11.6.4. Configurer l'authentification dans un domaine de sécurité

Pour configurer les paramètres d'authentification d'un domaine de sécurité, vous connecter dans la console de gestion et suivre la procédure suivante :

Procédure 11.2. Configurez l'authentification dans un domaine de sécurité

  1. Ouvrir l'affichage détaillé du domaine de sécurité.

    1. Cliquez sur l'étiquette Configuration qui se trouve en haut de la console de gestion.
    2. Sélectionnez le profil à modifier à partir du menu de sélection Profile qui se trouve en haut et à gauche de la vue 'Profile'.
    3. Étendre l'item de menu Security, puis sélectionnez Security Domains.
    4. Cliquez sur le lien View pour obtenir le domaine de sécurité que vous voulez modifier.
  2. Naviguez dans la configuration du sous-système d'authentification.

    Sélectionnez l'étiquette Authentification en haut de l'affichage si elle n'a pas déjà été sélectionnée.
    La zone de configuration est divisée en deux : Login Modules et Details. Le module de connexion est l'unité de base de configuration. Un domaine de sécurité peut inclure plusieurs polices d'autorisation, et chacune peut inclure plusieurs attributs et options.
  3. Ajoutez un module de connexion

    Cliquez sur le bouton Add pour ajouter un module d'authentification JAAS. Remplissez les informations pour votre module.
    Le Code est le nom de classe de votre module. Les Flags controlent la façon dont le module est lié à d'autres modules de polices d'authentification du même domaine de sécurité.
    Explication des indicateurs

    La spécification Java Enterprise Edition 6 fournit l'explication suivante sur les marqueurs des modules de sécurité. La liste suivante provient de http://docs.oracle.com/javase/6/docs/technotes/guides/security/jaas/JAASRefGuide.html#AppendixA. Consultez ce document pour obtenir des informations plus détaillées.

    Marqueur Détails
    requis
    Le LoginModule est requis pour la réussite. En cas de réussite ou d'échec, l'autorisation continuera son chemin dans la liste du LoginModule.
    pré-requis
    Le LoginModule est requis pour la réussite. En cas de succès, l'authentification continue vers le bas de la liste LoginModule. En cas d'échec, le contrôle est renvoyé immédiatement à l'application (l'authentification ne continue pas son chemin le long de la liste LoginModule).
    suffisant
    Le LoginModule n'est pas nécessaire pour aboutir. S'il ne réussit pas, le contrôle retournera immédiatement à l'application (l'authentification ne se déroule pas vers le bas de la liste LoginModule). S'il échoue, l'authentification se poursuit vers le bas de la liste LoginModule.
    option
    Le LoginModule n'est pas requis pour la réussite. En cas de réussite ou d'échec, l'autorisation continuera son chemin dans la liste du LoginModule.
  4. Modifiez les paramètres d'authentification

    Une fois que vous aurez ajouté votre module, vous pourrez modifier son Code ou ses Flags (indicateurs) en cliquant Edit dans la section Details de l'écran. Veillez à ce que l'onglet Attributes soit bien sélectionné.
  5. Option : ajouter ou supprimer un module

    Pour ajouter des options à votre module, cliquez sur leurs entrées dans la liste Login Modules, et sélectionnez l'onglet Module Options dans la section Details qui se trouve en bas de la page. Cliquez sur le bouton Add, et fournir la clé et la valeur de l'option. Utilisez le bouton Remove pour supprimer l'option.
Résultat

Votre module d'authentification est ajouté au domaine de sécurité, et est rendu disponible immédiatement auprès des applications qui utilisent le domaine de sécurité.

L'option de module jboss.security.security_domain

Par défaut, chaque module de connexion défini dans un domaine de sécurité a l'option de module jboss.security.security_domain ajoutée automatiquement. Cette option cause des problèmes avec les modules de connexion, qui vérifient que seules les options connues soient définies. Le module de connexion Kerberos d'IBM com.ibm.security.auth.module.Krb5LoginModule est l'un d'entre eux.

Vous pouvez désactiver le comportement d'ajout de cette option de module, en définissant la propriété de système sur true en démarrant la plate-forme JBoss EAP 6. Ajoutez ce qui suit pour démarrer les paramètres.
-Djboss.security.disable.secdomain.option=true
Vous pourrez également définir cette propriété par la console de gestion. Dans un serveur autonome, vous pouvez définir les propriétés de système dans la section Profile de configuration. Dans un domaine géré, vous pouvez définir les propriétés du système pour chaque groupe de serveur.