Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Administration de base Oracle Solaris 10 1/13 Information Library (Français) |
1. Outils de gestion d'Oracle Solaris (présentation)
2. Utilisation de Solaris Management Console (tâches)
3. Utilisation d'Oracle Java Web Console (tâches)
Nouveautés dans l'administration d'Oracle Java Web Console
Gestion du serveur Oracle Java Web Console
Applications disponibles à Oracle Java Web Console
Oracle Java Web Console (présentation)
Qu'est-ce que Oracle Java Web Console ?
Commandes de gestion Oracle Java Web Console
Navigateurs Web pris en charge
Mise en route d'Oracle Java Web Console (liste des tâches)
Mise en route d'Oracle Java Web Console
Démarrage des applications à partir de la page de démarrage d'Oracle Java Web Console
Gestion du service de la console
Démarrage du service de la console
Activation de l'exécution du service de la console au démarrage du système
Arrêt du service de la console
Désactivation du service de la console
Configuration d'Oracle Java Web Console
Modification des propriétés Oracle Java Web Console
Identité de l'utilisateur d'Oracle Java Web Console
Utilisation du journal de suivi du débogage de la console
Dépannage du logiciel Oracle Java Web Console (liste des tâches)
Dépannage du logiciel Oracle Java Web Console
Vérification des propriétés et de l'état de la console
Vérification de l'exécution et de l'activation de la console
Affichage de la liste des propriétés et des ressources de la console
Problèmes d'accès à la console
Problèmes liés à l'enregistrement de l'application
Procédure permettant de déterminer si une application est une ancienne application
Affichage de la liste des applications déployées
Enregistrement d'une ancienne application avec Oracle Java Web Console
Annulation de l'enregistrement d'une ancienne application d'Oracle Java Web Console
Enregistrement d'une application actuelle avec Oracle Java Web Console
Annulation de l'enregistrement d'une application actuelle d'Oracle Java Web Console
Informations de référence Oracle Java Web Console
Considérations relatives à la sécurité Oracle Java Web Console
Accès à Oracle Java Web Console
Accès aux applications dans Oracle Java Web Console
Accès d'application à des systèmes distants
Mots de passe internes utilisés dans la console
Spécification des autorisations avec la balise authTypes
Activation de l'accès distant à Oracle Java Web Console
Activation de l'accès à distance à Oracle Java Web Console
Désactivation de l'accès à distance à Oracle Java Web Console
Désactivation de l'accès à distance à Oracle Java Web Console
Modification des mots de passe internes de Oracle Java Web Console
4. Gestion des comptes utilisateur et des groupes (présentation)
5. Gestion des comptes utilisateur et des groupes (tâches)
6. Gestion de la prise en charge client-serveur (présentation)
7. Gestion des clients sans disque (tâches)
8. Présentation de l'arrêt et de l'initialisation d'un système
9. Arrêt et initialisation d'un système (présentation)
10. Arrêt d'un système (tâches)
11. Modification du comportement d'initialisation d'Oracle Solaris (tâches)
12. Initialisation d'un système Oracle Solaris (tâches)
13. Gestion des archives d'initialisation d'Oracle Solaris (tâches)
14. Dépannage de l'initialisation d'un système Oracle Solaris (tâches)
15. x86 : Initialisation avec le GRUB (référence)
16. x86 : Initialisation d'un système qui ne met pas en oeuvre GRUB (tâches)
17. Utilisation d'Oracle Configuration Manager
18. Gestion des services (présentation)
19. Gestion des services (tâches)
20. Gestion des logiciels (présentation)
21. Gestion des logiciels à l'aide des d'outils d'administration système d'Oracle Solaris (tâches)
22. Gestion des logiciels à l'aide des commandes de package Oracle Solaris (tâches)
Cette section de référence aborde les questions suivantes :
En matière de sécurité, plusieurs points sont à prendre en considération lors de l'utilisation des applications présentes dans Oracle Java Web Console.
Il s'agit des considérations de sécurité suivantes :
Accès à Oracle Java Web Console : si vous pouvez vous connecter à la console par le biais d'un navigateur
Accès aux applications : si vous pouvez voir une application donnée dans la page de démarrage d'Oracle Java Web Console
Autorisations pour l'application : les niveaux d'autorisations que vous devez posséder pour exécuter une application en partie ou en totalité
Accès de l'application à des systèmes distants : comment les informations d'identification de sécurité sont associées aux systèmes distants
Mots de passe internes utilisés dans la console : modifier les mots de passe par défaut utilisés en interne dans la console, à partir de la version Solaris 10 11/06
Généralement, les autorisations d'accès au lanceur de la console Web ne sont pas limitatives afin que tous les utilisateurs valides puissent se connecter. Cependant, vous pouvez limiter l'accès à la console en précisant les droits dans la balise authTypes du fichier app.xml de la console Web, situé dans le répertoire /usr/share/webconsole/webapps/console/WEB-INF. Pour plus d'informations, reportez-vous à la section Spécification des autorisations avec la balise authTypes.
