://access.redhat.com/site/documentation/.
patch
peut vous donner des informations de base sur l'état de correctifs installés, et peut aussi vous fournir une façon de retirer immédiatement une application de correctif.
patch
vérifiera les modules et autres fichiers divers qu'il est en train de modifier pour vérifier tout changement de la part de l'utilisateur. Si un changement utilisateur est détecté, et qu'un commutateur de gestion des conflits n'a pas été spécifié, l'outil patch
va abandonner l'opération et avertir qu'il y a un conflit. L'avertissement comprendra une liste des modules et autres fichiers qui sont en conflit. Pour terminer l'opération, la commande patch
doit être ré-exécutée avec une option (commutateur) spécifiant comment résoudre le conflit : soit pour conserver les modifications utilisateur, ou pour les substituer.
Tableau 14.1. Arguments et Options de commande patch
Argument ou Variable | Description |
---|---|
apply | Applique un correctif |
--override-all | S'il y a un conflit, l'opération de correctif va remplacer toutes les modifications utilisateur. |
--override-modules | Si le conflit résulte de la modification d'un module, cette option remplacera ces modifications par le contenu de l'opération de correctif. |
--override=path(,path) | Pour les divers fichiers spécifiés uniquement, cela remplacera les fichiers modifiés en conflit par les fichiers de l'opération de correctif. |
--preserve=path(,path) | Pour les divers fichiers spécifiés uniquement, cela préservera les fichiers modifiés en conflit. |
info | Renvoie l'information sur les correctifs actuellement installés. |
rollback | Opération de restauration suite à l'application d'un correctif. |
--reset-configuration=TRUE|FALSE | Dans le cadre d'une restauration, cela indique si on doit restaurer les fichiers de configuration du serveur. |
14.4.2. Installation des correctifs sous forme zip par la commande patch
Cette tâche décrit la façon d'utiliser la commande patch
pour installer des correctifs JBoss EAP 6 de format zip.
Important
patch
a été ajoutée dans la version JBoss EAP 6.2. Pour les versions JBoss EAP antérieures à 6.2, le processus de mise en place de correctifs sous la forme zip est différent, et vous devrez, à la place, consulter la documentation de la version concernée à l'adresse suivante https://access.redhat.com/site/documentation/.
Pré-requis
- Accès valide et abonnement au Portail Clients de Red Hat.
- Un abonnement en cours à un produit JBoss installé en format zip.
- Accéder au Management CLI pour l'instance de serveur à mettre à jour. Voir la section Launch the Management CLI du guide Administration and Configuration Guide.
Procédure 14.2. Appliquer un correctif zip à une instance de serveur JBoss EAP 6 par la commande patch
.
Avertissement
- Télécharger le fichier zip de correctif à partir du Portail clients à partir de https://access.redhat.com/downloads/
- Avec le Management CLI, appliquer le correctif par la commande suivante et le chemin qui convient pour le fichier de correction :
[standalone@localhost:9999 /]
patch apply /path/to/downloaded-patch.zip
L'outilpatch
avertira s'il y a conflit de tentative d'application de correctif. Consulter Section 14.4.1, « La commandepatch
» pour voir les options disponibles d'exécution à nouveau de la commande à nouveau pour résoudre les conflits. - Démarrer à nouveau l'instance de serveur JBoss EAP 6 pour que le correctif puisse prendre effet :
[standalone@localhost:9999 /]
shutdown --restart=true
L'instance de serveur JBoss EAP 6 est corrigée avec la dernière mise à jour.
14.4.3. Restauration de l'application d'un correctif sous forme zip par la commande patch
Cette tâche décrit la façon d'utiliser la commande patch
pour désinstaller une application de correctif de format zip déjà appliqué dans JBoss EAP 6.
Avertissement
patch
n'est normalement pas l'intention de cette fonctionnalité. Le but est de ne supprimer l'application d'un correctif que lorsque celui-ci a des conséquences indésirables immédiatement après son application.
Important
patch
a été ajoutée dans la version JBoss EAP 6.2. Pour les versions JBoss EAP antérieures à 6.2, le processus de suppression de correctifs sous la forme zip est différent, et vous devrez, à la place, consulter la documentation de la version concernée à l'adresse suivante https://access.redhat.com/site/documentation/.
Pré-requis
- Correctif ayant déjà été appliqué par la commande
patch
. - Accéder au Management CLI pour l'instance de serveur. Voir la section Launch the Management CLI du guide Administration and Configuration Guide.
Procédure 14.3. Retirer un correctif zip d'une instance de serveur JBoss EAP 6 par la commande patch
.
- Avec le Management CLI, appliquer la commande
patch info
pour trouver l'ID du patch à retirer.- Avec les correctifs cumulatifs, l'ID du correctif correspond à la première valeur
cumulative-patch-id
qui apparaît dans la sortiepatch info
. - Les ID de correctifs de bogues ou de sécurité sont listés comme valeur des premiers
patches
(correctifs) qui apparaissent dans la sortiepatch info
, avec le correctif spontané listé en premier.
- Avec le Management CLI, retirer le correctif avec l'ID de correctif de l'étape précédente.
Avertissement
Faîtes attention quand vous spécifiez la valeur de l'option--reset-configuration
.Si défini àTRUE
, en retirant le correctif, vous restaurerez également les fichiers de configuration du serveur JBoss EAP 6 à leur état d'avant correctif. Tout changement qui aura lieu sur les fichiers de configuration du serveur JBoss EAP 6 à la suite de ce correctif sera perdu.Si défini àFALSE
, les fichiers de configuration ne seront pas supprimés. Dans un tel cas, il est possible que le serveur ne démarre pas à nouveau après l'opération de restauration, car il y a pu avoir des altérations de configuration comme des altérations d'espace-nom, qui ne seront plus valides et qui devront être réparées manuellement.[standalone@localhost:9999 /]
patch rollback PATCH_ID --reset-configuration=TRUE
L'outilpatch
avertira s'il y a conflit lors de la tentative de suppression de correctif. Consulter Section 14.4.1, « La commandepatch
» pour voir les options disponibles d'exécution à nouveau de la commande à nouveau pour résoudre les conflits. - Démarrer à nouveau l'instance de serveur JBoss EAP 6 pour que la suppression de correctif puisse prendre effet :
[standalone@localhost:9999 /]
shutdown --restart=true
Le correctif, et parfois aussi les fichiers de configuration du serveur, sont retirés de l'instance de serveur de JBoss EAP 6.
14.5. Installer des correctifs en RPM
Les correctifs JBoss sont distribués de deux façons: ZIP (pour tous les produits) et RPM (pour un sous ensemble de produits). Cette tâche décrit les étapes à prendre pour installer les correctifs en format RPM.
Pré-requis
- Un abonnement RHN valide.
- Un abonnement en cours à un produit JBoss installé via un package RPM.
Procédure 14.4. Appliquer un patch à un produit JBoss via méthode RPM
yum
.
Avertissement
- Recevez vos notifications de correctifs de sécurité soit en tant qu'abonné de la liste de diffusion JBoss watch ou en parcourant les archives de la liste de diffusion de JBoss watch.
- Lire l'errata du correctif de sécurité et confirmer qu'elle s'applique bien à un produit JBoss de votre environnement.
- Si le correctif de sécurité s'applique à un produit JBoss de votre environnement, alors suivez le lien pour télécharger le package RPM mis à jour qui contient l'errata.
- Utilisation
pour installer le correctif.yum update
Important
Quand vous mettez une installation RPM à jour, votre produit JBoss sera mis à jour de façon cumulative avec tous les correctifs sortis-RPM.
Le produit JBoss est corrigé par la dernière mise à jour en format RPM.
14.6. Évaluation de la gravité et de l'impact des correctifs JBoss Security
Tableau 14.2. Système d'évaluation de gravité de JBoss Security Patches (Correctifs de sécurité JBoss)
Gravité | Description |
---|---|
Critique |
Ce score est donné aux failles pouvant être facilement exploitées par un attaquant non authentifié à distance et conduire à des compromis de système (exécution de code arbitraire) sans intervention de la part de l'utilisateur. Ce sont les types de vulnérabilités pouvant être exploitées par des vers informatiques. Il s'agit de failles nécessitant un utilisateur distant authentifié, un utilisateur local ou une configuration peu probable et elles ne sont pas classées comme ayant un impact critique.
|
Important |
Ce score est donné aux failles qui peuvent facilement compromettre la confidentialité, l'intégrité ou la disponibilité des ressources. Ce sont les types de vulnérabilités qui permettent à des utilisateurs locaux d'obtenir des privilèges, qui permettent à des utilisateurs distants non authentifiés d'afficher des ressources qui devraient normalement être protégées par une authentification, qui permettent à des utilisateurs authentifiés distants d'exécuter du code arbitraire, ou d'autoriser des utilisateurs locaux ou distants de causer un déni de service.
|
Modéré |
Ce score est donné aux failles qui risquent d'être plus difficiles à exploiter mais qui peuvent toujours résulter en compromis de confidentialité, d'intégrité, et disponibilité de ressources, sous certaines circonstances. Ce sont les types de vulnérabilités qui auraient pu avoir un impact critique ou un impact important, mais pouvant être moins facilement exploités selon une évaluation technique de la faille, ou qui risquent moins d'affecter les configurations.
|
Moindre |
Ce score est donné à toutes les autres questions qui ont un impact de sécurité. Ce sont les types de vulnérabilités qui semblent liées à des circonstances improbables pour pouvoir être exploitées, ou dans les cas ou l'exploitation de la faille aurait des conséquences minimes.
|
Exemple 14.1. CVSS v2 Impact Score
C:N/I:P/A:C
14.7. Gérer les mises à jour de sécurité pour les dépendances groupées à l'intérieur des Applications déployées sur JBoss EAP
Outils et Sources de données
- Listes de diffusion pour le patch JBoss
- S'abonner aux listes de diffusion de patch de JBoss vous tiendra informé au sujet des failles de sécurité qui ont été corrigées dans les produits JBoss, et vous permettra de vérifier si vos applications déployées regroupent des versions vulnérables des composants concernés.
- Page consultatif de sécurité pour les composants regroupés.
- De nombreux composants open source ont leur propre page consultative de sécurité. Par exemple, struts 2 est un composant couramment utilisé pour de nombreux problèmes de sécurité connus qui n'est pas fourni dans la distribution de JBoss EAP. Le projet struts 2 tient à jour une page consultative de sécurité en amont, qui doit être surveillée si vos applications déployées sont regroupées avec struts 2. De nombreux composants fournis commercialement maintiennent également des pages consultatives de sécurité.
- Scannez régulièrement votre applications déployées pour les vulnerabilités connues
- Il existe plusieurs outils commerciaux disponibles pour ce faire. Il y a également un outil open source appelé Victims, qui est développé par les employés de Red Hat, mais qui est livré avec aucun appui ou garantie. Victims fournit des plugins pour plusieurs outils de génération et d'intégration, qui analysent automatiquement les applications pour les regroupements connus pour leur vulnérabilité aux dépendances. Il existe des plugins Maven, Ant et Jenkins. Pour plus d'informations sur l'outil Victims, voir https://victi.ms/about.html.
See Also:
Partie III. Sécuriser des applications
Chapitre 15. Sécurité des applications
15.1. La Sécurité Applications
15.2. Activer/Désactiver un remplacement de propriété basé descripteur
Le contrôle précis du remplacement de propriété de descripteur a été introduit dans jboss-as-ee_1_1.xsd
. Cette tâche couvre les étapes requises pour configurer le remplacement de propriété basé descripteur.
Prérequis
- Démarrer l'instance de JBoss Enterprise Application Platform
- Lancer le Management CLI.
- Si défini à
true
, les remplacements de propriété sont activés. - Si défini à
false
, les remplacements de propriété sont désactivés.
Procédure 15.1. jboss-descriptor-property-replacement
jboss-descriptor-property-replacement
est utilisé pour activer ou désactiver le remplacement de propriété dans les descripteurs suivants :
jboss-ejb3.xml
jboss-app.xml
jboss-web.xml
*-jms.xml
*-ds.xml
jboss-descriptor-property-replacement
est true
.
- Avec le Management CLI, exécuter la commande suivante pour déterminer la valeur de
jboss-descriptor-property-replacement
:/subsystem=ee:read-attribute(name="jboss-descriptor-property-replacement")
- Exécuter la commande suivante pour configurer le comportement :
/subsystem=ee:write-attribute(name="jboss-descriptor-property-replacement",value=VALUE)
Procédure 15.2. spec-descriptor-property-replacement
spec-descriptor-property-replacement
est utilisé pour activer ou désactiver le remplacement de propriété dans les descripteurs suivants :
ejb-jar.xml
persistence.xml
spec-descriptor-property-replacement
est false
.
- Avec le Management CLI, exécuter la commande suivante pour confirmer la valeur de
spec-descriptor-property-replacement
:/subsystem=ee:read-attribute(name="spec-descriptor-property-replacement")
- Exécuter la commande suivante pour configurer le comportement :
/subsystem=ee:write-attribute(name="spec-descriptor-property-replacement",value=VALUE)
Les indicateurs de remplacement de propriété basé descripteur ont bien été configurés.
15.3. Sécurité Bases de données
15.3.1. Sécurité des bases de données
- Domaines de sécurité : Section 4.3.3.1, « Les domaines de sécurité ».
Exemple 15.1. Exemple de domaine de sécurité
<security> <security-domain>mySecurityDomain</security-domain> </security>
Exemple 15.2. Exemple de mots de passe
<security> <user-name>admin</user-name> <password>${VAULT::ds_ExampleDS::password::N2NhZDYzOTMtNWE0OS00ZGQ0LWE4MmEtMWNlMDMyNDdmNmI2TElORV9CUkVBS3ZhdWx0}</password> </security>
15.4. Sécurité Applications EJB
15.4.1. Identité Sécurité
15.4.1.1. L'identité de sécurité EJB
<security-identity>
qui se trouve dans la configuration de la sécurité. Il s'agit d'une référence à l'identité qu'un autre EJB doit utiliser quand il invoque des méthodes ou des composants.
<use-caller-identity>
sera présente, et dans le second cas, la balise <run-as>
sera utilisée.
15.4.1.2. Définir l'identité de sécurité d'un EJB
Exemple 15.3. Définir l'identité de sécurité d'un EJB pour que ce soit la même que celle de l'appelant
<security-identity>
.
<ejb-jar> <enterprise-beans> <session> <ejb-name>ASessionBean</ejb-name> <!-- ... --> <security-identity> <use-caller-identity/> </security-identity> </session> <!-- ... --> </enterprise-beans> </ejb-jar>
Exemple 15.4. Définir l'idendité de sécurité d'un EJB à un rôle spécifique
<run-as>
et les balises <role-name>
dans la balise <security-identity>
.
<ejb-jar> <enterprise-beans> <session> <ejb-name>RunAsBean</ejb-name> <!-- ... --> <security-identity> <run-as> <description>A private internal role</description> <role-name>InternalRole</role-name> </run-as> </security-identity> </session> </enterprise-beans> <!-- ... --> </ejb-jar>
<run-as>
, un principal nommé anonymous
est assigné aux appels sortant. Pour assigner un autre principal, utiliser <run-as-principal>
.
<session> <ejb-name>RunAsBean</ejb-name> <security-identity> <run-as-principal>internal</run-as-principal> </security-identity> </session>
Note
<run-as>
et <run-as-principal>
à l'intérieur d'un élément de servlet.
Voir également :
15.4.2. Permissions de méthodes EJB
15.4.2.1. Permissions de méthodes EJB
<method-permisison>
. Cette déclaration définit les rôles qui sont autorisés à appeler des méthodes de l'interface EJB. Vous pouvez définir des permissions pour les combinaisons suivantes :
- Toutes les méthodes d'interface de composant ou d'accueil de l'EJB nommé
- Une méthode spécifiée d'interface de composant ou d'accueil de l'EJB nommé
- Une méthode spécifiée à l'intérieur d'un ensemble de méthodes avec un nom surchargé
15.4.2.2. Utilisation des Permissions de méthodes EJB
L'élément <method-permission>
définit les roles logiques qui peuvent accéder aux méthodes EJB définies par les éléments <method>
. Un certain nombre d'exemples expliquent la syntaxe XML. Plusieurs énoncés de method-permission peuvent être présents, et avoir un effet cumulatif. L'élément <method-permission>
est un dépendant de l'élément <assembly-descriptor>
du descripteur <ejb-jar>
.
Exemple 15.5. Permet aux rôles d'accéder à toutes les méthodes d'un EJB
<method-permission> <description>The employee and temp-employee roles may access any method of the EmployeeService bean </description> <role-name>employee</role-name> <role-name>temp-employee</role-name> <method> <ejb-name>EmployeeService</ejb-name> <method-name>*</method-name> </method> </method-permission>
Exemple 15.6. Permet aux rôles d'accéder uniquement à des méthodes spécifiques d'un EJB, et de déterminer quels paramètres de méthode peuvent être passés.
