Utilisation des gestionnaires de sécurité externes dans un cluster

Si vous configurez la sécurité pour HCL Digital Experience avec un gestionnaire de sécurité externe, passez en revue les points supplémentaires selon le gestionnaire de sécurité externe que vous utilisez. Terminez toutes les autres tâches de configuration et vérifiez que le cluster HCL est fonctionnel avant de configurer un gestionnaire de sécurité externe. De plus, lisez la rubrique "Configuration système requise" pour vous assurer que votre logiciel de gestion de sécurité externe est à un niveau pris en charge.

Préambules: Configuration système requise; Configurations requises

Généralités

Les points suivants sont valables pour tous les gestionnaires de sécurité externe :

Lorsque vous configurez la sécurité dans un cluster afin d'utiliser un gestionnaire sécurité externe, assurez-vous de réviser et, si nécessaire, d'effectuer la configuration des paramètres de sécurité sur chaque noeud du cluster, comme le décrit les rubriques suivantes :
- IBM® Security Access Manager: Security Access Manager
- Computer Associates eTrust SiteMinder : Configuration d'eTrust SiteMinder pour l'authentification et l'autorisation
Lorsque vous configurez la sécurité dans un cluster afin d'utiliser un gestionnaire de sécurité externe, assurez-vous de réviser et, si nécessaire, d'effectuer la configuration des paramètres de sécurité sur chaque nœud du cluster (voir Security Access Manager).
Si vous modifiez la configuration du gestionnaire de sécurité externe après sa configuration initiale, modifiez d'abord le fichier wkplc_comp.propreties sur le noeud principal du cluster. Si le cluster contient d'autres noeuds, assurez-vous que les modifications effectuées dans le fichier wkplc_comp.properties sur le noeud principal sont propagées au fichier wkplc_comp.properties sur les autres noeuds du cluster.

Remarques sur les clusters Security Access Manager

Prenez soin d'exécuter la tâche validate-pdadmin-connection sur chaque noeud du cluster.
Si la tâche validate-pdadmin-connection échoue, exécutez la tâche run-svrssl-config avant de tenter de réexécuter la tâche validate-pdadmin-connection. Notez que le paramètre wp.acc.impl.PDServerName du fichier wkplc_comp.properties représente une connexion AMJRTE à Security Access Manager, configurée individuellement et que chaque nœud du cluster doit avoir une valeur unique pour wp.acc.impl.PDServerName avant l'exécution de la tâche run-svrssl-config.
Si vous utilisez un serveur Web externe, une configuration supplémentaire est requise pour pouvoir exécuter une tâche de configuration d'un gestionnaire de sécurité externe avec un cluster HCL. Editez le fichier wkplc_comp.properties sur chaque noeud et assurez-vous que les valeurs définies pour les propriétés wp.ac.impl.JunctionHost et wp.ac.impl.JunctionPort correspondent au nom d'hôte et au numéro de port du serveur dorsal que vous utilisez pour votre serveur Web.
Assurez-vous que les paramètres de l'intercepteur de relations de confiance WebSEAL, situés dans le fichier wkplc_comp.properties, sont identiques que chaque noeud du cluster. Si vous exécutez une tâche de configuration qui écrase la jonction WebSEAL, les propriétés TAI de WebSphere® Application Server ne sont pas mises à jour automatiquement. Vous devez donc vérifier manuellement que tous les noeuds utilisent les mêmes paramètres. Pour vérifier manuellement que les nœuds sont identiques, utilisez la console WebSphere® Integrated Solutions Console du gestionnaire de déploiement et accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs > com.ibm.sec.authn.tai.TAMETai > Propriétés personnalisées.
Remarque : Si vous utilisez toujours l'implémentation obsolète des TAI (Trust Association Interceptors), accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs > com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus > Propriétés personnalisées.
Entrez l'emplacement de fichier indiqué par le paramètre wp.ac.impl.PDPermPath dans le fichier wkplc_comp.properties. Cette propriété indique l'emplacement du fichier de propriétés AMJRTE Security Access Manager (PdPerm.properties). Dans un cluster composé de noeuds avec différents systèmes d'exploitation, l'adresse du fichier PdPerm.properties peut être différente, selon le noeud.
La valeur de wp.ac.impl.PDPermpath peut être définie globalement pour tous les membres de cluster. Utilisez la propriété com.ibm.websphere.security.webseal.configURL, accessible dans le gestionnaire de déploiement de WebSphere® Application Server. Accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs > com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus > Propriétés personnalisées. La configuration des paramètres de sécurité du gestionnaire de déploiement n'étant pas spécifique au type de système de fichiers de chaque nœud, la valeur de la propriété configURL doit être convertie sur chaque nœud.
Pour vérifier que l'emplacement du fichier PdPerm.properties est correct, utilisez l'une des méthodes suivantes :
- Si vos nœuds se trouvent tous sur les plateformes UNIX™Linux™, utilisez la commande de lien UNIX™Linux™ (ln) pour vérifier que la valeur de 0.om.ibm.websphere.security.webseal.configURL est résolue sur chaque nœud.
- Si l'emplacement du fichier PdPerm.properties est différent sur chaque nœud et que votre cluster inclut différentes plateformes, cette propriété peut accepter une variable WebSphere® Application Server afin de définir un emplacement sur le système de fichiers de chaque nœud et ainsi, référencer correctement le fichier.

Remarques sur les clusters eTrust SiteMinder

Assurez-vous d'avoir installé et validé les binaires eTrust SiteMinder sur chaque nœud du cluster.

Si vous n'utilisez eTrust SiteMinder que pour l'authentification, installez et validez l'agent du serveur d'applications.

Si vous utilisez eTrust SiteMinder pour l'authentification et l'autorisation, l'agent du serveur d'applications et le logiciel SDK doivent être installés et validés.