Certaines configurations système sont définies dans un souci de sécurité exigeant, de sorte que les tentatives de connexion à partir d'un système distant aux URL de la console ou aux applications enregistrées sont refusées. Si votre système est configuré pour empêcher tout accès à distance, lorsque vous tentez d'accéder à la console en tant que https://hostname.domain:6789, votre navigateur affiche un message semblable à celui-ci :
Connect to hostname.domain:6789 failed (Connection refused)
The SMF profile in effect on the system might be restricting access. (Le profil SMF en vigueur sur le système peut limiter l'accès.) Pour plus d'informations sur les profils, reportez-vous à la section Profils SMF. Reportez-vous à la section Activation de l'accès distant à Oracle Java Web Console pour connaître la procédure permettant d'accéder à la console à partir de systèmes distants.
Une fois connecté à la console Web, vous n'aurez peut-être pas automatiquement accès à toutes les applications qui sont enregistrées dans cette console. En règle générale, les applications installées sont visibles à tous les utilisateurs dans la page de démarrage de la console. En tant qu'administrateur, vous pouvez accorder et limiter l'accès aux applications.
Pour limiter l'accès à une application, spécifiez les droits d'accès dans la balise authTypes située dans le fichier app.xml de l'application. Vous trouverez le fichier app.xml de l'application dans le sous-répertoire installation-location/WEB-INF/. En règle générale, ce répertoire se trouve dans /usr/share/webconsole/webapps/ app-context-name/WEB-INF.
Si les fichiers de l'application ne se trouvent pas à l'emplacement habituel, vous pouvez les localiser à l'aide de la commande suivante :
wcadmin list --detail -a
Cette commande dresse la liste de toutes les applications déployées et indique à quel moment elles ont été déployées ainsi que le chemin d'accès à leur répertoire de base. Le fichier app.xml se trouve dans le sous-répertoire WEB-INF du répertoire de base.
Pour plus d'informations, reportez-vous à la section Spécification des autorisations avec la balise authTypes.
Si vous pouvez voir le lien d'une application sur la page de démarrage d'Oracle Java Web Console, vous pouvez exécuter cette application. Toutefois, une application peut effectuer d'autres vérifications d'autorisation en fonction de l'utilisateur authentifié ou de l'identité du rôle. Ces vérifications ne sont pas contrôlées par la balise authTypes, mais sont explicitement codées dans l'application elle-même. Par exemple, une application peut accorder l'accès en lecture à tous les utilisateurs authentifiés, mais restreindre l'accès de mise à jour à un petit nombre d'utilisateurs ou rôles.
La possession des informations d'identification appropriées ne garantit pas que vous puissiez utiliser une application pour gérer tous les systèmes situés dans son champ d'application. Tous les systèmes que vous gérez à l'aide de l'application Oracle Java Web Console disposent d'un domaine de sécurité qui leur est propre. La possession des autorisations en lecture et écriture sur le système de console Web ne garantit pas que vous puissiez administrer un autre système distant.
En règle générale, l'accès à des systèmes distants dépend de l'implémentation de la sécurité dans l'application Web. Généralement, les applications Web appellent des agents qui réalisent des actions pour leur compte. Ces applications doivent être authentifiées par les agents d'après leurs informations d'identification sur la console Web et les informations qui les identifient auprès du système agent. Selon la procédure d'authentification suivie par l'agent, une vérification d'autorisation peut également être effectuée sur l'agent lui-même, en fonction de cette identité authentifiée.
Par exemple, dans les applications Web qui ont recours aux agents WBEM à distance, la procédure d'authentification prend habituellement en compte l'identité du rôle ou de l'utilisateur initialement authentifiée auprès de Oracle Java Web Console. Si l'authentification échoue sur ce système agent, l'accès à ce système est refusé dans l'application Web. Si l'authentification réussit sur ce système agent, l'accès peut encore être refusé si l'agent effectue une vérification du contrôle d'accès qui échoue. La plupart des applications sont écrites afin que les vérifications d'authentification et d'autorisation sur l'agent n'échouent jamais si vous avez été authentifié sur la console Web et avez pris le rôle qui convient.
A partir de la version Solaris 10 11/06, Oracle Java Web Console utilise plusieurs noms d'utilisateur internes protégés par mot de passe pour effectuer les tâches d'administration sur le serveur Web sous-jacent et chiffrer les fichiers keystore et truststore. Les mots de passe sont définis sur des valeurs initiales pour permettre l'installation de la console. Pour réduire les risques d'atteinte à la sécurité, il est conseillé de changer les mots de passe après l'installation. Reportez-vous à la section Modification des mots de passe internes de Oracle Java Web Console.
