Informations de référence Oracle Java Web Console

Cette section de référence aborde les questions suivantes :

• Considérations relatives à la sécurité Oracle Java Web Console

• Spécification des autorisations avec la balise authTypes

Considérations relatives à la sécurité Oracle Java Web Console

En matière de sécurité, plusieurs points sont à prendre en considération lors de l'utilisation des applications présentes dans Oracle Java Web Console.

Il s'agit des considérations de sécurité suivantes :

• Accès à Oracle Java Web Console : si vous pouvez vous connecter à la console par le biais d'un navigateur

• Accès aux applications : si vous pouvez voir une application donnée dans la page de démarrage d'Oracle Java Web Console

• Autorisations pour l'application : les niveaux d'autorisations que vous devez posséder pour exécuter une application en partie ou en totalité

• Accès de l'application à des systèmes distants : comment les informations d'identification de sécurité sont associées aux systèmes distants

• Mots de passe internes utilisés dans la console : modifier les mots de passe par défaut utilisés en interne dans la console, à partir de la version Solaris 10 11/06

Accès à Oracle Java Web Console

Généralement, les autorisations d'accès au lanceur de la console Web ne sont pas limitatives afin que tous les utilisateurs valides puissent se connecter. Cependant, vous pouvez limiter l'accès à la console en précisant les droits dans la balise authTypes du fichier app.xml de la console Web, situé dans le répertoire /usr/share/webconsole/webapps/console/WEB-INF. Pour plus d'informations, reportez-vous à la section Spécification des autorisations avec la balise authTypes.

Certaines configurations système sont définies dans un souci de sécurité exigeant, de sorte que les tentatives de connexion à partir d'un système distant aux URL de la console ou aux applications enregistrées sont refusées. Si votre système est configuré pour empêcher tout accès à distance, lorsque vous tentez d'accéder à la console en tant que https://hostname.domain:6789, votre navigateur affiche un message semblable à celui-ci :

Connect to hostname.domain:6789 failed (Connection refused)

The SMF profile in effect on the system might be restricting access. (Le profil SMF en vigueur sur le système peut limiter l'accès.) Pour plus d'informations sur les profils, reportez-vous à la section Profils SMF. Reportez-vous à la section Activation de l'accès distant à Oracle Java Web Console pour connaître la procédure permettant d'accéder à la console à partir de systèmes distants.

Accès aux applications dans Oracle Java Web Console

Une fois connecté à la console Web, vous n'aurez peut-être pas automatiquement accès à toutes les applications qui sont enregistrées dans cette console. En règle générale, les applications installées sont visibles à tous les utilisateurs dans la page de démarrage de la console. En tant qu'administrateur, vous pouvez accorder et limiter l'accès aux applications.

Pour limiter l'accès à une application, spécifiez les droits d'accès dans la balise authTypes située dans le fichier app.xml de l'application. Vous trouverez le fichier app.xml de l'application dans le sous-répertoire installation-location/WEB-INF/. En règle générale, ce répertoire se trouve dans /usr/share/webconsole/webapps/ app-context-name/WEB-INF.

Si les fichiers de l'application ne se trouvent pas à l'emplacement habituel, vous pouvez les localiser à l'aide de la commande suivante :

wcadmin list --detail -a

Cette commande dresse la liste de toutes les applications déployées et indique à quel moment elles ont été déployées ainsi que le chemin d'accès à leur répertoire de base. Le fichier app.xml se trouve dans le sous-répertoire WEB-INF du répertoire de base.

Pour plus d'informations, reportez-vous à la section Spécification des autorisations avec la balise authTypes.

Privilèges d'application

Si vous pouvez voir le lien d'une application sur la page de démarrage d'Oracle Java Web Console, vous pouvez exécuter cette application. Toutefois, une application peut effectuer d'autres vérifications d'autorisation en fonction de l'utilisateur authentifié ou de l'identité du rôle. Ces vérifications ne sont pas contrôlées par la balise authTypes, mais sont explicitement codées dans l'application elle-même. Par exemple, une application peut accorder l'accès en lecture à tous les utilisateurs authentifiés, mais restreindre l'accès de mise à jour à un petit nombre d'utilisateurs ou rôles.