<method-permission> <description>The employee role may access the findByPrimaryKey, getEmployeeInfo, and the updateEmployeeInfo(String) method of the AcmePayroll bean </description> <role-name>employee</role-name> <method> <ejb-name>AcmePayroll</ejb-name> <method-name>findByPrimaryKey</method-name> </method> <method> <ejb-name>AcmePayroll</ejb-name> <method-name>getEmployeeInfo</method-name> </method> <method> <ejb-name>AcmePayroll</ejb-name> <method-name>updateEmployeeInfo</method-name> <method-params> <method-param>java.lang.String</method-param> </method-params> </method> </method-permission>
Exemple 15.7. Permet à n'importe quel utilisateur authentifié d'accéder aux méthodes des EJB
<unchecked/>
permet à un utilisateur authentifié d'utiliser les méthodes spécifiées.
<method-permission> <description>Any authenticated user may access any method of the EmployeeServiceHelp bean</description> <unchecked/> <method> <ejb-name>EmployeeServiceHelp</ejb-name> <method-name>*</method-name> </method> </method-permission>
Exemple 15.8. Exclut totalement certaines méthodes EJB à l'utilisation
<exclude-list> <description>No fireTheCTO methods of the EmployeeFiring bean may be used in this deployment</description> <method> <ejb-name>EmployeeFiring</ejb-name> <method-name>fireTheCTO</method-name> </method> </exclude-list>
Exemple 15.9. Un <assembly-descriptor>
complet contenant plusieurs blocs de <method-permission>
<ejb-jar> <assembly-descriptor> <method-permission> <description>The employee and temp-employee roles may access any method of the EmployeeService bean </description> <role-name>employee</role-name> <role-name>temp-employee</role-name> <method> <ejb-name>EmployeeService</ejb-name> <method-name>*</method-name> </method> </method-permission> <method-permission> <description>The employee role may access the findByPrimaryKey, getEmployeeInfo, and the updateEmployeeInfo(String) method of the AcmePayroll bean </description> <role-name>employee</role-name> <method> <ejb-name>AcmePayroll</ejb-name> <method-name>findByPrimaryKey</method-name> </method> <method> <ejb-name>AcmePayroll</ejb-name> <method-name>getEmployeeInfo</method-name> </method> <method> <ejb-name>AcmePayroll</ejb-name> <method-name>updateEmployeeInfo</method-name> <method-params> <method-param>java.lang.String</method-param> </method-params> </method> </method-permission> <method-permission> <description>The admin role may access any method of the EmployeeServiceAdmin bean </description> <role-name>admin</role-name> <method> <ejb-name>EmployeeServiceAdmin</ejb-name> <method-name>*</method-name> </method> </method-permission> <method-permission> <description>Any authenticated user may access any method of the EmployeeServiceHelp bean</description> <unchecked/> <method> <ejb-name>EmployeeServiceHelp</ejb-name> <method-name>*</method-name> </method> </method-permission> <exclude-list> <description>No fireTheCTO methods of the EmployeeFiring bean may be used in this deployment</description> <method> <ejb-name>EmployeeFiring</ejb-name> <method-name>fireTheCTO</method-name> </method> </exclude-list> </assembly-descriptor> </ejb-jar>
15.4.3. Annotations de sécurité EJB
15.4.3.1. Les annotations de sécurité EJB
- @DeclareRoles
- Déclare quels rôles sont disponibles.
- @RolesAllowed, @PermitAll, @DenyAll
- Indique quelles permissions de méthodes sont autorisées. Pour obtenir des informations sur les permissions de méthode, voir Section 15.4.2.1, « Permissions de méthodes EJB ».
- @RunAs
- Configure l'identification de sécurité propagée d'un composant.
15.4.3.2. Utilisation des annotations de sécurité EJB
Vous pouvez utiliser deux descripteurs XML ou des annotations pour contrôler quels rôles de sécurité sont en mesure d'appeler des méthodes dans votre Enterprise JavaBeans (EJB). Pour plus d'informations sur l'utilisation des descripteurs XML, reportez-vous à Section 15.4.2.2, « Utilisation des Permissions de méthodes EJB ».
Annotations pour contrôler les permissions de sécurité des EJB
- @DeclareRoles
- Utiliser @DeclareRoles pour déterminer sur quels roles de sécurité vérifier les permissions. Si aucun @DeclareRoles n'est présent, la liste sera édifié automatiquement à partir de l'annotation @RolesAllowed.
- @SecurityDomain
- Indique le domaine de sécurité à utiliser pour l'EJB. Si l'EJB est annoté pour autorisation avec
@RolesAllowed
, l'autorisation ne s'appliquera que si l'EJB est annoté par un domaine de sécurité. - @RolesAllowed, @PermitAll, @DenyAll
- Utiliser @RolesAllowed pour lister les roles autorisés pour accéder à une méthode ou à des méthodes. Utiliser @PermitAll ou @DenyAll pour permettre ou refuser à tous les roles d'utiliser une méthode ou des méthodes.
- @RunAs
- Utiliser @RunAs pour spécifier un role permanent pour une méthode.
Exemple 15.10. Exemple d'annotations de sécurité
@Stateless @RolesAllowed({"admin"}) @SecurityDomain("other") public class WelcomeEJB implements Welcome { @PermitAll public String WelcomeEveryone(String msg) { return "Welcome to " + msg; } @RunAs("tempemployee") public String GoodBye(String msg) { return "Goodbye, " + msg; } public String GoodbyeAdmin(String msg) { return "See you later, " + msg; } }
WelcomeEveryone
. La méthode GoodBye
exécute sous la forme du rôle tempemployee
pour les appels. Seul le rôle admin
peut accéder à la méthode GoodbyeAdmin
, ou à toute autre méthode sans annotation de sécurité.
15.4.4. Accès à distance aux EJB
15.4.4.1. Remote Method Access
Types de services pris en charge
- Socket / Secure Socket
- RMI / RMI sur SSL
- HTTP / HTTPS
- Servlet / Secure Servlet
- Bisocket / Secure Bisocket
Le système Remoting d'accès distant fournit également des services de marshalling et unmarshalling de données. Le marshaling de données désigne la capacité de déplacer en toute sécurité des données au-delà des limites de réseau et de la plate-forme, afin qu'un système séparé puisse effectuer des tâches dessus. Le travail est ensuite renvoyé vers le système d'origine et se comporte comme s'il avait eu lieu localement.
Lorsque vous créez une application cliente qui utilise l'accès distant Remoting, vous dirigez votre application pour qu'elle communique avec le serveur en la configurant pour qu'elle utilise un type spécial de localisateur de ressources appelé un InvokerLocator
, qui est une chaîne simple avec un format de type URL. Le serveur écoute les requêtes des ressources distantes sur un connecteur
, qui est configuré comme faisant partie du sous-système remoting
. Le connecteur
transmet la demande à un ServerInvocationHandler
configuré. Chaque ServerInvocationHandler
implémente une méthode invoke(InvocationRequest)
, qui sait comment gérer la demande.
Couches de framework JBoss Remoting
- L'utilisateur interagit avec la couche externe. Côté client, la couche externe est la classe
Client
, qui envoie des requêtes d'invocation. Côté serveur, c'est InvocationHandler, mis en œuvre par l'utilisateur, qui reçoit des demandes d'invocation. - Le transport est contrôlé par la couche d'invocateur.
- La couche inférieure contient le marshaller et le unmarshaller, qui convertit les formats de données en formats de transmission.
15.4.4.2. Remoting Callbacks
InvocationRequest
au client. Votre code côté serveur fonctionne de la même façon que le rappel soit synchrone ou asynchrone. Seul le client a besoin de connaître la différence. InvocationRequest du serveur envoie un responseObject
au client. Il s'agit de la charge utile que le client a demandé. C'est peut-être une réponse directe à une demande ou à une notification d'événement.
m_listeners
. Il contient une liste de tous les listeners qui ont été ajoutés à votre server handler. L'interface du ServerInvocationHandler
inclut des méthodes qui vous permettent de gérer cette liste.
org.jboss.remoting.InvokerCallbackHandler
, qui traite les données de callback. Après l'implémentation du callback handler, soit vous vous ajoutez vous-même, en tant que listener de «pull callback», ou bien, vous installez un serveur de callbacks pour un «push callback».
Pour un «pull callback», votre client s'ajoute à la liste du serveur des listeners à l'aide de la méthode Client.addListener()
. Ensuite, il interroge le serveur périodiquement au sujet de l'exécution synchrone des données de callback. Ce sondage est effectué à l'aide de Client.getCallbacks()
.
Un «push callback» requiert que votre application cliente exécute elle-même son propre InvocationHandler. Pour ce faire, vous devez exécuter un service Remoting sur le client lui-même. Ceci s'appelle un callback server. Le callback server accepte les requêtes entrantes de façon asynchrone et les traite pour l'auteur de la demande (dans ce cas, le serveur). Pour inscrire le callback server de votre client avec le serveur principal, passez l'argument InvokerLocator
du callback server comme deuxième argument à la méthode addListener
.
15.4.4.3. Remoting Server Detection
15.4.4.4. Configurer le sous-système de Remoting
JBoss Remoting a trois éléments configurables de niveau supérieur : le pool de worker threads, un ou plusieurs connecteurs et une série de lien URI locaux et distants. Cette rubrique propose une explication pour chaque élément configurable, des exemples de commandes CLI pour savoir comment configurer chaque élément et un exemple XML d'un sous-système entièrement configuré. Cette configuration s'applique uniquement au serveur. La plupart des gens n'auront pas à configurer le sous-système de communication à distance, sauf s'ils utilisent des connecteurs personnalisés pour leurs propres applications. Les applications qui agissent comme des clients Remoting, comme les EJB, nécessitent une configuration distincte pour se connecter à un connecteur spécifique.
Note
Les commandes CLI sont formulées pour un domaine géré, lorsque vous configurez le profil par défaut
. Pour configurer un profil différent, changez-en le nom. Pour un serveur autonome, omettre la section /profile=default
de la commande.
Il y a un certain nombre d'aspects de configuration qui sont en dehors du sous-système remoting
:
- Network Interface
- L'interface de réseau qui est utilisée par le sous-système
remoting
est l'interfaceunsecure
définie dansdomain/configuration/domain.xml
ou dansstandalone/configuration/standalone.xml
.<interfaces> <interface name="management"/> <interface name="public"/> <interface name="unsecure"/> </interfaces>
La définition par-hôte de l'interfaceunsecure
est définie danshost.xml
dans le même répertoire quedomain.xml
oustandalone.xml
. Cette interface est également utilisée par plusieurs autres sous-systèmes. Soyez vigilants quand vous la modifierez.<interfaces> <interface name="management"> <inet-address value="${jboss.bind.address.management:127.0.0.1}"/> </interface> <interface name="public"> <inet-address value="${jboss.bind.address:127.0.0.1}"/> </interface> <interface name="unsecure"> <!-- Used for IIOP sockets in the standard configuration. To secure JacORB you need to setup SSL --> <inet-address value="${jboss.bind.address.unsecure:127.0.0.1}"/> </interface> </interfaces>
- socket-binding
- La liaison-socket par défaut utilisée par le sous-système
remoting
se lie au port TCP 4777. Reportez-vous à la documentation sur les liaisons de socket et de groupes de liaison du socket pour plus d'informations si vous avez besoin de procéder à une modification. - Remoting Connector Reference pour EJB
- Le sous-système EJB contient une référence vers le connecteur à distance pour les invocations de méthodes à distance. Voici la configuration par défaut :
<remote connector-ref="remoting-connector" thread-pool-name="default"/>
- Configuration du transport sécurisé
- Les transports à distance (Remoting) utilisent StartTLS pour avoir une connexion sécurisée (HTTPS, Secure Servlet, etc.) si le client le demande. La même liaison de socket (port réseau) est utilisée pour les connexions sécurisées et non sécurisées, donc aucune configuration côté serveur supplémentaire n'est nécessaire. Le client demande le transport sécurisé ou non sécurisé, tel que le dictent ses besoins. Les composants JBoss EAP 6 qui utilisent Remoting, tels que les fournisseur JMS, EJB et ORB exigent des interfaces sécurisées par défaut.
Avertissement
Un Worker Thread Pool est un ensemble de threads qui peuvent traiter les tâches qui arrivent par les connecteurs Remoting. Il s'agit d'un seul élément <worker-thread-pool>
, et nécessite un certain nombre d'attributs. Régler ces attributs si vous avez des timeouts de réseau, ou si vous devez limiter l'utilisation de la mémoire. Les conseils varient suivant la situation dans laquelle vous vous trouvez. Contacter Red Hat Global Support Services pour obtenir davantage d'informations.
Tableau 15.1. Attributs de Worker Thread Pool
Attribut | Description | Commande CLI |
---|---|---|
read-threads |
Le nombre de read-threads à créer pour le worker à distance. La valeur par défaut est
1 .
| /profile=default/subsystem=remoting/:write-attribute(name=worker-read-threads,value=1)
|
write-threads |
Le nombre de write-threads à créer pour le worker à distance. La valeur par défaut est
1 .
| /profile=default/subsystem=remoting/:write-attribute(name=worker-write-threads,value=1)
|
task-keepalive |
Le nombre de millisecondes pour conserver les threads de tâche de workers à distance non-core vivants. La valeur par défaut est
60 .
| /profile=default/subsystem=remoting/:write-attribute(name=worker-task-keepalive,value=60)
|
task-max-threads |
Le nombre de maximum de threads pour le Worker Task Thread Pool distant. La valeur par défaut est
60 .
| /profile=default/subsystem=remoting/:write-attribute(name=worker-task-max-threads,value=16)
|
task-core-threads |
Le nombre de threads principaux pour le Worker Task Thread Pool distant. La valeur par défaut est
4 .
| /profile=default/subsystem=remoting/:write-attribute(name=worker-task-core-threads,value=4)
|
task-limit |
Le nombre de maximum de tâches de worker distantes. La valeur par défaut est
16384 .
| /profile=default/subsystem=remoting/:write-attribute(name=worker-task-limit,value=16384)
|
Le connecteur est le principal élément de configuration de Remoting (d'accès à distance). Les connecteurs multiples sont autorisés. Chacun se compose d'un élément <connector>
avec plusieurs sous-éléments, ainsi que quelques attributs possibles. Le connecteur par défaut est utilisé par plusieurs sous-systèmes de JBoss EAP 6. Des paramètres spécifiques pour les éléments et les attributs de vos connecteurs personnalisés dépendent de vos applications, donc contactez Red Hat Global Support Services pour plus d'informations.
Tableau 15.2. Attributs de connecteur
Attribut | Description | Commande CLI |
---|---|---|
socket-binding | Le nom de la liaison de socket à utiliser pour ce connecteur. | /profile=default/subsystem=remoting/connector=remoting-connector/:write-attribute(name=socket-binding,value=remoting)
|
authentication-provider |
Le module JASPIC (de l'anglais Java Authentication Service Provider Interface for Containers) à utiliser avec ce connecteur. Le module doit être dans le chemin de classes.
| /profile=default/subsystem=remoting/connector=remoting-connector/:write-attribute(name=authentication-provider,value=myProvider)
|
security-realm |
En option. Le domaine de la sécurité qui contient les utilisateurs, mots de passe et les rôles de votre application. Un EJB ou une Application Web peut authentifier sur un domaine de sécurité.
ApplicationRealm est disponible dans une installation de JBoss EAP 6 par défaut.
| /profile=default/subsystem=remoting/connector=remoting-connector/:write-attribute(name=security-realm,value=ApplicationRealm)
|
Tableau 15.3. Éléments de connecteur
Attribut | Description | Commande CLI |
---|---|---|
sasl |
Élément englobant des mécanismes d'authentification SASL (Simple Authentication and Security Layer)
| N/A
|
properties |
Contient un ou plusieurs éléments
<property> , contenant chacun un attribut name et un attribut value optionnel.
| /profile=default/subsystem=remoting/connector=remoting-connector/property=myProp/:add(value=myPropValue)
|
Vous pouvez spécifier trois types différents d'attribut de connexion sortante :
- Connexion sortante vers un URI.
- Connexion sortante locale – se connectant à une ressource locale, comme un socket.
- Connexion sortante à distance – se connectant à une ressource à distance et s'authentifiant par l'intermédiaire d'un domaine de sécurité.
<outbound-connections>
. Chacun de ces types de connexion prend un attribut outbound-socket-binding-ref
. La connexion sortante-prend un attribut uri
. La connexion sortante à prend les attributs facultatifs username
(nom d'utilisateur) et security-realm
(domaine de sécurité) à utiliser pour l'autorisation.
