Le problème

Lors de son installation Websphere est configuré pour accepter tout identifiant (sans mot de passe) pour accéder à la console d’administration. Vous pouvez saisir n’importe quoi cela passe parfaitement, il n’y a aucune vérification.
Cela est bien sûr non acceptable et dans les versions récentes un “Wizard” vous guide pour activer la sécurité globale mais cela active toute la sécurité J2EE ce qui est souvent bien inutile.

Connexion sans vérification
Le but de ce petit article est d’expliquer (j’espère clairement) comment sécuriser l’accès à la console d’administration WAS sans activer l’ensemble de la sécurité J2EE.
Connexion avec vérification

Une solution

Avant de modifier tous paramètres importants dans la configuration de WAS je rappelle qu’il est toujours très important de réaliser une sauvegarde de sa configuration via la commande backupConfig.sh.

Pour faire cette modification vous devez obligatoirement connaître le code et mot de passe du compte administrateur faisant tourner WAS ( root ). Nous nous limiterons volontairement à l’utilisation de comptes du Système d’exploitation local comme “registre utilisateur” pour cette mise en œuvre (vous pouvez également utiliser LDAP et une solution personnalisée - à coder bien sûr-).
Vous devez également avoir le port 9043 ouvert (l’administration de WAS s’effectue alors en https et passe par défaut du port 9060 à 9043).

Etapes

1. Si vous avez les “Activités Guidées” vous pouvez l’utiliser pour “Activation de la sécurité globale”, cela guide bien l’utilisateur. Vous devez ensuite désactiver la “sécurité java 2″ et définir des utilisateurs (voir point 3)

2. Activation non guidée
Afficher la page “Sécurité>Sécurité globale” et décocher l’option “Appliquer la sécurité Java 2″
Menu Websphere
Vous devez alors avoir :
“Activer la sécurité globale” à “on”
“Appliquer la sécurité java 2″ à “off”
“Appliquer la sécurité JCA à granularité fine” à “off”
“Utiliser des ID utilisateurs définis en fonction du domaine” à “off”

“Emettre un avertissement de droit d’accès” à “on”
“Protocole actif” normalement CSI est suffisant mais vous pouvez activer CSI et SAS si vous avez également des anciens serveurs WAS (voir la doc en ligne)
“Mécanisme d’authentification actif” par défaut “SWAP”
“Registre d’utilisateurs actif” sélectionnez “Système d’exploitation local”

Menu Websphere utilisateur
Une fois les modifications effectuées vous pouvez valider cela et afficher la page “Registres d’utilisateurs>Système d’exploitation local” qui permet de configurer l’ID de l’utilisateur Administrateur (et son mot de passe).
Menu Websphere
3. Définitions des utilisateurs
Pour cela afficher la page “Administration du système>Paramètres de la console>Utilisateurs de la console” et vous pouvez y ajouter les utilisateurs du Système à qui vous désirez donner des droits dans l’administration de WAS.

Remarques

Attention : Si votre serveur Websphere tourne sous un autre utilisateur que root Vous ne pouvez pas utiliser le système d’exploitation locale comme “Registre d’utilisateur”

Attention : Si vous activez la sécurité il est obligatoire de fournir des informations d’authentification aux outils lignes commandes (dont par exemple stopNode plus d’info

    Pour plus de sécurité vous pouvez également :

  • Configurer votre firewall pour identifier et filtrer les adresses IP se connectant au port 9043
  • Ou autoriser uniquement l’accès à l’administration en “local” (127.0.0.1) et utiliser des tunels ssh pour administrer à distance cela.