Alors que la plupart des applications Web de gestion ne nécessitent pas d'intervention de l'administrateur pour utiliser la balise authTypes, vous pouvez être amené à modifier la valeur de cette balise dans certains cas. La balise authTypes contient un ensemble d'informations décrivant le niveau d'autorisation requis pour qu'un utilisateur puisse voir une application dans Oracle Java Web Console. La console Web détermine si un utilisateur est autorisé à voir une application particulière, en fonction de l'autorisation requise dans le fichier app.xml de l'application. Chaque application peut déterminer si un utilisateur doit disposer d'une autorisation appropriée pour l'exécuter. Cela peut être effectué dans le cadre de l'installation de l'application. Vous pouvez également être amené à fournir ces informations, en fonction de vos propres exigences en matière de sécurité. La documentation produit de l'application contient en principe les informations nécessaires qui vous permettent de savoir si vous devez spécifier une autorisation particulière.
Vous pouvez imbriquer plusieurs balises authType à l'intérieur de la balise authTypes.
La balise authTypes doit contenir au moins une balise authType qui fournit les informations nécessaires suivantes :
Type de vérification d'autorisation à effectuer
Nom de sous-classe Permission
Paramètres nécessaires pour instancier la sous-classe Permission
Dans l'exemple suivant, la balise authType a un attribut, name. L'attribut name requis est le nom du type de service d'autorisation. Différents types d'autorisation peuvent nécessiter différentes valeurs pour les balises classType et permissionParam.
<authTypes> <authType name="SolarisRbac"> <classType> com.sun.management.solaris.RbacPermission </classType> <permissionParam name="permission"> solaris.admin.serialmgr.read </permissionParam> </authType> </authTypes>
Le tableau ci-dessous indique les balises qui peuvent être imbriquées dans une balise authType .
Tableau 3-1 Balises authType imbriquées
|
La balise authTypes et les balises imbriquées authType sont des éléments requis dans le fichier app.xml. Si vous souhaitez enregistrer une application accessible à tous, spécifiez la balise authType sans contenu, comme indiqué dans l'exemple suivant.
<authTypes> <authType name=""> <classType></classType> <permissionParam name=""></permissionParam> </authType> </authTypes>
Si vous ne pouvez vous connecter à la console qu'en vous connectant au système qui l'exécute, puis à l'aide de l'URL https://localhost:6789, c'est que le système utilise une configuration qui empêche l'accès à distance. A partir de la version Solaris 10 11/06, vous pouvez activer l'accès à distance uniquement à la console, tout en laissant les autres restrictions d'accès en place, à l'aide de la procédure suivante :
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# svccfg -s svc:/system/webconsole setprop options/tcp_listen = true # smcwebserver restart
Vous pouvez empêcher les utilisateurs de se connecter à la console à partir de systèmes distants. A partir de la version Solaris 10 11/06, vous pouvez désactiver l'accès à distance uniquement à la console, tout en laissant les autres autorisations d'accès en place, à l'aide de la procédure suivante :
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# svccfg -s svc:/system/webconsole setprop options/tcp_listen = false # smcwebserver restart
Après le redémarrage, la console répond uniquement à un navigateur Web situé sur le même système que le processus du serveur de console. Vous ne pouvez pas utiliser un proxy dans le navigateur, mais uniquement une connexion directe. Vous pouvez également utiliser l'URL https://localhost:6789/ pour accéder à la console.
A partir de la version Solaris 10 11/06, la console utilise certains noms d'utilisateur et mots de passe internes. Les noms d'utilisateur et mots de passe internes de la console sont utilisés uniquement par la structure de la console, et jamais directement par un utilisateur ou administrateur système. Toutefois, si les mots de passe étaient connus, un utilisateur malveillant pourrait avoir accès aux applications de la console. Pour réduire les risques d'atteinte à la sécurité, il est conseillé de changer les mots de passe. Il n'est pas nécessaire de se souvenir des nouveaux mots de passe, car le logiciel les utilise de manière invisible.
Il s'agit du mot de passe d'administration, du mot de passe du keystore et du mot de passe du truststore. Pour les modifier, il n'est pas nécessaire de connaître leurs valeurs initiales par défaut. Cette procédure explique comment modifier les trois mots de passe à l'aide de commandes distinctes.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# wcadmin password -a
Vous êtes invité à saisir le nouveau mot de passe deux fois. Le mot de passe doit comporter entre 8 et 32 caractères.
# wcadmin password -k
Vous êtes invité à saisir le nouveau mot de passe deux fois. Le mot de passe doit comporter entre 8 et 32 caractères.
# wcadmin password -t
Vous êtes invité à saisir le nouveau mot de passe deux fois. Le mot de passe doit comporter entre 8 et 32 caractères.