Tableau 15.4. Éléments de connexion sortante
Attribut | Description | Commande CLI |
---|---|---|
outbound-connection | Connexion sortante standard | /profile=default/subsystem=remoting/outbound-connection=my-connection/:add(uri=http://my-connection)
|
local-outbound-connection | Connexion sortante en schéma implicite local:// URI. | /profile=default/subsystem=remoting/local-outbound-connection=my-connection/:add(outbound-socket-binding-ref=remoting2)
|
remote-outbound-connection |
Connexions sortantes en schéma remote:// URI, utilisant l'authentification de base/digest avec domaine de sécurité.
| /profile=default/subsystem=remoting/remote-outbound-connection=my-connection/:add(outbound-socket-binding-ref=remoting,username=myUser,security-realm=ApplicationRealm)
|
Avant de définir des éléments enfants SASL, vous devez créer l'élément SASL initial. Utiliser la commande suivante :
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl:add
Attribut | Description | Commande CLI |
---|---|---|
include-mechanisms |
Contient un attribut
value , qui correspond à une liste de mécanismes SASL séparés par des espaces.
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl:write-attribute(name=include-mechanisms,value=["DIGEST","PLAIN","GSSAPI"]) |
qop |
Contient un attribut
value , qui correspond à une liste de valeurs de protection SASL séparées par des espaces, en ordre décroissant de préférence.
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl:write-attribute(name=qop,value=["auth"]) |
puissance |
Contient un attribut
value , qui correspond à une liste de valeurs de puissance cipher SASL séparées par des espaces, en ordre décroissant de préférence.
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl:write-attribute(name=strength,value=["medium"]) |
reuse-session |
Contient un attribut
value , qui correspond à une valeur booléenne. Si sur true, tente de réutiliser les sessions.
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl:write-attribute(name=reuse-session,value=false) |
server-auth |
Contient un attribut
value , qui correspond à une valeur booléenne. Si sur true, le serveur s'authentifie auprès du client.
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl:write-attribute(name=server-auth,value=false) |
politique |
Un élément clôturé qui contient zéro ou plusieurs des éléments suivants, prenant chacun une seule
valeur .
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:add /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:write-attribute(name=forward-secrecy,value=true) /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:write-attribute(name=no-active,value=false) /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:write-attribute(name=no-anonymous,value=false) /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:write-attribute(name=no-dictionary,value=true) /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:write-attribute(name=no-plain-text,value=false) /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/sasl-policy=policy:write-attribute(name=pass-credentials,value=true) |
properties |
Contient un ou plusieurs éléments
<property> , contenant chacun un attribut name et un attribut value optionnel.
|
/profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/property=myprop:add(value=1) /profile=default/subsystem=remoting/connector=remoting-connector/security=sasl/property=myprop2:add(value=2) |
Exemple 15.11. Exemples de configurations
<subsystem xmlns="urn:jboss:domain:remoting:1.1"> <connector name="remoting-connector" socket-binding="remoting" security-realm="ApplicationRealm"/> </subsystem>
<subsystem xmlns="urn:jboss:domain:remoting:1.1"> <worker-thread-pool read-threads="1" task-keepalive="60' task-max-threads="16" task-core-thread="4" task-limit="16384" write-threads="1" /> <connector name="remoting-connector" socket-binding="remoting" security-realm="ApplicationRealm"> <sasl> <include-mechanisms value="GSSAPI PLAIN DIGEST-MD5" /> <qop value="auth" /> <strength value="medium" /> <reuse-session value="false" /> <server-auth value="false" /> <policy> <forward-secrecy value="true" /> <no-active value="false" /> <no-anonymous value="false" /> <no-dictionary value="true" /> <no-plain-text value="false" /> <pass-credentials value="true" /> </policy> <properties> <property name="myprop1" value="1" /> <property name="myprop2" value="2" /> </properties> </sasl> <authentication-provider name="myprovider" /> <properties> <property name="myprop3" value="propValue" /> </properties> </connector> <outbound-connections> <outbound-connection name="my-outbound-connection" uri="http://myhost:7777/"/> <remote-outbound-connection name="my-remote-connection" outbound-socket-binding-ref="my-remote-socket" username="myUser" security-realm="ApplicationRealm"/> <local-outbound-connection name="myLocalConnection" outbound-socket-binding-ref="my-outbound-socket"/> </outbound-connections> </subsystem>
Aspects de la configuration non encore documentés
- JNDI et Détection automatique multi diffusion
15.4.4.5. Utilisation des domaines de sécurité avec les clients EJB distants
- Ajouter un nouveau domaine de sécurité au contrôler de domaine ou au serveur autonome.
- Ajoutez les paramètres suivants au fichier
jboss-ejb-client.properties
, qui est dans le chemin de classes de l'application. Cet exemple suppose que la connexion est appeléepar défaut
par les autres paramètres qui se trouvent dans le fichier.remote.connection.default.username=appuser remote.connection.default.password=apppassword
- Créer un connecteur Remoting personnalisé sur le domaine ou sur le serveur autonome, qui utilise le nouveau domaine de sécurité.
- Déployer votre EJB dans le groupe de serveur configuré pour utiliser le profil avec le connecteur Remoting personnalisé, ou dans le serveur autonome si vous n'utilisez pas de domaine géré.
15.4.4.6. Ajout d'un Domaine de sécurité
Exécuter le Management CLI
Démarrer par la commandejboss-cli.sh
oujboss-cli.bat
et connectez-vous au serveur.Créer le nouveau domaine de sécurité lui-même.
Exécutez la commande suivante pour créer un nouveau domaine de sécurité nomméMyDomainRealm
sur un contrôleur de domaine ou sur un serveur autonome./host=master/core-service=management/security-realm=MyDomainRealm:add()
Créer les références du fichier de propriétés qui stocke les informations sur le nouveau rôle.
Exécuter la commande suivante pour créer un pointeur au fichier nommémyfile.properties
, qui contiendra les propriétés attachées au nouveau rôle.Note
Le fichier de propriétés nouvellement créées n'est pas géré par les scriptsadd-user.sh
etadd-user.bat
inclus. Il devra être administré en externe./host=master/core-service=management/security-realm=MyDomainRealm/authentication=properties:add(path=myfile.properties)
Votre nouveau domaine de sécurité est créé. Lorsque vous ajoutez des utilisateurs et des rôles à ce nouveau domaine, l'information va être stockée dans un fichier séparé des domaines de sécurité par défaut. Vous pouvez gérer ce nouveau fichier à l'aide de vos propres applications ou procédures.
15.4.4.7. Ajout d'un utilisateur à un Domaine de sécurité
Éxécuter la commande
add-user.sh
ouadd-user.bat
.Ouvrez un terminal (shell) et changez de répertoireEAP_HOME/bin/
. Si vous exécutez Red Hat Enterprise Linux ou un autre système d'exploitation style UNIX, exécutezadd-user.sh
. Si vous exécutez sur un serveur Microsoft Windows, exécutezadd-user.bat
.Choisissez d'ajouter un Utilisateur de gestion ou un Utilisateur d'application.
Pour cette procédure, saisirb
pour ajouter un Utilisateur d'application.Choisir le domaine dans lequel l'utilisateur sera ajouté.
Par défaut, le seul domaine disponible estApplicationRealm
. Si vous avez ajouté un domaine personnalisé, vous pouvez saisir son nom à la place.Saisir le nom d'utilisateur, le mot de passe et les rôles lorsque vous y serez invité.
Saisir le nom d'utilisateur, le mot de passe et les rôles lorsque vous y serez invité. Vérifiez votre choix en tapantyes
, ouno
pour annuler les changements. Les changements sont inscrits dans les fichiers de propriétés du domaine de sécurité.
15.4.4.8. Accès EJB à distance utilisant le cryptage SSL
15.5. Sécurité Application JAX-RS
15.5.1. Activer la sécurité basée-rôle pour RESTEasy JAX-RS Web Service
RESTEasy supporte les annotations @RolesAllowed, @PermitAll, et @DenyAll sur les méthodes JAX-RS. Cependant, il ne reconnaît pas ces annotations par défaut. Suivre les étapes suivantes pour configurer le fichier web.xml
et pour activer la sécurité basée-rôle.
Avertissement
Procédure 15.3. Activer la sécurité basée-rôle pour RESTEasy JAX-RS Web Service
- Ouvrir le fichier
web.xml
de l'application dans l'éditeur de textes. - Ajouter le <context-param> suivant au fichier, dans les balises
web-app
:<context-param> <param-name>resteasy.role.based.security</param-name> <param-value>true</param-value> </context-param>
- Déclarer tous les rôles utilisés dans le fichier RESTEasy JAX-RS WAR file, en utilisant les balises de <security-role>:
<security-role><role-name>ROLE_NAME</role-name></security-role><security-role><role-name>ROLE_NAME</role-name></security-role>
- Autorise l'accès à tous les URL gérés par le runtime JAX-RS pour tous les rôles :
<security-constraint><web-resource-collection><web-resource-name>Resteasy</web-resource-name><url-pattern>/PATH</url-pattern></web-resource-collection><auth-constraint><role-name>ROLE_NAME</role-name><role-name>ROLE_NAME</role-name></auth-constraint></security-constraint>
La sécurité basée rôle à été activée dans l'application, avec un certain nombre de rôles définis.
Exemple 15.12. Exemple de Configuration de sécurité basée rôles.
<web-app> <context-param> <param-name>resteasy.role.based.security</param-name> <param-value>true</param-value> </context-param> <servlet-mapping> <servlet-name>Resteasy</servlet-name> <url-pattern>/*</url-pattern> </servlet-mapping> <security-constraint> <web-resource-collection> <web-resource-name>Resteasy</web-resource-name> <url-pattern>/security</url-pattern> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> <role-name>user</role-name> </auth-constraint> </security-constraint> <security-role> <role-name>admin</role-name> </security-role> <security-role> <role-name>user</role-name> </security-role> </web-app>
15.5.2. Sécuriser un service JAX-RS Web par des annotations
Cette rubrique couvre les étapes à parcourir pour sécuriser un service JAX-RS Web par les annotations de sécurité supportées.
Procédure 15.4. Sécuriser un service JAX-RS Web par des annotations de sécurité supportées.
- Activer la sécurité basée-rôle. Pour plus d'informations, voir Section 15.5.1, « Activer la sécurité basée-rôle pour RESTEasy JAX-RS Web Service ».
- Ajouter des annotations de sécurité au service JAX-RS Web. RESTEasy supporte les annotations suivantes :
- @RolesAllowed
- Définit les rôles qui peuvent accéder à la méthode. Tous les rôles doivent être définis dans le fichier
web.xml
. - @PermitAll
- Autorise tous les rôles définis dans le fichier
web.xml
à accéder à la méthode. - @DenyAll
- Refuse tout accès à la méthode.
Chapitre 16. Single Sign On (SSO)
16.1. SSO (Single Sign On) pour les Applications Web
Single Sign On (SSO) autorise l'authentification à une ressource, en vue d'autoriser implicitement l'accès à d'autres ressources.
SSO Non-clusterisé limite le partage des informations d'autorisation pour les applications d'un même hôte virtuel. En outre, il n'y a aucun mécanisme de résilience en cas de défaillance de l'hôte. Les données d'authentification SSO clusterisées peuvent être partagées entre les applications de plusieurs hôtes virtuels et sont résistantes au basculement. De plus, SSO clusterisé est capable de recevoir des demandes d'un équilibreur de charges.
Si une ressource n'est pas protégée, un utilisateur n'a pas besoin de s'authentifier. Si un utilisateur accède à une ressource protégée, l'utilisateur devra s'authentifier.
Les limitations de SSO
- Aucune propagation au-delà des limites de tierce-parties.
- SSO ne peut être utilisé qu'entre des applications déployées au sein de conteneurs JBoss EAP 6.
- Authentification gérée-conteneur uniquement.
- Vous devez utiliser des éléments d'authentification géré-conteneurs, comme
<login-config>
dans leweb.xml
de votre application. - Nécessite des cookies.
- SSO se maintient par des cookies de navigateur et la ré-écriture d'URL n'est pas prise en charge.
- Limitations de domaine et de domaine de sécurité
- À moins que le paramètre
requireReauthentication
soit défini àtrue
, toutes les applications web configurées pour la même valve SSO doivent partager la même configuration Realm dansweb.xml
et le même domaine de sécurité.Vous pouvez imbriquer l'élément Realm à l'intérieur de l'élément Hôte ou de l'élément Engine environnant, mais pas à l'intérieur d'un élément context.xml pour une des applications web concernéesLe<security-domain>
configuré dansjboss-web.xml
doit être consistant à travers toutes les applications web.Toutes les intégrations de sécurité doivent pouvoir accepter les mêmes informations d'autorisation (comme les noms d'utilisateur et mots de passe).
16.2. SSO (Single Sign On) clusterisées pour les Applications Web
jboss-Web.xml
de l'application.
- Apache Tomcat ClusteredSingleSignOn
- Apache Tomcat IDPWebBrowserSSOValve
- SSO basée-SPNEGO de PicketLink
16.3. Choisir l'implémentation SSO qui vous convient
Si votre organisation utilise déjà une authentification basée Kerberos et un système d'autorisation comme Microsoft Active Directory, vos pourrez utiliser les mêmes systèmes pour vous authentifier de façon transparente à vos applications enterprise en cours d'exécution sur JBoss EAP 6.
Si vous avez besoin de propager des informations de sécurité entre des applications qui s'exécutent dans le même groupe de serveurs ou instance, vous pourrez utiliser le SSO non-clusterisé. Cela implique uniquement la configuration de la valve dans le descripteur de jboss-web.xml
de votre application.
Si vous avez besoin de propager des informations de sécurité entre des applications qui s'exécutent dans un environnement clusterisé sur plusieurs instances de JBoss EAP 6, vous pourrez utiliser la valve SSO clusterisée. Ce paramètre est configuré dans le fichierjboss-Web.xml
de votre application.
16.4. Utilisation de SSO (Single Sign On) pour les Applications Web
Les fonctionnalités SSO (Single Sign On) sont fournies par les sous-systèmes web et Infinispan. Utiliser cette procédure pour configurer SSO dans les applications web.
Prérequis
- Vous devez avoir un domaine de sécurité configuré qui gère les authentifications et autorisations.
- Le sous-système
infinispan
doit être présent. Il se trouve dans le profilcomplet-ha
pour un domaine géré, ou en utilisant la configurationstandalone-full-ha.xml
dans un serveur autonome. - Le
web
cache-conteneur
et le cache-conteneur SSO doivent chacun être présents. Les exemples de fichiers de configurations contiennent déjà le cache-conteneurweb
, et certaines des configurations contiennent déjà le cache-conteneur SSO également. Utilisez les commandes suivantes pour vérifier et activer le cache conteneur SSO. Notez que ces commandes modifient le profilha
d'un domaine géré. Vous pouvez modifier les commandes pour utiliser un profil différent, ou supprimer la portion/profile=ha
de la commande, pour un serveur autonome.Exemple 16.1. Vérifier le cache-conteneur
web
Les profils et les configurations mentionnées ci-dessus incluent le cache-conteneurweb
par défaut. Utilisez la commande suivante pour vérifier sa présence. Si vous utilisez un profil différent, remplacez par son nom à la place deha
./profile=ha/subsystem=infinispan/cache-container=web/:read-resource(recursive=false,proxies=false,include-runtime=false,include-defaults=true)
Si le résultat affiche unsuccess
, le sous-système sera présent. Sinon, vous devrez l'ajouter.Exemple 16.2. Ajouter le cache-conteneur
web
Utiliser les trois commandes suivantes pour activer le cache-conteneurweb
à votre configuration. Modifier le nom du profil selon le cas, ainsi que les autres paramètres. Ici, les paramètres sont ceux utilisés dans une configuration par défaut./profile=ha/subsystem=infinispan/cache-container=web:add(aliases=["standard-session-cache"],default-cache="repl",module="org.jboss.as.clustering.web.infinispan")
/profile=ha/subsystem=infinispan/cache-container=web/transport=TRANSPORT:add(lock-timeout=60000)
/profile=ha/subsystem=infinispan/cache-container=web/replicated-cache=repl:add(mode="ASYNC",batching=true)
Exemple 16.3. Vérifier le cache-conteneur
SSO
Éxécuter la commande de Management CLI suivante :/profile=ha/subsystem=infinispan/cache-container=web/:read-resource(recursive=true,proxies=false,include-runtime=false,include-defaults=true)
Chercher une sortie qui ressemble à ceci :"sso" => {
Si vous ne la trouvez pas, le cache-conteneur ne sera pas présent dans votre configuration.Exemple 16.4. Ajouter le cache-conteneur
SSO
/profile=ha/subsystem=infinispan/cache-container=web/replicated-cache=sso:add(mode="SYNC", batching=true)
- Le sous-système
web
doit être configuré pour utiliser SSO. La commande suivante active SSO sur le serveur virtuel appelédefault-host
et le domaine de cookiesdomaine.com
. Le nom de cache estsso
, et une nouvelle authentification est désactivée./profile=ha/subsystem=web/virtual-server=default-host/sso=configuration:add(cache-container="web",cache-name="sso",reauthenticate="false",domain="domain.com")
- Chaque application qui partage les informations SSO doit être configurée pour utiliser le même <security-domain> dans son descripteur de déploiement de
jboss-web.xml
et le même Realm dans son fichier de configurationweb.xml
.
