Utilisation des gestionnaires de sécurité externes dans un cluster dans HCL Digital Experience

Terminez toutes les autres tâches de configuration avant de configurer un gestionnaire de sécurité externe.

Généralités

Les points suivants sont valables pour tous les gestionnaires de sécurité externe :

  • Lorsque vous configurez la sécurité dans un cluster afin d'utiliser un gestionnaire sécurité externe, assurez-vous de réviser et, si nécessaire, d'effectuer la configuration des paramètres de sécurité sur chaque noeud du cluster, comme le décrit les rubriques suivantes : IBM® Security Access Manager et configuration de Computer Associates eTrust SiteMinder pour l'authentification et l'autorisation.
  • Lorsque vous configurez la sécurité dans un cluster afin d'utiliser un gestionnaire sécurité externe, assurez-vous de réviser et, si nécessaire, d'effectuer la configuration des paramètres de sécurité sur chaque nœud du cluster, comme décrit dans Security Access Manager.
  • Si vous modifiez la configuration du gestionnaire de sécurité externe après sa configuration initiale, modifiez d'abord le fichier wkplc_comp.propreties sur le noeud principal du cluster. Si le cluster contient d'autres noeuds, assurez-vous que les modifications effectuées dans le fichier wkplc_comp.properties sur le noeud principal sont propagées au fichier wkplc_comp.properties sur les autres noeuds du cluster.

Remarques sur les clusters Security Access Manager

  • Prenez soin d'exécuter la tâche validate-pdadmin-connection sur chaque noeud du cluster.
  • Si la tâche validate-pdadmin-connection échoue, exécutez la tâche run-svrssl-config avant de tenter de réexécuter la tâche validate-pdadmin-connection. Note that the wp.acc.impl.PDServerName parameter in the wkplc_comp.properties file represents an individually configured AMJRTE connection to Security Access Manager, and each node in the cluster must have a unique value for wp.acc.impl.PDServerName before running the run-svrssl-config task.
  • Si vous utilisez un serveur Web externe, une configuration supplémentaire est requise pour pouvoir exécuter une tâche de configuration d'un gestionnaire de sécurité externe avec un cluster HCL Portal. Editez le fichier wkplc_comp.properties sur chaque noeud et assurez-vous que les valeurs définies pour les propriétés wp.ac.impl.JunctionHost et wp.ac.impl.JunctionPort correspondent au nom d'hôte et au numéro de port du serveur dorsal que vous utilisez pour votre serveur Web.
  • Assurez-vous que les paramètres de l'intercepteur de relations de confiance WebSEAL, situés dans le fichier wkplc_comp.properties, sont identiques que chaque noeud du cluster. Si vous exécutez une tâche de configuration qui écrase la jonction WebSEAL, les propriétés TAI de WebSphere® Application Server ne sont mises à jour automatiquement. Vous devez donc vérifier manuellement que tous les noeuds utilisent les mêmes paramètres. Pour vérifier manuellement que les noeuds sont identiques, utilisez la console WebSphere® Integrated Solutions Console du gestionnaire de déploiement et accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs > com.ibm.sec.authn.tai.TAMETai > Propriétés personnalisées.
    Remarque : Si vous utilisez toujours l'implémentation obsolète des TAI (Trust Association Interceptors), accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs > com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus > Propriétés personnalisées.
  • Entrez l'emplacement de fichier indiqué par le paramètre wp.ac.impl.PDPermPath dans le fichier wkplc_comp.properties. Cette propriété indique l'emplacement du fichier de propriétés AMJRTE Security Access Manager (PdPerm.properties). Dans un cluster composé de noeuds avec différents systèmes d'exploitation, l'adresse du fichier PdPerm.properties peut être différente, selon le noeud.

    La valeur de wp.ac.impl.PDPermpath peut être définie globalement pour tous les membres de cluster. Utilisez la propriété com.ibm.websphere.security.webseal.configURL, accessible dans le gestionnaire de déploiement de WebSphere® Application Server. Accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs > com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus > Propriétés personnalisées. La configuration des paramètres de sécurité du gestionnaire de déploiement n'étant pas spécifique au type de système de fichiers de chaque noeud, la valeur de la propriété configURL doit être convertie sur chaque noeud.

    Pour vérifier que l'emplacement du fichier PdPerm.properties est correct, utilisez l'une des méthodes suivantes :
    • Si vos nœuds se trouvent tous sur les plateformes UNIXLinux, utilisez la commande de lien UNIXLinux (ln) pour vérifier que la valeur de 0.om.hcl.websphere.security.webseal.configURL est résolue sur chaque nœud.
    • If the PdPerm.properties file location differs on each node and your cluster consists of different platforms, this property can accept a WebSphere® Application Server variable to establish a location on each node's filesystem to correctly reference the file.

Remarques sur les clusters eTrust SiteMinder

Assurez-vous d'avoir installé et validé les binaires eTrust SiteMinder sur chaque noeud du cluster. Si vous n'utilisez eTrust SiteMinder que pour l'authentification, installez et validez l'agent du serveur d'applications. Si vous utilisez eTrust SiteMinder pour l'authentification et l'autorisation, l'agent du serveur d'applications et le logiciel SDK doivent être installés et validés.