Accès d'application à des systèmes distants

La possession des informations d'identification appropriées ne garantit pas que vous puissiez utiliser une application pour gérer tous les systèmes situés dans son champ d'application. Tous les systèmes que vous gérez à l'aide de l'application Oracle Java Web Console disposent d'un domaine de sécurité qui leur est propre. La possession des autorisations en lecture et écriture sur le système de console Web ne garantit pas que vous puissiez administrer un autre système distant.

En règle générale, l'accès à des systèmes distants dépend de l'implémentation de la sécurité dans l'application Web. Généralement, les applications Web appellent des agents qui réalisent des actions pour leur compte. Ces applications doivent être authentifiées par les agents d'après leurs informations d'identification sur la console Web et les informations qui les identifient auprès du système agent. Selon la procédure d'authentification suivie par l'agent, une vérification d'autorisation peut également être effectuée sur l'agent lui-même, en fonction de cette identité authentifiée.

Par exemple, dans les applications Web qui ont recours aux agents WBEM à distance, la procédure d'authentification prend habituellement en compte l'identité du rôle ou de l'utilisateur initialement authentifiée auprès de Oracle Java Web Console. Si l'authentification échoue sur ce système agent, l'accès à ce système est refusé dans l'application Web. Si l'authentification réussit sur ce système agent, l'accès peut encore être refusé si l'agent effectue une vérification du contrôle d'accès qui échoue. La plupart des applications sont écrites afin que les vérifications d'authentification et d'autorisation sur l'agent n'échouent jamais si vous avez été authentifié sur la console Web et avez pris le rôle qui convient.

Mots de passe internes utilisés dans la console

A partir de la version Solaris 10 11/06, Oracle Java Web Console utilise plusieurs noms d'utilisateur internes protégés par mot de passe pour effectuer les tâches d'administration sur le serveur Web sous-jacent et chiffrer les fichiers keystore et truststore. Les mots de passe sont définis sur des valeurs initiales pour permettre l'installation de la console. Pour réduire les risques d'atteinte à la sécurité, il est conseillé de changer les mots de passe après l'installation. Reportez-vous à la section Modification des mots de passe internes de Oracle Java Web Console.

Spécification des autorisations avec la balise authTypes

Alors que la plupart des applications Web de gestion ne nécessitent pas d'intervention de l'administrateur pour utiliser la balise authTypes, vous pouvez être amené à modifier la valeur de cette balise dans certains cas. La balise authTypes contient un ensemble d'informations décrivant le niveau d'autorisation requis pour qu'un utilisateur puisse voir une application dans Oracle Java Web Console. La console Web détermine si un utilisateur est autorisé à voir une application particulière, en fonction de l'autorisation requise dans le fichier app.xml de l'application. Chaque application peut déterminer si un utilisateur doit disposer d'une autorisation appropriée pour l'exécuter. Cela peut être effectué dans le cadre de l'installation de l'application. Vous pouvez également être amené à fournir ces informations, en fonction de vos propres exigences en matière de sécurité. La documentation produit de l'application contient en principe les informations nécessaires qui vous permettent de savoir si vous devez spécifier une autorisation particulière.

Vous pouvez imbriquer plusieurs balises authType à l'intérieur de la balise authTypes.

La balise authTypes doit contenir au moins une balise authType qui fournit les informations nécessaires suivantes :

• Type de vérification d'autorisation à effectuer

• Nom de sous-classe Permission

• Paramètres nécessaires pour instancier la sous-classe Permission

Dans l'exemple suivant, la balise authType a un attribut, name. L'attribut name requis est le nom du type de service d'autorisation. Différents types d'autorisation peuvent nécessiter différentes valeurs pour les balises classType et permissionParam.