SSO clusterisée permet le partage d'authentification entre des hôtes distincts, tandis que ce n'est pas le cas pour SSO non-clusterisée. Les valves SSO en cluster et non clusterisées sont configurées de la même manière, mais SSO clusterisée comprend les paramètres cacheConfig
, processExpiresInterval
et maxEmptyLife
, qui contrôlent la réplication en groupement des données persistantes.
Exemple 16.5. Exemple de configuration SSO clusterisée
tomcat
.
<jboss-web> <security-domain>tomcat</security-domain> <valve> <class-name>org.jboss.web.tomcat.service.sso.ClusteredSingleSignOn</class-name> <param> <param-name>maxEmptyLife</param-name> <param-value>900</param-value> </param> </valve> </jboss-web>
Tableau 16.1. Options de configuration SSO
Option | Description |
---|---|
cookieDomain |
Domaine hôte utilisé pour les cookies SSO. La valeur par défaut est
/ . Pour permettre à app1.xyz.com et à app2.xyz.com de partager les cookies SSO, vous devrez définir le cookieDomain à xyz.com .
|
maxEmptyLife |
SSO clusterisée uniquement. Le nombre maximum de secondes qu'une valve SSO sans sessions actives sera utilisable par une demande, avant d'expirer. Une valeur positive permet une manipulation appropriée d'arrêt d'un nœud si c'est le seul avec des sessions actives attachées à la valve. Si maxEmptyLife est défini sur
0 , la vanne se terminera en même temps que les copies de la session locale, mais des copies de sauvegarde des sessions, des applications en cluster, seront disponibles à d'autres nœuds du cluster. Si on permet à la vanne à vivre au-delà de la durée de ses sessions gérées, cela donne du temps à l'utilisateur d'effectuer une autre demande qui puisse basculer sur un nœud différent, où il active la copie de sauvegarde de la session. La valeur par défaut, est de 1800 secondes (30 minutes).
|
processExpiresInterval |
SSO clusterisé uniquement. Le nombre minimum de secondes entre les efforts de la valve pour trouver et invalider des instances SSO qui ont expiré le délai d'attente de
MaxEmptyLife . La valeur par défaut est de 60 (1 minute).
|
requiresReauthentication |
Si true, chaque requête utilise des informations d'authentification en cache pour authentifier à nouveau le domaine de sécurité. Si false (la valeur par défaut), une cookie SSO valide sera suffisante pour que la valve puisse authentifier chaque nouvelle requête.
|
Une application peut rendre invalide une session en invoquant la méthode javax.servlet.http.HttpSession.invalidate()
.
16.5. Kerberos
16.6. SPNEGO
16.7. Microsoft Active Directory
- LDAP (Lightweight Directory Access Protocol), qui stocke les informations utilisateurs, ordinateurs, mots de passe et autres ressources.
- Kerberos qui procure une authentification sécurisée sur le réseau.
- DNS (Domain Service Name) qui fournit des mappages entre les adresses IP, les noms d'hôtes et les ordinateurs ou autres périphériques du réseau.
16.8. Configuration de Kerberos ou Microsoft Active Directory Desktop SSO pour les applications web
Pour authentifier vos applications web ou EJB à l'aide de l'authentification basée Kerberos existante de votre organisation et de votre infrastructure d'autorisation, comme Microsoft Active Directory, vous pouvez utiliser les fonctionnalités de JBoss Negotation intégrées dans JBoss EAP 6. Si vous configurez votre application web correctement, une connexion réussie en desktop ou réseau sera suffisante pour vous authentifier en toute transparence dans votre application web, donc aucune invite de connexion supplémentaire ne sera nécessaire.
Il existe des différences notables entre la plateforme JBoss EAP 6 et les versions précédentes :
- Les domaines de sécurité sont configurés centralement, pour chaque profil d'un domaine géré, ou pour chaque serveur autonome. Ils ne font pas partie du déploiement lui-même. Le domaine de sécurité qu'un déploiement doit utiliser est nommé dans le fichier de déploiement
jboss-web.xml
oujboss-ejb3.xml
. - Les propriétés de sécurité sont configurées dans le cadre du domaine de sécurité, faisant partie de sa configuration centrale. Elles ne font pas partie du déploiement.
- Vous pouvez ne plus remplacer les authentificateurs dans votre déploiement. Toutefois, vous pouvez ajouter une valve NegotiationAuthenticator à votre descripteur
jboss-web.xml
afin d'obtenir le même effet. La valve nécessite toujours les éléments<security-constraint>
et<login-config>
à définir dans le fichierweb.xml
. Ils servent à décider quelles ressources sont sécurisées. Cependant, l'auth-method choisie sera substituée par la valve NegotiationAuthenticator du fichierjboss-web.xml
. - Les attributs
CODE
des domaines de sécurité utilisent maintenant un nom simple au lieu d'un nom de classe complet. Le tableau suivant montre les mappages entre les classes utilisées pour JBoss Negotiation, et leurs classes.
Tableau 16.2. Codes de modules de connexion et Noms de classes
Nom simple | Nom de classe | But |
---|---|---|
Kerberos | com.sun.security.auth.module.Krb5LoginModule | Module de connexion Kerberos |
SPNEGO | org.jboss.security.negotiation.spnego.SPNEGOLoginModule | Le mécanisme qui permet aux applications web de s'authentifier à votre serveur d'authentification Kerberos. |
AdvancedLdap | org.jboss.security.negotiation.AdvancedLdapLoginModule | Utilisé avec les serveurs LDAP autres que Microsoft Active Directory. |
AdvancedAdLdap | org.jboss.security.negotiation.AdvancedADLoginModule | Utilisé avec les serveurs Microsoft Active Directory LDAP. |
JBoss Negotiation Toolkit
est un outil de débogage que vous pouvez télécharger à partir de https://community.jboss.org/servlet/JiveServlet/download/16876-2-34629/jboss-negotiation-toolkit.war. Il est fourni comme un outil supplémentaire pour vous aider à déboguer et tester les mécanismes d'authentification avant d'introduire votre application en production. C'est un outil non pris en charge, mais considéré comme très utile. Comme SPNEGO, cet outil peut être difficile à configurer pour les applications web.
Procédure 16.1. Installation de l'authentification SSO (Single Sign On) pour les Applications Web ou EJB
Configurer un domaine de sécurité qui représente l'identité de votre serveur. Définir les propriétés système si nécessaire.
Le premier domaine de sécurité authentifie le conteneur lui-même au service de répertoires. Il a besoin d'utiliser un module de connexion qui accepte un type de mécanisme de connexion statique, car un utilisateur réel n'est pas impliqué. Cet exemple utilise une entité de sécurité statique et fait référence à un fichier keytab qui contient les informations d'identification.Le code XML est donné ici dans un but de clarification, mais vous devez utiliser la Console de gestion ou le Management CLI pour configurer vos domaines de sécurité.<security-domain name="host" cache-type="default"> <authentication> <login-module code="Kerberos" flag="required"> <module-option name="storeKey" value="true"/> <module-option name="useKeyTab" value="true"/> <module-option name="principal" value="host/testserver@MY_REALM"/> <module-option name="keyTab" value="/home/username/service.keytab"/> <module-option name="doNotPrompt" value="true"/> <module-option name="debug" value="false"/> </login-module> </authentication> </security-domain>
Configurer un second domaine de sécurité pour sécuriser l'application web ou les applications. Définir les propriétés système si nécessaire.
Le deuxième domaine de sécurité est utilisé pour authentifier l'utilisateur particulier au serveur d'authentification Kerberos ou SPNEGO. Vous avez besoin d'au moins un module de connexion pour authentifier l'utilisateur et un autre à la recherche de rôles à appliquer à l'utilisateur. Le code XML suivant montre un exemple de domaine de sécurité SPNEGO. Il inclut un module d'autorisation pour mapper les rôles aux utilisateurs individuels. Vous pouvez également utiliser un module de recherche pour les rôles sur le serveur d'authentification lui-même.<security-domain name="SPNEGO" cache-type="default"> <authentication> <!-- Check the username and password --> <login-module code="SPNEGO" flag="requisite"> <module-option name="password-stacking" value="useFirstPass"/> <module-option name="serverSecurityDomain" value="host"/> </login-module> <!-- Search for roles --> <login-module code="UsersRoles" flag="required"> <module-option name="password-stacking" value="useFirstPass" /> <module-option name="usersProperties" value="spnego-users.properties" /> <module-option name="rolesProperties" value="spnego-roles.properties" /> </login-module> </authentication> </security-domain>
Spécifier la security-constraint et la login-config dans le fichier
web.xml
Le descripteurweb.xml
contient des informations sur les contraintes de sécurité et sur la configuration de la connexion. En voici des exemples :<security-constraint> <display-name>Security Constraint on Conversation</display-name> <web-resource-collection> <web-resource-name>examplesWebApp</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>RequiredRole</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>SPNEGO</auth-method> <realm-name>SPNEGO</realm-name> </login-config> <security-role> <description> role required to log in to the Application</description> <role-name>RequiredRole</role-name> </security-role>
Indiquer le domaine de sécurité et les autres paramètres dans le descripteur
jboss-web.xml
.Spécifiez le nom du domaine de la sécurité côté client (l'autre dans cet exemple) dans le descripteurjboss-Web.xml
de votre déploiement, pour obliger votre application à utiliser ce domaine de sécurité.Vous ne pouvez plus remplacer les authentificateurs directement. À la place, vous devez ajouter NegotiationAuthenticator comme valve au descripteurjboss-web.xml
si nécessaire.<jacc-star-role-allow>
vous permet d'utiliser un astérisque (*) pour faire correspondre plusieurs noms de rôles, et est optionnel.<jboss-web> <security-domain>java:/jaas/SPNEGO</security-domain> <valve> <class-name>org.jboss.security.negotiation.NegotiationAuthenticator</class-name> </valve> <jacc-star-role-allow>true</jacc-star-role-allow> </jboss-web>
Ajouter une dépendance au
MANIFEST.MF
de votre application, pour trouver l'emplacement des classes Negotiation.L'application web a besoin d'une dépendance sur la classeorg.jboss.security.negotiation
à ajouter au manifesteMETA-INF/MANIFEST.MF
du déploiement pour pouvoir localiser les classes JBoss Negotiation. Ce qui suit vous montre une entrée formatée correctement.Manifest-Version: 1.0 Build-Jdk: 1.6.0_24 Dependencies: org.jboss.security.negotiation
Votre application web accepte et authentifie les informations d'identification avec Kerberos, Active Directory de Microsoft ou autre service de répertoire compatible SPNEGO. Si l'utilisateur exécute l'application d'un système qui est déjà enregistré dans le service de répertoires, et où les rôles sont déjà appliqués à l'utilisateur, l'application web n'aura pas besoin d'authentification, et les fonctionnalités SSO seront opérationnelles.
Chapitre 17. Sécurité basée-rôle pour les applications
17.1. Security Extension Architecture
La première partie de l'infrastructure est l'API JAAS. JAAS est un framework additionnel qui procure une couche d'abstraction entre l'infrastructure de sécurité et votre application.
org.jboss.security.plugins.JaasSecurityManager
, qui implémente les interfaces AuthenticationManager
et RealmMapping
. JaasSecurityManager
s'intègre dans les couches de conteneur EJB et web, basées sur l'élément <security-domain>
du descripteur de déploiement du composant correspondant.
JaasSecurityManagerService
Le service MBean JaasSecurityManagerService
s'occupe des gestionnaires de la sécurité. Bien que son nom commence par Jaas, les gestionnaires de sécurité qu'il gère n'ont pas besoin pas d'utiliser JAAS dans leur implémentation. Le nom reflète le fait que l'implémentation de gestionnaire de sécurité par défaut est le JaasSecurityManager
JaasSecurityManagerService
est d'externaliser la mise en œuvre du gestionnaire de sécurité. Vous pouvez modifier la mise en œuvre du gestionnaire de sécurité en fournissant une implémentation alternative des interfaces AuthenticationManager
et RealmMapping
.
JaasSecurityManagerService
est de fournir une implémentation javax.naming.spi.ObjectFactory
JNDI pour permettre une gestion simple de la liaison dépourvue de code entre le nom JNDI et l'implémentation du gestionnaire de sécurité, sans code. Pour activer la sécurité, spécifiez le nom JNDI de l'implémentation du gestionnaire de sécurité par l'intermédiaire de l'élément de descripteur de déploiement <security-domain>
.
JaasSecurityManagerService
relie un next naming system reference, qui se nomme lui-même comme ObjectFactory
JNDI sous le nom java:/jaas
. Cela permet à une convention de nommage de la forme java:/jaas/XYZ
à correspondre à la valeur de l'élément <security-domain>
, et l'instance du gestionniaire de sécurité du domaine de sécurité XYZ
sera créée selon les besoins, en créant une instance de la classe spécifiée par l'attribut SecurityManagerClassName
, par l'intermédiaire d'un constructeur qui prendra le nom du domaine de sécurité.
Note
java:/jaas
à votre descripteur de déploiement. Vous pouvez le faire, pour les raisons de compatibilité rétroactive, mais ce sera ignoré.
org.jboss.security.plugins.JaasSecurityDomain
est une extension de JaasSecurityManager
, qui ajoute la notion de KeyStore
, de KeyManagerFactory
et de TrustManagerFactory
pour SSL et autres cas d'utilisation cryptographique.
Pour plus d'informations, et pour obtenir des exemples pratiques de l'architecture de sécurité en action, voir Section 17.3, « Java Authentication and Authorization Service (JAAS) ».
17.2. Java Authentication et Authorization Service (JAAS)
17.3. Java Authentication and Authorization Service (JAAS)
Les groupes de serveurs (dans un domaine géré) et les serveurs (dans un serveur autonome) comprennent la configuration des domaines de la sécurité. Un domaine de sécurité comprend des informations sur une combinaison d'authentification, autorisation, mapping et modules, avec détails de configuration. Une application spécifie quel domaine de sécurité est exigé, par son nom, dans son fichier jboss-web.xml
.
Une configuration spécifique à une application a lieu dans un ou plusieurs fichiers.
Tableau 17.1. Fichiers de configuration spécifique à une application
Fichier | Description |
---|---|
ejb-jar.xml |
Le descripteur de déploiement pour une application Enterprise JavaBeans (EJB), situé dans le répertoire
META-INF de l'EJB. Utiliser le fichier ejb-jar.xml pour préciser les rôles et les mapper aux principaux, au niveau de l'application. Vous pouvez également limiter certaines méthodes et classes spécifiques à certains rôles. Également utilisé pour les autres configurations EJB spécifiques non liées à la sécurité.
|
web.xml |
Le descripteur de déploiement pour une application web en Java Enterprise Edition (EE). Utilisez le fichier
web.xml pour déclarer le domaine de sécurité que l'application utilise pour l'authentification et l'autorisation, ainsi que les contraintes de transport et ressources, comme limiter les types de demandes HTTP autorisées. Vous pouvez également configurer l'authentification basée-web dans ce fichier. Utilisé également pour d'autre configurations spécifiques à l'application non liées à la sécurité.
|
jboss-ejb3.xml |
Contient des extensions au descripteur
ejb-jar.xml spécifiques à JBoss.
|
jboss-web.xml |
Contient des extensions au descripteur
web.xml spécifiques à JBoss.
|
Note
ejb-jar.xml
et web.xml
sont définis dans la spécification Java Enterprise Edition (Java EE). Le fichier jboss-ejb3.xml
fournit des extensions spécifiques à JBoss pour le fichier ejb-jar.xml
, et le fichier jboss-web.xml
fournit des extensions spécifiques à JBoss pour le fichier web.xml
.
Java Authentication and Authorization Service (JAAS) est un cadre de sécurité au niveau utilisateur pour les applications Java, utilisant des modules d'authentification enfichables (PAM). Il est intégré dans le Java Runtime Environment (JRE). Dans JBoss EAP 6, le composant côté conteneur est le MBean org.jboss.security.plugins.JaasSecurityManager
. Il fournit les implémentations par défaut des interfaces AuthenticationManager
et RealmMapping
.
