11.9.10. Configurer les contraintes

11.9.10.1. Configurez les contraintes de sensibilité

Chaque contrainte de sensibilité définit un ensemble de ressources qui sont considérées comme « sensibles ». Une ressource sensible est généralement une ressource qui doit être tenue secrète, comme les mots de passe, ou une ressource qui aura de graves répercussions sur le serveur, comme la mise en réseau, la configuration de la JVM ou les propriétés système. Le système de contrôle d'accès lui-même est également considéré comme sensible. La sensibilité des ressources limite quels rôles sont capables de lire, écrire ou répondre à une ressource spécifique.

La configuration de contraintes de sensibilité se trouve dans l'API de gestion à l'adresse suivante : /core-service=management/access=authorization/constraint=sensitivity-classification.

Dans le modèle de gestion, chaque contrainte de ressource est identifiée en tant que classification. Les classifications sont ensuite regroupées en types. Il existe 39 catégories incluses qui sont regroupées en 13 types.

Pour configurer une contrainte de sensibilité, l'opération write-attribut permet de paramétrer les attributs configured-requires-read, configured-requires-write, ou configured-requires-addressable. Pour rendre ce type d'opération sensible, définir la valeur de l'attribut à true, sinon, pour le rendre non sensible, le définir à la valeur false. Par défaut, ces attributs ne sont pas définis et les valeurs default-requires-read, default-requires-write, et default-requires-addressable seront utilisées. Une fois que l'attribut est configuré, ce sera cette valeur qui sera utilisée à la place de la valeur par défaut. Impossible de modifier les valeurs par défaut.

Exemple 11.25. Comment rendre les propriétés système des opérations sensibles.

[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property
[domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true)
{
    "outcome" => "success",
    "result" => undefined,
    "server-groups" => {"main-server-group" => {"host" => {"master" => {
        "server-one" => {"response" => {"outcome" => "success"}},
        "server-two" => {"response" => {"outcome" => "success"}}
    }}}}
}
[domain@localhost:9999 classification=system-property] :read-resource
{
    "outcome" => "success",
    "result" => {
        "configured-requires-addressable" => undefined,
        "configured-requires-read" => true,
        "configured-requires-write" => undefined,
        "default-requires-addressable" => false,
        "default-requires-read" => false,
        "default-requires-write" => true,
        "applies-to" => {
            "/host=master/system-property=*" => undefined,
            "/host=master/core-service=platform-mbean/type=runtime" => undefined,
            "/server-group=*/system-property=*" => undefined,
            "/host=master/server-config=*/system-property=*" => undefined,
            "/host=master" => undefined,
            "/system-property=*" => undefined,
            "/" => undefined
        }
    }
}
[domain@localhost:9999 classification=system-property]

Les rôles qui seront en mesure d'effectuer ces opérations en fonction de la configuration de ces attributs sont résumés dans Tableau 11.6, « Résultats des configurations de contraintes de sensibilité ».

Tableau 11.6. Résultats des configurations de contraintes de sensibilité

Valeur requires-read requires-write requires-addressable

true

L'opération lecture est sensible.

Seuls les rôles Auditor, Administrator, et SuperUser peuvent lire.

L'opération écriture est sensible.

Seuls les rôles Administrator et SuperUser peuvent écrire.

L'opération Adressage est sensible.

Seuls les rôles d'Auditor, Administrator, et SuperUser peuvent lire.

false

L'opération lecture n'est pas sensible.

Tous les utilisateurs de gestion peuvent lire.

L'opération écriture n'est pas sensible.

Les rôles Maintainer, Administrator, et SuperUser peuvent écrire. Les rôles Deployers peuvent également écrire dans une ressource d'applications.

L'opération Adressage n'est pas sensible.

Tous les utilisateurs de gestion peuvent adresser.