<authTypes>
    <authType name="SolarisRbac">
        <classType>
          com.sun.management.solaris.RbacPermission
        </classType>
        <permissionParam name="permission">
          solaris.admin.serialmgr.read
        </permissionParam>
    </authType>
</authTypes>

Le tableau ci-dessous indique les balises qui peuvent être imbriquées dans une balise authType .

Tableau 3-1 Balises authType imbriquées

La balise authTypes et les balises imbriquées authType sont des éléments requis dans le fichier app.xml. Si vous souhaitez enregistrer une application accessible à tous, spécifiez la balise authType sans contenu, comme indiqué dans l'exemple suivant.

<authTypes>
        <authType name="">
            <classType></classType>
            <permissionParam name=""></permissionParam>
        </authType>
</authTypes>

Activation de l'accès distant à Oracle Java Web Console

Si vous ne pouvez vous connecter à la console qu'en vous connectant au système qui l'exécute, puis à l'aide de l'URL https://localhost:6789, c'est que le système utilise une configuration qui empêche l'accès à distance. A partir de la version Solaris 10 11/06, vous pouvez activer l'accès à distance uniquement à la console, tout en laissant les autres restrictions d'accès en place, à l'aide de la procédure suivante :

Activation de l'accès à distance à Oracle Java Web Console

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le système sur lequel la console exécutée.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.

2. Définissez une propriété pour autoriser le serveur de console à répondre aux demandes réseau et redémarrez le serveur de console.

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = true
   
   # smcwebserver restart

Désactivation de l'accès à distance à Oracle Java Web Console

Vous pouvez empêcher les utilisateurs de se connecter à la console à partir de systèmes distants. A partir de la version Solaris 10 11/06, vous pouvez désactiver l'accès à distance uniquement à la console, tout en laissant les autres autorisations d'accès en place, à l'aide de la procédure suivante :

Désactivation de l'accès à distance à Oracle Java Web Console

1. Connectez-vous en tant que superutilisateur (ou équivalent) sur le système sur lequel la console exécutée.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.

2. Définissez une propriété pour empêcher le serveur de console de répondre aux demandes réseau et redémarrez le serveur de console.

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = false
   
   # smcwebserver restart

   Après le redémarrage, la console répond uniquement à un navigateur Web situé sur le même système que le processus du serveur de console. Vous ne pouvez pas utiliser un proxy dans le navigateur, mais uniquement une connexion directe. Vous pouvez également utiliser l'URL https://localhost:6789/ pour accéder à la console.

Modification des mots de passe internes de Oracle Java Web Console

A partir de la version Solaris 10 11/06, la console utilise certains noms d'utilisateur et mots de passe internes. Les noms d'utilisateur et mots de passe internes de la console sont utilisés uniquement par la structure de la console, et jamais directement par un utilisateur ou administrateur système. Toutefois, si les mots de passe étaient connus, un utilisateur malveillant pourrait avoir accès aux applications de la console. Pour réduire les risques d'atteinte à la sécurité, il est conseillé de changer les mots de passe. Il n'est pas nécessaire de se souvenir des nouveaux mots de passe, car le logiciel les utilise de manière invisible.

Modification des mots de passe internes de la console

Il s'agit du mot de passe d'administration, du mot de passe du keystore et du mot de passe du truststore. Pour les modifier, il n'est pas nécessaire de connaître leurs valeurs initiales par défaut. Cette procédure explique comment modifier les trois mots de passe à l'aide de commandes distinctes.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.

2. Modifiez le mot de passe d'administration.

   # wcadmin password -a

   Vous êtes invité à saisir le nouveau mot de passe deux fois. Le mot de passe doit comporter entre 8 et 32 caractères.

3. Modifiez le mot de passe du keystore.

   # wcadmin password -k

   Vous êtes invité à saisir le nouveau mot de passe deux fois. Le mot de passe doit comporter entre 8 et 32 caractères.

4. Modifiez le mot de passe du truststore.

   # wcadmin password -t

   Vous êtes invité à saisir le nouveau mot de passe deux fois. Le mot de passe doit comporter entre 8 et 32 caractères.