JaasSecurityManager utilise les packages JAAS pour implémenter le comportement d'interface AuthenticationManager et RealmMapping. En particulier, son comportement découle de l'exécution des instances de modules de connexion qui sont configurées dans le domaine de sécurité assigné au JaasSecurityManager. Les modules de connexion implémentent l'authentification principale du domaine de sécurité et le comportement de mappage de rôle. Vous pouvez utiliser le JaasSecurityManager à travers tous les domaines de la sécurité en assignant des configurations de modules de connexion différentes pour les domaines.
EJBHome
. L'EJB a déjà été déployé dans le serveur et ses méthodes d'interface EJBHome
ont déjà été sécurisées par les éléments <method-permission> qui se trouvent dans le descripteur ejb-jar.xml
. Utilise le domaine de sécurité jwdomain
, qui est indiqué dans l'élément <security-domain> du fichier jboss-ejb3.xml
. L'image ci-dessous indique les étapes qui seront expliquées par la suite.
Figure 17.1. Étapes d'une invocation de méthode EJB sécurisée
- Le client effectue une connexion JAAS pour établir le principal et les informations d'identification pour l'authentification. Correspond à Client Side Login dans le schéma. Peut être exécuté via JNDI.Pour effectuer une connexion JAAS, vous devez créer une instance de LoginContext et y indiquer le nom de la configuration à utiliser. Ici, le nom de configuration est
other
. Cette connexion unique associe la connexion principale et les informations d'identification à toutes les invocations de méthode EJB. Le processus n'authentifie pas forcément l'utilisateur. La nature de la connexion côté client dépend de la configuration du module de connexion que le client utilise. Dans cet exemple, l'entrée de configurationother
côté client utilise le module de connexionClientLoginModule
. Ce module lie le nom d'utilisateur et le mot de passe à la couche d'invocation EJB pour une authentification ultérieure sur le serveur. L'identité du client n'est pas authentifiée sur le client. - Le client obtient la méthode
EJBHome
et l'invoque sur le serveur. L'invocation inclut les arguments de la méthode adoptée par le client, ainsi que l'identité de l'utilisateur et les informations d'identification de la connexion JAAS de côté client. - Sur le serveur, l'intercepteur de sécurité authentifie l'utilisateur qui a invoqué la méthode. Cela nécessite une autre connexion JAAS.
- Le domaine de sécurité ci-dessous détermine le choix des modules de connexion. Le nom du domaine de sécurité est passé au constructeur
LoginContext
en tant que nom de configuration de la connexion. Le domaine de sécurité des EJB estjwdomain
. Si l'authentification JAAS est réussie, un sujet JAAS sera créé. Un sujet JAAS comprend un PrincipalSet avec les détails suivants :- Une instance
java.security.Principal
qui correspond à l'identité du client en provenance de l'environnement de sécurité du déploiement. - Un groupe
java.security.acl.Group
appeléRoles
, qui contient les noms de rôles du domaine d'application de l'utilisateur. Les objets de typeorg.jboss.security.SimplePrincipal
représentent les noms de rôles. Ces rôles valident l'accès aux méthodes EJB suivant les contraintes deejb-jar.xml
et de l'implémentation de la méthodeEJBContext.isCallerInRole(String)
. - Un
java.security.acl.Group
optionnel nomméCallerPrincipal
, contenant un seulorg.jboss.security.SimplePrincipal
qui correspond à l'identité de l'appelant du domaine de l'application. Le membre du groupe CallerPrincipal correspond à la valeur renvoyée par la méthodeEJBContext.getCallerPrincipal()
. Ce mappage permet au Principal de l'environnement de sécurité professionnel de se mapper à un Principal connu de l'application. En l'absence d'un mappage CallerPrincipal, le principal opérationnel est le même que le principal du domaine d'application.
- Le serveur vérifie que l'utilisateur qui appelle la méthode EJB a la permission de le faire. Cette autorisation requiert les étapes suivantes :
- Obtenir les noms des rôles autorisés à accéder à la méthode EJB à partir du conteneur EJB. Les noms de rôles sont déterminés par les éléments <role-name> de tous les éléments <method-permission> du descripteur
ejb-jar.xml
qui contiennent la méthode invoquée. - Si aucun des rôles n'a été attribué, ou si la méthode est spécifiée dans un élément de la liste d'exclusion, l'accès à la méthode sera refusé. Sinon, la méthode
doesUserHaveRole
sera appelée dans le gestionnaire de sécurité par l'intercepteur de sécurité pour vérifier si l'appelant possède l'un des noms de rôles assignés. Cette méthode effectue une itération dans les noms de rôles et vérifie si le groupeSubject Roles
de l'utilisateur authentifié contient un SimplePrincipal avec le nom de rôle assigné. L'accès est autorisé si un nom de rôle est membre du groupe Rôles. L'accès est refusé si aucun des noms de rôles n'est membre. - Si l'EJB utilise un proxy de sécurité personnalisé, l'invocation de méthode sera déléguée au proxy. Si le proxy de sécurité refuse l'accès à l'appelant, elle lève une exception
java.lang.SecurityException
. Sinon, l'accès à la méthode EJB sera autorisé et l'invocation de méthode passera au prochain intercepteur de conteneur. Le SecurityProxyInterceptor s'occupe de ce contrôle et cet intercepteur n'est pas affiché. - Pour les demandes de connexion web, le serveur web vérifie les contraintes de sécurité définies dans
web.xml
qui correspondent à la ressource demandée et à la méthode HTTP à laquelle on a accédé.S'il existe une contrainte pour la demande, le serveur web appelle le JaasSecurityManager pour effectuer l'authentification du principal, qui assure à son tour veille à ce que les rôles d'utilisateur soient associés à cet objet principal.
17.4. Utiliser un domaine de sécurité dans votre application
Pour utiliser un domaine de sécurité dans votre application, vous devez tout d'abord configurer le domaine dans le fichier de configuration du serveur ou dans le fichier de descripteur de l'application. Ensuite, vous devez ajouter les annotations requises à l'EJB qui l'utilise. Cette rubrique décrit les étapes requises pour utiliser un domaine de sécurité dans votre application.
Procédure 17.1. Configurer votre application pour qu'elle puisse utiliser un Domaine de sécurité
Définir le Domaine de sécurité
Vous pouvez définir le domaine de sécurité soit dans le fichier de configuration du serveur, soit dans le fichier du descripteur de l'application.Configurer le domaine de sécurité dans le fichier de configuration du serveur
Le domaine de sécurité est configuré dans le sous-système desécurité
du fichier de configuration du serveur. Si l'instance de JBoss EAP 6 s'exécute dans un domaine géré, il s'agira du fichierdomain/configuration/domain.xml
. Si l'instance de JBoss EAP 6 s'exécute comme un serveur autonome, ce sera le fichierstandalone/configuration/standalone.xml
.Les domaines de sécuritéother
,jboss-web-policy
, etjboss-ejb-policy
sont fournis par défaut dans JBoss EAP 6. L'exemple XML suivant a été copié à partir du sous-système desécurité
dans le fichier de configuration du serveur.<subsystem xmlns="urn:jboss:domain:security:1.2"> <security-domains> <security-domain name="other" cache-type="default"> <authentication> <login-module code="Remoting" flag="optional"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> <login-module code="RealmDirect" flag="required"> <module-option name="password-stacking" value="useFirstPass"/> </login-module> </authentication> </security-domain> <security-domain name="jboss-web-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> <security-domain name="jboss-ejb-policy" cache-type="default"> <authorization> <policy-module code="Delegating" flag="required"/> </authorization> </security-domain> </security-domains> </subsystem>
Vous pouvez configurer des domaines de sécurité supplémentaires selon les besoins par la Console de gestion ou par le Management CLI.Configurer le domaine de sécurité dans le fichier de descripteur de l'application.
Le domaine de sécurité est spécifié dans l'élément enfant<security-domain>
de l'élément<jboss-web>
du fichierWEB-INF/jboss-web.xml
de l'application. L'exemple suivant configure un domaine de sécurité nommémy-domain
.<jboss-web> <security-domain>my-domain</security-domain> </jboss-web>
Il s'agit d'une des configurations que vous pouvez indiquer dans le descripteurWEB-INF/jboss-web.xml
.
Ajouter l'annotation requise à l'EJB.
Vous pouvez configurer la sécurité dans EJB par les annotations@SecurityDomain
et@RolesAllowed
. L'exemple de code EJB suivant limite l'accès au domaine de sécuritéother
aux utilisateurs ayant pour rôleguest
(invité).package example.ejb3; import java.security.Principal; import javax.annotation.Resource; import javax.annotation.security.RolesAllowed; import javax.ejb.SessionContext; import javax.ejb.Stateless; import org.jboss.ejb3.annotation.SecurityDomain; /** * Simple secured EJB using EJB security annotations * Allow access to "other" security domain by users in a "guest" role. */ @Stateless @RolesAllowed({ "guest" }) @SecurityDomain("other") public class SecuredEJB { // Inject the Session Context @Resource private SessionContext ctx; /** * Secured EJB method using security annotations */ public String getSecurityInfo() { // Session context injected using the resource annotation Principal principal = ctx.getCallerPrincipal(); return principal.toString(); } }
Pour obtenir des exemples de code supplémentaires, voirejb-security
Quickstart dans le package JBoss EAP 6 Quickstarts disponible à partir du Portail Clients Red Hat.
17.5. Utilisation de la Sécurité basée-rôle dans les Servlets
jboss-web.xml
du WAR.
Avant d'utiliser la sécurité basée-rôles dans une servlet, le domaine de sécurité utilisé pour authentifier et autoriser l'accès doit être configuré sur la plateforme JBoss EAP 6.
Procédure 17.2. Ajout de la Sécurité basée-rôle dans les Servlets
Ajout de mappages entre les types d'URL et les servlets.
Utiliser les éléments<servlet-mapping>
du fichierweb.xml
pour mapper les servlets individuels à des types d'URL. L'exemple suivant mappe le serveur nomméDisplayOpResult
au type d'URL/DisplayOpResult
.<servlet-mapping> <servlet-name>DisplayOpResult</servlet-name> <url-pattern>/DisplayOpResult</url-pattern> </servlet-mapping>
Ajout des contraintes de sécurité aux types d'URL.
Pour mapper le type d'URL avec une contrainte de sécurité, utilisez un<security-constraint>
. L'exemple suivant limite l'accès d'un type d'URL/DisplayOpResult
afin qu'il soit accessible aux principaux ayant pour rôleeap_admin
. Le rôle doit être présent dans le domaine de sécurité.<security-constraint> <display-name>Restrict access to role eap_admin</display-name> <web-resource-collection> <web-resource-name>Restrict access to role eap_admin</web-resource-name> <url-pattern>/DisplayOpResult/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>eap_admin</role-name> </auth-constraint> </security-constraint> <security-role> <role-name>eap_admin</role-name> </security-role> <login-config> <auth-method>BASIC</auth-method> </login-config>
Vous aurez besoin d'indiquer la méthode d'authentification, qui peut être une des suivantes :BASIC, FORM, DIGEST, CLIENT-CERT, SPNEGO.
. Cet exemple utilise l'authentificationBASIC
.Indiquer le domaine de sécurité et le fichier
jboss-web.xml
du WAR.Ajouter le domaine de sécurité au fichierjboss-Web.xml
du WAR afin de connecter les servlets au domaine de la sécurité configuré sachant comment authentifier et autoriser les principaux selon les contraintes de sécurité. L'exemple suivant utilise le domaine de sécurité appeléacme_domain
.<jboss-web> ... <security-domain>acme_domain</security-domain> ... </jboss-web>
Exemple 17.1. Exemple web.xml
avec la sécurité basée rôle configurée.
<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0"> <display-name>Use Role-Based Security In Servlets</display-name> <welcome-file-list> <welcome-file>/index.jsp</welcome-file> </welcome-file-list> <servlet-mapping> <servlet-name>DisplayOpResult</servlet-name> <url-pattern>/DisplayOpResult</url-pattern> </servlet-mapping> <security-constraint> <display-name>Restrict access to role eap_admin</display-name> <web-resource-collection> <web-resource-name>Restrict access to role eap_admin</web-resource-name> <url-pattern>/DisplayOpResult/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>eap_admin</role-name> </auth-constraint> </security-constraint> <security-role> <role-name>eap_admin</role-name> </security-role> <login-config> <auth-method>BASIC</auth-method> </login-config> </web-app>
17.6. Utilisation d'une authentification système de tierce partie pour votre application
Note
context.xml
. Les valves sont configurées directement dans le descripteur jboss-web.xml
à la place. Le fichier context.xml
peut maintenant être ignoré.
Exemple 17.2. Valve d'authentification de base
<jboss-web> <valve> <class-name>org.jboss.security.negotiation.NegotiationAuthenticator</class-name> </valve> </jboss-web>
Exemple 17.3. Personnaliser une Valve avec des Attributs d'en-tête
<jboss-web> <valve> <class-name>org.jboss.web.tomcat.security.GenericHeaderAuthenticator</class-name> <param> <param-name>httpHeaderForSSOAuth</param-name> <param-value>sm_ssoid,ct-remote-user,HTTP_OBLIX_UID</param-value> </param> <param> <param-name>sessionCookieForSSOAuth</param-name> <param-value>SMSESSION,CTSESSION,ObSSOCookie</param-value> </param> </valve> </jboss-web>
Rédiger vous-même votre authentificateur est en dehors de la portée de ce document. Cependant, le code Java suivant est fourni comme exemple.
Exemple 17.4. GenericHeaderAuthenticator.java
/* * JBoss, Home of Professional Open Source. * Copyright 2006, Red Hat Middleware LLC, and individual contributors * as indicated by the @author tags. See the copyright.txt file in the * distribution for a full listing of individual contributors. * * This is free software; you can redistribute it and/or modify it * under the terms of the GNU Lesser General Public License as * published by the Free Software Foundation; either version 2.1 of * the License, or (at your option) any later version. * * This software is distributed in the hope that it will be useful, * but WITHOUT ANY WARRANTY; without even the implied warranty of * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU * Lesser General Public License for more details. * * You should have received a copy of the GNU Lesser General Public * License along with this software; if not, write to the Free * Software Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA * 02110-1301 USA, or see the FSF site: http://www.fsf.org. */ package org.jboss.web.tomcat.security; import java.io.IOException; import java.security.Principal; import java.util.StringTokenizer; import javax.management.JMException; import javax.management.ObjectName; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.catalina.Realm; import org.apache.catalina.Session; import org.apache.catalina.authenticator.Constants; import org.apache.catalina.connector.Request; import org.apache.catalina.connector.Response; import org.apache.catalina.deploy.LoginConfig; import org.jboss.logging.Logger; import org.jboss.as.web.security.ExtendedFormAuthenticator; /** * JBAS-2283: Provide custom header based authentication support * * Header Authenticator that deals with userid from the request header Requires * two attributes configured on the Tomcat Service - one for the http header * denoting the authenticated identity and the other is the SESSION cookie * * @author <a href="mailto:Anil.Saldhana@jboss.org">Anil Saldhana</a> * @author <a href="mailto:sguilhen@redhat.com">Stefan Guilhen</a> * @version $Revision$ * @since Sep 11, 2006 */ public class GenericHeaderAuthenticator extends ExtendedFormAuthenticator { protected static Logger log = Logger .getLogger(GenericHeaderAuthenticator.class); protected boolean trace = log.isTraceEnabled(); // JBAS-4804: GenericHeaderAuthenticator injection of ssoid and // sessioncookie name. private String httpHeaderForSSOAuth = null; private String sessionCookieForSSOAuth = null; /** * <p> * Obtain the value of the <code>httpHeaderForSSOAuth</code> attribute. This * attribute is used to indicate the request header ids that have to be * checked in order to retrieve the SSO identity set by a third party * security system. * </p> * * @return a <code>String</code> containing the value of the * <code>httpHeaderForSSOAuth</code> attribute. */ public String getHttpHeaderForSSOAuth() { return httpHeaderForSSOAuth; } /** * <p> * Set the value of the <code>httpHeaderForSSOAuth</code> attribute. This * attribute is used to indicate the request header ids that have to be * checked in order to retrieve the SSO identity set by a third party * security system. * </p> * * @param httpHeaderForSSOAuth * a <code>String</code> containing the value of the * <code>httpHeaderForSSOAuth</code> attribute. */ public void setHttpHeaderForSSOAuth(String httpHeaderForSSOAuth) { this.httpHeaderForSSOAuth = httpHeaderForSSOAuth; } /** * <p> * Obtain the value of the <code>sessionCookieForSSOAuth</code> attribute. * This attribute is used to indicate the names of the SSO cookies that may * be present in the request object. * </p> * * @return a <code>String</code> containing the names (separated by a * <code>','</code>) of the SSO cookies that may have been set by a * third party security system in the request. */ public String getSessionCookieForSSOAuth() { return sessionCookieForSSOAuth; } /** * <p> * Set the value of the <code>sessionCookieForSSOAuth</code> attribute. This * attribute is used to indicate the names of the SSO cookies that may be * present in the request object. * </p> * * @param sessionCookieForSSOAuth * a <code>String</code> containing the names (separated by a * <code>','</code>) of the SSO cookies that may have been set by * a third party security system in the request. */ public void setSessionCookieForSSOAuth(String sessionCookieForSSOAuth) { this.sessionCookieForSSOAuth = sessionCookieForSSOAuth; } /** * <p> * Creates an instance of <code>GenericHeaderAuthenticator</code>. * </p> */ public GenericHeaderAuthenticator() { super(); } public boolean authenticate(Request request, HttpServletResponse response, LoginConfig config) throws IOException { log.trace("Authenticating user"); Principal principal = request.getUserPrincipal(); if (principal != null) { if (trace) log.trace("Already authenticated '" + principal.getName() + "'"); return true; } Realm realm = context.getRealm(); Session session = request.getSessionInternal(true); String username = getUserId(request); String password = getSessionCookie(request); // Check if there is sso id as well as sessionkey if (username == null || password == null) { log.trace("Username is null or password(sessionkey) is null:fallback to form auth"); return super.authenticate(request, response, config); } principal = realm.authenticate(username, password); if (principal == null) { forwardToErrorPage(request, response, config); return false; } session.setNote(Constants.SESS_USERNAME_NOTE, username); session.setNote(Constants.SESS_PASSWORD_NOTE, password); request.setUserPrincipal(principal); register(request, response, principal, HttpServletRequest.FORM_AUTH, username, password); return true; } /** * Get the username from the request header * * @param request * @return */ protected String getUserId(Request request) { String ssoid = null; // We can have a comma-separated ids String ids = ""; try { ids = this.getIdentityHeaderId(); } catch (JMException e) { if (trace) log.trace("getUserId exception", e); } if (ids == null || ids.length() == 0) throw new IllegalStateException( "Http headers configuration in tomcat service missing"); StringTokenizer st = new StringTokenizer(ids, ","); while (st.hasMoreTokens()) { ssoid = request.getHeader(st.nextToken()); if (ssoid != null) break; } if (trace) log.trace("SSOID-" + ssoid); return ssoid; } /** * Obtain the session cookie from the request * * @param request * @return */ protected String getSessionCookie(Request request) { Cookie[] cookies = request.getCookies(); log.trace("Cookies:" + cookies); int numCookies = cookies != null ? cookies.length : 0; // We can have comma-separated ids String ids = ""; try { ids = this.getSessionCookieId(); log.trace("Session Cookie Ids=" + ids); } catch (JMException e) { if (trace) log.trace("checkSessionCookie exception", e); } if (ids == null || ids.length() == 0) throw new IllegalStateException( "Session cookies configuration in tomcat service missing"); StringTokenizer st = new StringTokenizer(ids, ","); while (st.hasMoreTokens()) { String cookieToken = st.nextToken(); String val = getCookieValue(cookies, numCookies, cookieToken); if (val != null) return val; } if (trace) log.trace("Session Cookie not found"); return null; } /** * Get the configured header identity id in the tomcat service * * @return * @throws JMException */ protected String getIdentityHeaderId() throws JMException { if (this.httpHeaderForSSOAuth != null) return this.httpHeaderForSSOAuth; return (String) mserver.getAttribute(new ObjectName( "jboss.web:service=WebServer"), "HttpHeaderForSSOAuth"); } /** * Get the configured session cookie id in the tomcat service * * @return * @throws JMException */ protected String getSessionCookieId() throws JMException { if (this.sessionCookieForSSOAuth != null) return this.sessionCookieForSSOAuth; return (String) mserver.getAttribute(new ObjectName( "jboss.web:service=WebServer"), "SessionCookieForSSOAuth"); } /** * Get the value of a cookie if the name matches the token * * @param cookies * array of cookies * @param numCookies * number of cookies in the array * @param token * Key * @return value of cookie */ protected String getCookieValue(Cookie[] cookies, int numCookies, String token) { for (int i = 0; i < numCookies; i++) { Cookie cookie = cookies[i]; log.trace("Matching cookieToken:" + token + " with cookie name=" + cookie.getName()); if (token.equals(cookie.getName())) { if (trace) log.trace("Cookie-" + token + " value=" + cookie.getValue()); return cookie.getValue(); } } return null; } }
Chapitre 18. Migration
18.1. Configurer les changements de sécurité d'applications
Dans les versions précédentes de JBoss EAP, les fichiers de propriétés qui se trouvent dans le répertoire EAP_HOME/server/SERVER_NAME/conf/
étaient sur un chemin de classe et on pouvait les trouver facilement avec UsersRolesLoginModule
. Dans JBoss EAP 6, la structure du répertoire a changé. Les fichiers de propriétés doivent être empaquetés dans l'application pour les rendre disponibles par le chemin de classe.
Important
security-domains
au standalone/configuration/standalone.xml
ou au fichier de configuration du serveur domain/configuration/domain.xml
:
<security-domain name="example"> <authentication> <login-module code="UsersRoles" flag="required"> <module-option name="usersProperties" value="${jboss.server.config.dir}/example-users.properties"/> <module-option name="rolesProperties" value="${jboss.server.config.dir}/example-roles.properties"/> </login-module> </authentication> </security-domain>
${jboss.server.config.dir}
fait référence au répertoire EAP_HOME/standalone/configuration/
. Si l'instance exécute en domaine géré, ${jboss.server.config.dir}
fait référence au répertoire EAP_HOME/domain/configuration/
.
Dans JBoss EAP 6, les domaines de sécurité n'utilisent plus le préfixe java:/jaas/
dans leurs noms.
- Pour les applications web, vous devez supprimer ce préfixe des configurations du domaine de sécurité dans le fichier
jboss-web.xml
. - Dans les applications Enterprise, vous devez supprimer ce préfixe des configurations du domaine de sécurité dans le fichier
jboss-ejb3.xml
. Ce fichier remplace le fichierjboss.xml
de JBoss EAP 6.
Annexe A. Référence
A.1. Modules d'authentification inclus
Role
dans le nom de Code
Code
ou le nom complet (package) pour vous référer au module.
Modules d'authentification
Tableau A.1. Modules de connexion
Code | Class | Description |
---|---|---|
Client | Class | Ce module de connexion est conçu pour établir l'identité de l'appelant et les informations d'identification lorsque JBoss EAP agit en tant que client. Il ne doit jamais servir sous forme de domaine de sécurité pour l'authentification serveur. |
Remoting | N/A | Le module de connexion d'accès distant est utilisé pour vérifier si la demande actuellement authentifiée est une demande reçue via une connexion d'accès distant. Si c'est le cas, l'identité qui aura été créée pendant le processus d'authentification sera utilisée et associée à la demande en cours. Si la demande n'est pas parvenue via une connexion d'accès distant, ce module ne fera rien et permettra à la connexion JAAS de continuer vers le module suivant. |
RealmDirect | N/A | Le module de connexion RealmDirect utilise un domaine de sécurité pour authentifier la demande en cours si cela n'a pas déjà eu lieu dans le module de connexion d'accès distant, puis utilise le domaine pour charger les rôles d'utilisateurs. Par défaut, ce module de connexion suppose que le domaine à utiliser est ApplicationRealm, bien que d'autres noms peuvent être substitués. L'avantage de cette approche est que toutes les configurations de backup store peuvent être laissées dans le domaine avec la délégation de sécurité domaine. |
Tableau A.2. Options de Modules Client
Option | Type | Par défaut | Description |
---|---|---|---|
multi-threaded | true or false
| false
|
Définir la valeur sur true si chaque thread possède son propre stockage d'informations d'identification et principal. La valeur false pour indiquer que tous les threads de la machine virtuelle partagent la même identité et informations d'identification.
|
password-stacking
| useFirstPass or false
| false
|
Définir la valeur sur useFirstPass pour indiquer que ce module de connexion doive rechercher les informations stockées dans le LoginContext à utiliser comme identité. Cette option peut être utilisée lorsque vous empilez les autres modules de connexion avec.
|
restore-login-identity
| true or false
| false
|
Définir sur true si l'identité et les informations d'identification du début le la méthode login() doivent être restaurées une fois que la méthode logout() est invoquée.
|
Tableau A.3. Certificate
Code | Certificate
|
Class | org.jboss.security.auth.spi.BaseCertLoginModule
|
Description |
Ce module de connexion est conçu pour authentifier les utilisateurs basés sur des
X509 Certificates . Un cas d'utilisation pour ceci est l'authentification CLIENT-CERT d'une application web.
|
Tableau A.4. Options de module Certificate
Option | Type | Par défaut | Description |
---|---|---|---|
securityDomain
| chaîne |
aucun
|
Nom du domaine de sécurité qui possède la configuration JSSE du truststore qui contient les certificats approuvés.
|
verifier
| Class |
aucun
|
Le nom de classe du org.jboss.security.auth.certs.X509CertificateVerifier à utiliser pour vérifier le certificat de connexion.
|
Tableau A.5. CertificateUsers
Code | CertificateUsers
|
Class | org.jboss.security.auth.spi.UsersRolesLoginModule
|
Description |
Utilise deux ressources de propriété. La première mappe les noms d'utilisateurs aux mots de passe, et la seconde mappe les noms d'utilisateurs aux rôles.
|
Tableau A.6. Options de module CertificateUsers
Option | Type | Par défaut | Description |
---|---|---|---|
unauthenticatedIdentity
| chaîne |
aucun
|
Définit le nom principal devant être affecté aux demandes qui ne contiennent aucune information d'authentification. Cela peut permettre à des servlets non protégés d'appeler des méthodes sur EJB ne nécessitant pas un rôle spécifique. Un tel principal ne possédera aucun rôle associé et ne ne pourra accéder qu'aux méthodes EJB ou EJB non sécurisées associées à la contrainte de
permission non contrôlée .
|
password-stacking
| useFirstPass or false
| false
|
Définir la valeur sur
useFirstPass pour indiquer que ce module de connexion doive rechercher les informations stockées dans le LoginContext à utiliser comme identité. Cette option peut être utilisée lorsque vous empilez les autres modules de connexion avec celui-ci.
|
hashAlgorithm | chaîne |
aucun
|
Le nom de l'algorithme
java.security.MessageDigest à utiliser pour hacher le mot de passe. Il n'y a pas de valeur par défaut pour cette option, donc vous devez la définir explicitement pour permettre le hachage. Quand hashAlgorithm est spécifié, le mot de passe en texte clair obtenu de CallbackHandler sera haché avant de passer à UsernamePasswordLoginModule.validatePassword comme argument d'inputPassword. Le expectedPassword stocké dans le fichier users.properties doit être haché de façon similaire. Voir http://docs.oracle.com/javase/6/docs/api/java/security/MessageDigest.html pour obtenir des informations sur java.security.MessageDigest
|
hashEncoding
| base64 ou hex
| base64
|
Le format du string du mot de passe haché, si
hashAlgorithm est défini également.
|
hashCharset
| chaîne |
Le codage par défaut défini dans l'environnement du conteneur.
|
Le codage utilisé pour convertir le mot de passe de texte en clair en un tableau d'octets.
|
usersProperties
|
Le chemin d'accès complet et le nom d'une ressource ou d'un fichier de propriétés
| users.properties
|
Le fichier qui contient les mappages entre les utilisateurs et les mots de passe. Chaque propriété du fichier a le format
username=password .
|
rolesProperties
| Le chemin d'accès complet et le nom d'une ressource ou d'un fichier de propriétés | roles.properties
|
Le fichier qui contient les mappages entre les utilisateurs et les rôles. Chaque propriété du fichier a le format
username=role1,role2,...,roleN
|
ignorePasswordCase
| true or false
| false
|
Si la comparaison de mot de passe doit ignorer la casse. Ceci est utile pour le codage de mots de passe hachés quand le mot de passe haché n'est pas significatif.
|
principalClass
| Un nom de classe complet. |
aucun
|
Une classe d'implémentation de
Principal contenant un constructeur qui prend l'argument du String comme nom de principal.
|
roleGroupSeparator
|
Un seul caractère
| . (un seul point)
|
Le caractère utilisé pour séparer le nom d'utilisateur du nom de groupe de rôle dans le fichier
rolesGroup .
|
defaultUsersProperties
| chaîne | defaultUsers.properties
|
Nom de la ressource ou du fichier où se replier si le fichier usersProperties est introuvable.
|
defaultRolesProperties
| chaîne | defaultRoles.properties
|
Nom de la ressource ou du fichier où se replier si le fichier
rolesProperties est introuvable.
|
hashUserPassword
| true or false
| true
|
Indique si on doit hacher le mot de passe entré par l'utilisateur, lorsqu'
hashAlgorithm est indiqué. La valeur par défaut est true .
|
hashStorePassword
| true or false
| true
|
Indique le mot de passe de store retourné quand le
getUsersPassword() doit être haché, quand hashAlgorithm est spécifié.
|
digestCallback
| Un nom de classe complet. |
aucun
|
Le nom de classe de l'implémentation
org.jboss.crypto.digest.DigestCallback qui inclut le contenu pre/post digest comme les valeurs salt. Utilisé uniquement si l'hashAlgorithm est spécifié.
|
storeDigestCallback
| Un nom de classe complet. |
aucun
|
Le nom de classe de l'implémentation
org.jboss.crypto.digest.DigestCallback qui inclut le contenu pre/post digest comme les valeurs salt pour hacher le mot de passe du store. Utilisé uniquement si l'hashStoreAlgorithm est sur true et si hashAlgorithm est spécifié.
|
callback.option.STRING
| Divers | aucun |
Toutes les options ayant comme préfixe
callback.option. sont passées à la méthode DigestCallback.init(Map) . Le nom d'utilisateur entré est toujours passé par l'option javax.security.auth.login.name , et le mot de passe input/store password est passé par l'option javax.security.auth.login.password au digestCallback ou au storeDigestCallback .
|
Tableau A.7. CertificateRoles
Code | CertificateRoles
|
Class | org.jboss.security.auth.spi.CertRolesLoginModule
|
Description |
Ce module de connexion étend le module de connexion de certificat pour ajouter des fonctions de mappage de rôle à partir d'un fichier de propriétés. Il prend les mêmes options que le module de connexion du certificat et ajoute les options suivantes.
|
Tableau A.8. Options de module CertificateRoles
Option | Type | Par défaut | Description |
---|---|---|---|
rolesProperties
| chaîne | roles.properties
|
Le nom de la ressource ou du fichier contenant les rôles à attribuer à chaque utilisateur. Le fichier de propriétés de rôle doit être dans sous format nom d'utilisateur=role1,role2, où le nom d'utilisateur est le nom unique du certificat, sans signe égal ou espace blanc. L'exemple suivant est dans le bon format :
CN\=unit-tests-client,\ OU\=Red\ Hat\ Inc.,\ O\=Red\ Hat\ Inc.,\ ST\=North\ Carolina,\ C\=US=JBossAdmin |
defaultRolesProperties
| chaîne | defaultRoles.properties
|
Nom de la ressource ou du fichier où se replier si le fichier
rolesProperties est introuvable.
|
roleGroupSeparator
| Un seul caractère | . (un seul point)
|
Le caractère à utiliser comme séparateur de groupe rôle dans le fichier de
roleProperties
|
Tableau A.9. Database
Code | Database |
Class | org.jboss.security.auth.spi.DatabaseServerLoginModule
|
Description |
Un module de connexion basé-JDBC supportant le mappage de rôle et l'authentification. Basé sur deux tables logiques, avec les définitions suivantes.
|
Tableau A.10. Database
Module Options
Option | Type | Par défaut | Description |
---|---|---|---|
dsJndiName
| Ressource JNDI |
aucun
|
Le nom de la ressource JNDI qui store les informations d'authentification. Cette option est requise.
|
principalsQuery
| Énoncé SQL | select Password from Principals where PrincipalID=?
|
La requête SQL préparée pour obtenir les informations sur le principal.
|
rolesQuery
| Énoncé SQL | select Role, RoleGroup from Roles where PrincipalID=?
|
Enoncé SQL préparé en vue d'exécuter pour mapper les rôles. Doit être équivalent à
select Role, RoleGroup from Roles where PrincipalID=? , avec Role comme nom de rôle et la valeur de la colonne RoleGroup doit toujours être Roles . avec un R majuscule.
|
Tableau A.11. DatabaseCertificate
Code | DatabaseCertificate
|
Class | org.jboss.security.auth.spi.DatabaseCertLoginModule
|
Description |
Ce module de connexion étend le module de connexion de certificat pour ajouter des fonctions de mappage de rôle d'une table de bases de données. Il possède les mêmes options mais aussi ces options supplémentaires :
|
Tableau A.12. DatabaseCertificate
Module Options
Option | Type | Par défaut | Description |
---|---|---|---|
dsJndiName
| Ressource JNDI |
|
Le nom de la ressource JNDI qui store les informations d'authentification. Cette option est requise.
|
rolesQuery
| Énoncé SQL | select Role,RoleGroup from Roles where PrincipalID=?
|
Enoncé SQL préparé en vue d'exécuter pour mapper les rôles. Doit être équivalent à
select Role, RoleGroup from Roles where PrincipalID=? , avec Role comme nom de rôle et la valeur de la colonne RoleGroup doit toujours être Roles . avec un R majuscule.
|
suspendResume
| true or false
| true
|
Indique si une transaction JTA existante doit être suspendue pendant les opérations de base de données.
|
Tableau A.13. Identity
Code | Identity
|
Class | org.jboss.security.auth.spi.IdentityLoginModule
|
Description |
Associe le principal spécifié dans les options de module avec n'importe quel sujet authentifié dans le module. Le type de classe de principal utilisée est
org.jboss.security.SimplePrincipal. Si aucune option de principal n'est spécifiée, on utilisera un principal ayant pour nom guest .
|
Tableau A.14. Options de module Identity
Option | Type | Par défaut | Description |
---|---|---|---|
principal
| chaîne | guest
|
Le nom à utiliser pour le principal.
|
roles
| Une liste de chaînes séparées par des virgules |
aucun
|
Une liste de rôles séparés par des virgules qui seront assignés au sujet.
|
Tableau A.15. Ldap
Code | Ldap
|
Class | org.jboss.security.auth.spi.LdapLoginModule
|
Description |
Authentifie sur un serveur LDAP, lorsque le nom d'utilisateur et le mot de passe sont stockés dans un serveur LDAP qui est accessible à l'aide d'un fournisseur LDAP JNDI. Bon nombre des options ne sont pas requises, car elles sont déterminées par le fournisseur LDAP ou l'environnement.
|
Tableau A.16. Options de module Ldap
Option | Type | Par défaut | Description |
---|---|---|---|
java.naming.factory.initial
| class name | com.sun.jndi.ldap.LdapCtxFactory
|
Nom de classe de l'implémentation
InitialContextFactory .
|
java.naming.provider.url
| ldap:// URL
|
aucun
|
URL pour le serveur LDAP
|
java.naming.security.authentication
| none , simple , ou le nom d'un mécanisme SASL
| simple
|
Le niveau de sécurité à utiliser pour la liaison avec le serveur LDAP.
|
java.naming.security.protocol
| Protocole de transport |
Si non spécifié, déterminé par le fournisseur.
|
Le protocole de transport à utiliser pour l'accès sécurisé, comme SSL.
|
java.naming.security.principal
| chaîne |
aucun
|
Le nom du principal permettant d'authentifier l'appelant vers le service. Il est construit à partir des autres propriétés décrites ci-dessous.
|
java.naming.security.credentials
| Un type d'information d'identification |
aucun
|
Le type d'information d'identification utilisée par le schéma d'authentification. Exemples : mot de passe haché, mot de passe de texte clair, clé ou certificat. Si cette propriété n'est pas spécifiée, le comportement est déterminé par le fournisseur de service.
|
principalDNPrefix
| chaîne |
aucun
|
Préfixe ajouté au nom d'utilisateur pour former le DN de l'utilisateur. Vous pouvez demander à l'utilisateur un nom d'utilisateur et créer le nom de domaine DN complet en utilisant
principalDNPrefix et principalDNSuffix .
|
principalDNSuffix
| chaîne |
|
Suffixe ajouté au nom d'utilisateur pour former le DN de l'utilisateur. Vous pouvez demander à l'utilisateur un nom d'utilisateur et créer le nom de domaine DN complet en utilisant
principalDNPrefix et principalDNSuffix .
|
useObjectCredential
| true or false
|
false
|
Si les informations d'identification doivent être obtenues sous forme d'objet opaque à l'aide du type de Callback
org.jboss.security.auth.callback.ObjectCallback plutôt que comme mot de passe char[] utilisant un JAAS PasswordCallback. Cela permet de passer les informations d'identification non-char[] au serveur Ldap.
|
rolesCtxDN
| DN complet |
aucun
|
Le DN complet pour le contexte à chercher pour les rôles d'utilisateur.
|
userRolesCtxDNAttributeName
|
Attribut
|
aucun
|
L'attribut dans l'objet utilisateur qui contient le nom unique DN pour que le contexte recherche des rôles d'utilisateur. Cela diffère de
rolesCtxDN car le contexte de recherche de rôles d'utilisateur peut être unique pour chaque utilisateur.
|
roleAttributeID
| Attribut | roles
|
Nom de l'attribut qui contient les rôles d'utilisateur.
|
roleAttributeIsDN
| true or false
| false
|
Indique si le
roleAttributeID contient le nom de domaine complet d'un objet de rôle. Si false, le nom de rôle est tiré de la valeur de l'attribut roleNameAttributeId du nom de contexte. Certains schémas de répertoire, tel que Active Directory, requièrent que cet attribut soit défini à true .
|
roleNameAttributeID
| Attribut | group
|
Nom de l'attribut du contexte de
roleCtxDN qui contient le nom de rôle. Si la propriété roleAttributeIsDN est définie sur true , cette propriété sera utilisée pour rechercher l'attribut de nom de l'objet rôle.
|
uidAttributeID
| Attribut | uid
|
Nom de l'attribut qui contient le
UserRolesAttributeDN correspondant à l'ID d'utilisateur. Utilisé pour localiser les rôles d'utilisateur.
|
matchOnUserDN
| true or false
| false
|
Indique si la recherche de rôles d'utilisateur doit correspondre au DN uhique de l'utilisateur ou au nom d'utilisateur uniquement. Si
true , l'userDN complet sera utilisé comme valeur de correspondance. Si false , seul le nom d'utilisateur sera utilisé comme valeur de correspondance pour l'attribut UserRolesAttributeDN .
|
allowEmptyPasswords
| true or false
| true
|
Indique si on doit autoriser les mots de passe vides. La plupart des serveurs LDAP traitent les mots de passe vides comme des tentatives de connexion anonymes. Pour rejeter les mots de passe vides, définir à false.
|
Tableau A.17. LdapExtended
Code | LdapExtended
|
Class | org.jboss.security.auth.spi.LdapExtLoginModule
|
Description |
Une autre implémentation de module de connexion LDAP qui utilise les recherches pour localiser l'utilisateur de liaisons et rôles associés. La requête de rôles suit récursivement les noms de domaines DN pour naviguer dans une structure de rôles hiérarchique. Il utilise les mêmes options
java.naming que le module Ldap, et utilise les options suivantes à la place des autres options du module Ldap.
L'authentification a lieu en 2 étapes :
|
Tableau A.18. Options de module LdapExtended
Option | Type | Par défaut | Description |
---|---|---|---|
baseCtxDN
| DN complet |
aucun
|
Le DN fixe de contexte de niveau supérieur pour commencer la recherche utilisateur.
|
bindDN
| DN complet |
aucun
|
Le DN utilisé pour la liaison au serveur LDAP pour les requêtes d'utilisateurs et de rôles. Ce nom unique a besoin d'autorisations de lecture et de recherche pour les valeurs
baseCtxDN et rolesCtxDN .
|
bindCredential
| Un string, parfois crypté |
aucun
|
Mots de passe stockés en tant que texte brut pour le
bindDN , ou chargés en externe par la commande EXT . Ce mot de passe peut être crypté par le mécanisme d'archivage sécurisé. Vous pourrez utiliser les formats suivants :
Reportez-vous à la rubrique suivante pour en savoir plus sur le cryptage des chaînes sensibles : Section 10.11.2, « Créer un Keystore Java pour stocker des strings sensibles »
|
baseFilter
| String de filtre LDAP |
aucun
|
Un filtre de recherche permettant de localiser le contexte de l'utilisateur à authentifier. L'entrée username ou userDN obtenue à partir du rappel de module de connexion est substituée dans le filtre à chaque fois qu'une expression
{0} est utilisée. Un exemple de filtre de recherche est (uid={0}) .
|
rolesCtxDN
| DN complet |
aucun
|
Le DN fixe du contexte pour rechercher des rôles d'utilisateur. Ce n'est pas le DN où les rôles se trouvent, mais le DN où les objets contenant les rôles d'utilisateur se trouvent. Par exemple, dans un serveur Active Directory de Microsoft, c'est le DN où le compte d'utilisateur se trouve.
|
roleFilter
| String de filtre LDAP |
|
Un filtre de recherche permettant de localiser les rôles associés à l'utilisateur authentifié. L'entrée user ou userDN obtenue à partir du rappel de module de connexion est substituée dans le filtre à chaque fois qu'une expression
{0} est utilisée. L'utilisateur DN (userDN) authentifié sera substitué dans le filtre à chaque fois qu'un {1} sera utilisé. Un exemple de filtre de recherche qui correspond au nom d'utilisateur d'entrée serait (member={0}) . Un autre correspondant au userDN authentifié pourrait être (member={1}) .
|
roleAttributeIsDN | true or false
| false
|
Indique si le
roleAttributeID contient le nom de domaine complet d'un objet de rôle. Si false, le nom de rôle est tiré de la valeur de l'attribut roleNameAttributeId du nom de contexte. Certains schémas de répertoire, tel que Active Directory, requièrent que cet attribut soit défini à true .
|
defaultRole
|
Un nom de rôle.
|
aucun
|
Un rôle inclus pour tous les utilisateurs authentifiés
|
parseRoleNameFromDN
| true ou false
| false
|
Un indicateur qui signale si le DN retourné par une requête contient le roleNameAttributeID. Si la valeur est
true , le DN contient le roleNameATtributeID. Si la valeur est false , le DN ne contient pas le roleNameAttributeID. Cet indicateur peut améliorer les performances des requêtes LDAP.
|
parseUsername
| true ou false
| false
|
Un indicateur qui signale si le DN doit être vérifié niveau nom d'utilisateur. Si la valeur est
true , le DN est vérifié niveau nom d'utilisateur. Si la valeur est false , le DN n'est pas vérifié au niveau nom d'utilisateur. Cet option peut à la fois être utilisée pour usernameBeginString et usernameEndString.
|
usernameBeginString
|
chaîne
|
aucun
|
Définit le string qui doit être supprimé au début du DN pour révéler le nom d'utilisateur. Cette option est utilisée avec
usernameEndString .
|
usernameEndString
|
chaîne
|
aucun
|
Définit le string qui doit être supprimé à la fin du DN pour révéler le nom d'utilisateur. Cette option est utilisée avec
userBeginString .
|
roleNameAttributeID
| Attribut | group
|
Nom de l'attribut du contexte de
roleCtxDN qui contient le nom de rôle. Si la propriété roleAttributeIsDN est définie sur true , cette propriété sera utilisée pour rechercher l'attribut de nom de l'objet rôle.
|
distinguishedNameAttribute
| Attribut | distinguishedName
|
Le nom de l'attribut dans l'entrée de l'utilisateur qui contient le nom unique de l'utilisateur. Ceci peut être nécessaire si le DN de l'utilisateur lui-même contient des caractères spéciaux (barre oblique inverse par exemple) qui empêchent le mappage de l'utilisateur. Si l'attribut n'existe pas, le DN de l'entrée sera utilisé.
|
roleRecursion
| Un entier relatif | 0
|
Le nombre de niveaux de récursivité de la recherche de rôle dans un contexte de correspondance donné. Désactiver la récursivité en attribuant le paramètre
0 .
|
searchTimeLimit
| Un entier relatif | 10000 (10 seconds)
|
Timeout en millisecondes pour les recherches utilisateur/rôle.
|
searchScope
|
Un parmi :
OBJECT_SCOPE, ONELEVEL_SCOPE, SUBTREE_SCOPE
| SUBTREE_SCOPE
|
Étendue à utiliser.
|
allowEmptyPasswords
| true or false
| true
|
Indique si on doit autoriser les mots de passe vides. La plupart des serveurs LDAP traitent les mots de passe vides comme des tentatives de connexion anonymes. Pour rejeter les mots de passe vides, définir à false.
|
Tableau A.19. RoleMapping
Code | RoleMapping
|
Class | org.jboss.security.auth.spi.RoleMappingLoginModule
|
Description |
Mappe un rôle qui est le résultat final du processus d'authentification de manière déclarative. Ce module doit être marqué comme étant
optionnel quand vous y ajoutez le domaine de sécurité.
|
Tableau A.20. Options de module RoleMapping
Option | Type | Par défaut | Description |
---|---|---|---|
rolesProperties
| Le chemin d'accès complet et le nom d'une ressource ou d'un fichier de propriétés | roles.properties
|
Nom de la ressource ou du fichier de propriétés qui mappe les rôles aux rôles de remplacement. Le format est
original_role=role1,role2,role3
|
replaceRole
| true or false
| false
|
Indique si on doit ajouter les rôles en cours, ou les remplacer par les rôles mappés. Sont remplacés si définis sur
true .
|
Tableau A.21. RunAs
Code | RunAs
|
Class | Class: org.jboss.security.auth.spi.RunAsLoginModule
|
Description |
Un module d'assistance qui pousse un rôle
run as dans la pile pour la durée de la phase d'authentification de la connexion, et qui extrait le rôle run as de la pile soit dans la phase commit ou abort. Ce module de connexion fournit un rôle pour les autres modules de connexion qui doivent accéder aux ressources sécurisées afin d'effectuer leur authentification, par exemple un module de connexion qui accède à un EJB sécurisé. RunAsLoginModule doit être configuré avant que les modules de connexion qui ont besoin d'une rôle run as soient mis en place.
|
Tableau A.22. Options RunAs
Option | Type | Par défaut | Description |
---|---|---|---|
roleName
| Un nom de rôle. | nobody
|
Le nom de rôle à utiliser comme rôle
run as pendant la phase de connexion.
|
Tableau A.23. Simple
Code | Simple
|
Class | org.jboss.security.auth.spi.SimpleServerLoginModule
|
Description |
Module d'installation rapide de sécurité pour les tests. Implémente ce simple algorithme :
|
Simple
Module Options
Le module Simple
n'a pas d'options.
Tableau A.24. ConfiguredIdentity
Code | ConfiguredIdentity
|
Class | org.picketbox.datasource.security.ConfiguredIdentityLoginModule
|
Description |
Associe le principal spécifié dans les options du module avec n'importe quel sujet authentifié dans le module. Le type de classe du Principal classe est
org.jboss.security.SimplePrincipal .
|
Tableau A.25. ConfiguredIdentity
Module Options
Option | Type | Par défaut | Description |
---|---|---|---|
principal
| Nom d'un principal. | none
|
Le principal qui sera associé avec n'importe quel sujet authentifié dans le module.
|
Tableau A.26. SecureIdentity
Code | SecureIdentity
|
Class | org.picketbox.datasource.security.SecureIdentityLoginModule
|
Description |
Ce module est fourni à des fins d'héritage. Il permet de crypter un mot de passe et ensuite d'utiliser le mot de passe crypté avec un principal statique. Si votre application utilise
SecureIdentity , envisager plutôt d'utiliser un mécanisme d'archivage sécurisé de mot de passe.
|
Tableau A.27. Options de module SecureIdentity
Option | Type | Par défaut | Description |
---|---|---|---|
username
| chaîne | aucun | Le nom d'utilisateur pour l'authentification. |
password
| string encodé | aucun |
Le mot de passe à utiliser pour l'authentification. Pour crypter le mot de passe, utilisez le module directement dans la ligne de commande.
Coller le résultat de cette commande dans le champ d'option de module.
|
managedConnectionFactoryName
| Une ressource JCA | aucun |
Le nom de la fabrique de connexions JCA à utiliser pour votre source de données.
|
Tableau A.28. PropertiesUsers
Code | PropertiesUsers
|
Class | org.jboss.security.auth.spi.PropertiesUsersLoginModule
|
Description |
Utilise un fichier de propriétés pour stocker les noms d'utilisateur et mots de passe pour l'authentification. Aucune autorisation (correspondance de rôle) n'est fournie. Ce module convient seulement pour les tests.
|
Tableau A.29. SimpleUsers
Code | SimpleUsers
|
Class | org.jboss.security.auth.spi.SimpleUsersLoginModule
|
Description |
Ce module de connexion stocke le nom d'utilisateur et le mot de passe en texte clair dans un fichier de propriétés de Java. Il est inclus pour les essais uniquement et n'est pas approprié pour un environnement de production.
|
Tableau A.30. Options de module SimpleUsers
Option | Type | Par défaut | Description |
---|---|---|---|
username
| chaîne | aucun | Le nom d'utilisateur pour l'authentification. |
password
| chaîne | aucun | Le nom d'utilisateur en texte clair pour l'authentification. |
Tableau A.31. LdapUsers
Code | LdapUsers
|
Class | org.jboss.security.auth.spi.LdapUsersLoginModule
|
Description |
Le module
LdapUsers est remplacé par les modules ExtendedLDAP et AdvancedLdap .
|
Tableau A.32. Kerberos
Code | Kerberos
|
Class | com.sun.security.auth.module.Krb5LoginModule
|
Description |
Effectue l'authentification de connexion Kerberos avec GSSAPI. Ce module fait partie de la structure de sécurité de l'API fourni par Sun Microsystems. Vous trouverez des informations à ce sujet dans http://docs.oracle.com/javase/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html. Ce module devra être mis en correspondance avec un autre module qui gère les mappages d'authentification et de rôles.
|
Tableau A.33. Options de module Kerberos
Option | Type | Par défaut | Description |
---|---|---|---|
storekey
| true or false
| false |
Indique si on doit ajouter
KerberosKey dans les informations d'authentification privées du sujet.
|
doNotPrompt
| true or false
| false |
Si défini à
true , l'utilisateur n'aura pas besoin de mot de passe.
|
useTicketCache
|
Valeur booléenne de
. true ou false
| false |
Si défini à
true , le GTG sera obtenu à partir du cache du ticket. Si défini sur false , le cache du ticket ne sera pas utilisé.
|
ticketcache
| Un fichier ou une ressource qui représente un cache de ticket Kerberos. |
La valeur par défaut dépend du système d'exploitation que vous utilisez.
| Emplacement du ticketcache. |
useKeyTab
| true or false
| false | Indique si on doit obtenir la clé du principal à partir d'un keytab. |
keytab
| Un fichier ou une ressource représentant un onglet de clé Kerberos. |
l'emplacement du fichier de configuration Kerberos du système d'exploitation, ou
/home/user/krb5.keytab
| Emplacement du fichier keytab. |
principal
| chaîne | aucun |
Le nom du principal. Cela peut être un simple nom d'utilisateur ou un nom de service tel que
host/testserver.acme.com . Utiliser cela au lieu d'obtenir le principal d'un fichier keytab, ou lorsque le fichier keytab contient plus d'un principal.
|
useFirstPass
| true or false
| false |
Indique si on doit extraire le nom d'utilisateur et le mot de passe de l'état partagé du module à l'aide de
javax.security.auth.login.name et de javax.security.auth.login.password comme clés. Si l'authentification échoue, il n'y aura pas de nouvelle tentative.
|
tryFirstPass
| true or false
| false |
Identique à
useFirstPass , mais si l'authentification échoue, le module utilise le CallbackHandler pour récupérer un nouveau nom d'utilisateur et mot de passe. Si la seconde authentification échoue, l'échec sera signalé à l'application appelante.
|
storePass
| true or false
| false |
Indique si on doit stocker le nom d'utilisateur et le mot de passe de l'état partagé du module. N'a pas lieu si les clés existent déjà dans l'état partagé, ou si l'authentification a échoué.
|
clearPass
| true or false
| false |
Définir à
true pour supprimer le nom de l'utilisateur et le mot de passe de l'état partagé une fois que les deux phases d'authentification sont terminées.
|
Tableau A.34. SPNEGOUsers
Code | SPNEGOUsers
|
Class | org.jboss.security.negotiation.spnego.SPNEGOLoginModule
|
Description |
Effectue l'authentification de connexion SPNEGO vers un serveur Microsoft Active Directory ou autre environnement qui supporte SPNEGO. SPNEGO peut également transporter les informations d'identification de Kerberos. Ce module a besoin de fonctionner en parallèle à un autre module qui gère l'authentification et le mappage des rôles.
|
Tableau A.35. Options de module SPNEGO
Option | Type | Par défaut | Description |
---|---|---|---|
storeKey
| true or false
| false
|
Indique si on doit stocker la clé ou non.
|
useKeyTab
| true or false
| false
|
Indique si on doit utiliser un keytab.
|
principal
|
String représentant un principal d'authentification.
|
aucun
|
Le nom du principal pour l'authentification.
|
keyTab
|
Un fichier ou une ressource représentant un keytab.
| none
|
L'emplacement d'un keytab.
|
doNotPrompt
| true or false
| false
|
Si on doit demander un mot de passe.
|
debug
| true or false
| false
|
Indique si on doit enregistrer plus de messages verbeux pour pouvoir déboguer.
|
Tableau A.36. AdvancedLdap
Code | AdvancedLdap |
Class | org.jboss.security.negotiation.AdvancedLdapLoginModule
|
Description |
Module qui fournit davantage de fonctionnalité, comme SASL et l'utilisation d'un domaine de sécurité JAAS.
|
Tableau A.37. Options de module AdvancedLdap
Option | Type | Par défaut | Description |
---|---|---|---|
bindAuthentication
|
chaîne
|
aucun
|
Le type d'authentification SASL à utiliser pour se lier au serveur de répertoires.
|
java.naming.provider.url
| string
|
aucun
|
L'URI du serveur de répertoires.
|
baseCtxDN
|
DN (Nom Distinctif) complet
|
aucun
|
Le nom distinctif à utiliser comme base pour les recherches.
|
baseFilter
|
Chaîne représentant un filtre de recherche LDAP
|
aucun
|
Le filtre à utiliser pour réduire les résultats des recherches.
|
roleAttributeID
|
Chaîne représentant un attribut LDAP
|
aucun
|
L'attribut LDAP qui contient les noms des rôles d'autorisation.
|
roleAttributeIsDN
| true or false
| false
|
Indique si l'attribut de rôle est un Nom Distinctif (DN).
|
roleNameAttributeID
|
Chaîne représentant un attribut LDAP
|
aucun
|
L'attribut contenu dans
RoleAttributeId qui contient lui-même l'attribut de rôle.
|
recurseRoles
| true or false
| false
|
Indique si on doit chercher récursivement des rôles dans
RoleAttributeId .
|
Tableau A.38. AdvancedADLdap
Code | AdvancedADLdap |
Class | org.jboss.security.negotiation.AdvancedADLoginModule
|
Description |
Ce module étend le module de connexion
AdvancedLdap , et ajoute des paramètres supplémentaires utiles au répertoire Microsoft Active DIrectory.
|
Tableau A.39. UsersRoles
Code | UsersRoles |
Class | org.jboss.security.auth.spi.UsersRolesLoginModul
|
Description |
Un module de connexion supportant des utilisateurs multiples et des rôles utilisateur stockés dans deux fichiers de propriétés différents.
|
Tableau A.40. Options de module UsersRoles
Option | Type | Par défaut | Description |
---|---|---|---|
usersProperties
|
Chemin d'accès à un fichier ou à une ressource.
| users.properties
|
Fichier ou ressource qui contient les mappages d'utilisateur aux mots de passe. Le format du fichier est
user=hashed-password
|
rolesProperties
|
Chemin d'accès à un fichier ou à une ressource.
| roles.properties
|
Fichier ou ressource qui contient les mappages d'utilisateur aux rôles. Le format du fichier est
username=role1,role2,role3
|
password-stacking
| useFirstPass or false
| false
|
La valeur de
useFirstPass indique si ce module de connexion doit tout d'abord rechercher les informations stockées dans le LoginContext à utiliser comme identité. Cette option peut être utilisée lorsque vous empilez les autres modules de connexion avec celui-ci.
|
hashAlgorithm
|
Chaîne représentant un algorithme de hachage de mot de passe.
| none
|
Le nom de l'algorithme
java.security.MessageDigest à utiliser pour hacher le mot de passe. Il n'y a pas de valeur par défaut pour cette option, donc vous devez la définir explicitement pour permettre le hachage. Quand hashAlgorithm est spécifié, le mot de passe en texte clair obtenu de CallbackHandler sera haché avant d'être passé à UsernamePasswordLoginModule.validatePassword comme argument inputPassword . Le mot de passe stocké dans le fichier users.properties doit être haché de façon similaire.
|
hashEncoding
| base64 ou hex
| base64
|
Le format du string du mot de passe haché, si hashAlgorithm est défini également.
|
hashCharset
|
chaîne
|
Le codage par défaut défini dans l'environnement runtime du conteneur.
|
Le codage utilisé pour convertir le mot de passe de texte en clair en un tableau d'octets.
|
unauthenticatedIdentity
|
Un nom de principal
|
aucun
|
Définit le nom principal affecté aux demandes qui ne contiennent aucune information d'authentification. Cela peut permettre à des servlets non protégés d'appeler des méthodes sur EJB ne nécessitant pas un rôle spécifique. Un tel principal ne possédera aucun rôle associé et ne ne pourra accéder qu'aux méthodes EJB ou EJB non sécurisées associées à la contrainte de
permission non contrôlée .
|
Les modules d'authentification sont des implémentations de javax.security.auth.spi.LoginModule
. Reportez-vous à la documentation de l'API pour plus d'informations sur la création d'un module d'authentification personnalisé.
A.2. Modules d'autorisation inclus
Code | Class |
---|---|
DenyAll | org.jboss.security.authorization.modules.AllDenyAuthorizationModule |
PermitAll | org.jboss.security.authorization.modules.AllPermitAuthorizationModule |
Delegating | org.jboss.security.authorization.modules.DelegatingAuthorizationModule |
Web | org.jboss.security.authorization.modules.WebAuthorizationModule |
JACC | org.jboss.security.authorization.modules.JACCAuthorizationModule |
A.3. Modules de sécurité inclus
Code | Class |
---|---|
PropertiesRoles | org.jboss.security.mapping.providers.role.PropertiesRolesMappingProvider |
SimpleRoles | org.jboss.security.mapping.providers.role.SimpleRolesMappingProvider |
DeploymentRoles | org.jboss.security.mapping.providers.DeploymentRolesMappingProvider |
DatabaseRoles | org.jboss.security.mapping.providers.role.DatabaseRolesMappingProvider |
LdapRoles | org.jboss.security.mapping.providers.role.LdapRolesMappingProvider |
A.4. Modules Security Auditing Provider inclus
Code | Class |
---|---|
LogAuditProvider | org.jboss.security.audit.providers.LogAuditProvider |
A.5. Référence de Configuration jboss-web.xml
Le fichier jboss-web.xml
se trouve dans WEB-INF
ou dans le répertoire META-INF
de votre déploiement. Il contient des informations de configuration sur des fonctionnalités que le conteneur JBoss Web ajoute au Servlet 3.0. Les paramètres de configuration spécifiques à la spécification de Servlet 3.0 se trouvent dans web.xml
, dans le même répertoire.
jboss-web.xml
est l'élément <jboss-web>
.
La plupart des paramètres de configuration font correspondre les prérequis définis dans le fichier web.xml
de l'application à des ressources locales. Pour plus d'explications sur les paramètres de configuration de web.xml
consulter http://docs.oracle.com/cd/E13222_01/wls/docs81/webapp/web_xml.html.
web.xml
requiert jdbc/MyDataSource
, alors jboss-web.xml
fera sans doute correspondre la source de données globale java:/DefaultDS
pour remplir ce besoin. Le WAR utilise la source de données globale pour faire correspondre jdbc/MyDataSource
.
Tableau A.41. Attributs de Haut niveau Communs
Attribut | Description |
---|---|
env-entry |
Un mappage à
env-entry requis par web.xml .
|
ejb-ref |
Un mappage à
ejb-ref requis par web.xml .
|
ejb-local-ref |
Un mappage à
ejb-local-ref requis par web.xml .
|
service-ref |
Un mappage à
service-ref requis par web.xml .
|
resource-ref |
Un mappage à
resource-ref requis par web.xml .
|
resource-env-ref |
Un mappage à
resource-env-ref requis par web.xml .
|
message-destination-ref |
Un mappage à
message-destination-ref requis par web.xml .
|
persistence-context-ref |
Un mappage à
persistence-context-ref requis par web.xml .
|
persistence-unit-ref |
Un mappage à
persistence-unit-ref requis par web.xml .
|
post-construct |
Un mappage à
post-context requis par web.xml .
|
pre-destroy |
Un mappage à
pre-destroy requis par web.xml .
|
data-source |
Un mappage à
data-source requis par web.xml .
|
context-root | Le contexte root de l'application. La valeur par défaut est le nom du déploiement sans le suffixe .war . |
virtual-host | Le nom de l'hôte virtuel HTTP à partir duquel l'application accepte les requêtes. Se réfère au contenu de l'en-tête de l'Host HTTP. |
annotation | Décrit une annotation utilisée par l'application. Voir <annotation> pour plus d'information. |
listener | Décrit un listener utilisé par l'application. Voir <listener> pour plus d'information. |
session-config | Cet élément remplit la même fonction que l'élément <session-config> du fichier web.xml et est inclus dans un but de compatibilité seulement. |
valve | Décrit une valve utilisée par l'application. Voir <valve> pour plus d'information. |
overlay | Le nom d'une couche supplémentaire à ajouter à l'application. |
security-domain | Le nom du domaine de sécurité utilisé par l'application. Le domaine de sécurité lui-même est configuré à partir de la console de gestion basée web ou le Management CLI. |
security-role | Cet élément remplit la même fonction que l'élément <session-role> du fichier web.xml et est inclus dans un but de compatibilité seulement. |
use-jboss-authorization | Si cet élément est présent et contient la valeur non sensible à la casse "true", la pile d'autorisation web JBoss sera utilisée. S'il n'est pas présent ou contient une valeur non "true", alors seuls les mécanismes d'autorisation indiqués dans les spécifications Java Enterprise Edition specifications seront utilisés. Cet élément est nouveau dans JBoss EAP 6. |
disable-audit | Si cet élément vide est présent, l'auditing de sécurité web sera désactivé. Sinon, il sera activé. L'auditing de sécurité web ne fait pas partie de la spécification Java EE. Cet élément est nouveau dans JBoss EAP 6. |
disable-cross-context | Si sur false , l'application sera en mesure d'appeler un autre contexte d'application. La valeur par défaut est true . |
Décrit une annotation utilisée par l'application. Le tableau suivant liste les éléments enfants d'une <annotation>
.
Tableau A.42. Éléments de configuration d'une annotation
Attribut | Description |
---|---|
class-name |
Nom de la classe de l'annotation
|
servlet-security |
L'élément, comme
@ServletSecurity , qui représente la sécurité du servlet.
|
run-as |
L'élément, comme
@RunAs , qui représente l'information run-as
|
multi-part |
L'élément, comme
@MultiPart , qui représente l'information multi-part.
|
Décrit un listener. Le tableau suivant liste les éléments enfants d'un <listener>
.
Tableau A.43. Éléments de configuration d'un listener
Attribut | Description |
---|---|
class-name |
Nom de la classe du listener
|
listener-type |
Liste les éléments de
condition qui indiquent quel sorte de listener ajouter au contexte de l'application. Les choix valides sont les suivants :
|
module |
Le nom du module qui contient la classe du listener.
|
param |
Un paramètre. Contient deux éléments enfants,
<param-name> et <param-value> .
|
Décrit une valve de l'application. Contient les mêmes éléments de configuration que <listener>.
A.6. Référence de paramètre de sécurité EJB
Tableau A.44. Éléments de paramètres de sécurité EJB
Élément | Description |
---|---|
<security-identity>
|
Contient des éléments enfants relatifs à l'identité de sécurité d'un EJB.
|
<use-caller-identity />
|
Indique que l'EJB utilise la même identité de sécurité que l'appelant.
|
<run-as>
|
Contient un élément
<role-name> .
|
<run-as-principal>
|
Si présent, indique le principal assigné aux appels sortants. Si non présent, les appels sortants sont assignés à un principal nommé
anonymous .
|
<role-name>
|
Spécifie le role d'exécution de l'EJB.
|
<description>
|
Décrit le role nommé dans
. <role-name>
|
Exemple A.1. Exemples d'identité de sécurité
<session>
.
<ejb-jar> <enterprise-beans> <session> <ejb-name>ASessionBean</ejb-name> <security-identity> <use-caller-identity/> </security-identity> </session> <session> <ejb-name>RunAsBean</ejb-name> <security-identity> <run-as> <description>A private internal role</description> <role-name>InternalRole</role-name> </run-as> </security-identity> </session> <session> <ejb-name>RunAsBean</ejb-name> <security-identity> <run-as-principal>internal</run-as-principal> </security-identity> </session> </enterprise-beans> </ejb-jar>
Annexe B. Revision History
Historique des versions | |||
---|---|---|---|
Version 1.0.0-1 | Thu Mar 20 2014 | CS Builder Robot | |
|