Guide d administration WebSEAL

IBM Tioli Access Manager Guide d administration WebSEAL Version 3.9 GC11-1908-00

IBM Tioli Access Manager Guide d administration WebSEAL Version 3.9 GC11-1908-00

Remarque Aant d utiliser le présent document et le produit associé, prenez connaissance des informations figurant à l Annexe C, «Remarques» à la page 261. Première édition juillet 2002 LE PRESENT DOCUMENT EST LIVRE EN L ETAT. IBM DECLINE TOUTE RESPONSABILITE, EXPRESSE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE QUALITE MARCHANDE OU D ADAPTATION A VOS BESOINS. Certaines juridictions n autorisent pas l exclusion des garanties implicites, auquel cas l exclusion ci-dessus ne ous sera pas applicable. Ce document est mis à jour périodiquement. Chaque nouelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d être modifiées aant que les produits décrits ne deiennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou serices non annoncés dans ce pays. Cela ne signifie cependant pas qu ils y seront annoncés. Pour plus de détails, pour toute demande d ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-ous aux documents d annonce disponibles dans otre pays, ou adressez-ous à otre partenaire commercial. Vous pouez également consulter les sereurs Internet suiants : http://www.fr.ibm.com (sereur IBM en France) http://www.can.ibm.com (sereur IBM au Canada) http://www.ibm.com (sereur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité Tour Descartes 92066 Paris-La Défense Cedex 50 Copyright IBM France 2002. Tous droits réserés. Copyright International Business Machines Corporation 1999, 2002. All rights resered.

Table des matières Aant-propos................................. ix A qui s adresse ce guide............................... ix Contenu de ce guide................................ ix Publications................................... x IBM Tioli Access Manager............................. x Documents connexes............................... xiii Accès aux publications en ligne........................... x Commande de publications............................. x Commentaires sur les publications.......................... xi Accessibilité................................... xi Comment contacter le serice d assistance......................... xi Conentions utilisées dans ce document......................... xi Conentions utilisées dans ce guide.......................... xi Ais aux lecteurs canadiens.......................... xii Chapitre 1. Généralités sur IBM Tioli Access Manager WebSEAL........... 1 Introduction à IBM Tioli Access Manager et à WebSEAL.................... 1 Présentation du modèle de sécurité d Access Manager..................... 3 Espace objets protégé............................... 4 Définition et application de règles de LCA et POP...................... 5 Gestion des règles : Web Portal Manager......................... 7 Protection de l espace Web grâce à WebSEAL........................ 7 Planification et mise en oeure des règles de sécurité...................... 8 Identification des types de contenu et des nieaux de protection................. 9 Explication de l authentification WebSEAL......................... 10 Objectifs de l authentification............................ 11 Accès authentifié et non authentifié aux ressources..................... 12 Structure de la mémoire cache des sessions/des droits d accès WebSEAL.............. 13 Explication des jonctions WebSEAL........................... 14 Jonctions WebSEAL et éolutiité de site Web....................... 16 Chapitre 2. Configuration de base du sereur................... 21 Informations générales sur le sereur........................... 21 Répertoire racine de l installation WebSEAL....................... 21 Démarrage et arrêt de WebSEAL........................... 22 WebSEAL représenté dans l espace objets protégé...................... 22 WebSEAL renoie HTTP/1.1............................ 22 Fichier journal WebSEAL.............................. 23 Utilisation du fichier de configuration WebSEAL....................... 23 Présentation du fichier de configuration webseald.conf.................... 23 Répertoire racine du sereur WebSEAL......................... 25 Configuration des paramètres de communication....................... 26 Configuration de WebSEAL pour les requêtes HTTP..................... 26 Configuration de WebSEAL pour les requêtes HTTPS.................... 26 Restriction des connexions à partir de ersions SSL spécifiques................. 27 Paramètres de délai d expiration pour les communications HTTP/HTTPS............. 27 Autres paramètres de délai d expiration du sereur WebSEAL................. 28 Gestion de l espace Web............................... 28 Répertoire racine de l arborescence des documents Web................... 28 Configuration de l indexation de répertoires....................... 29 Windows : conentions de dénomination de fichiers pour les programmes CGI........... 30 Configuration de la mémoire cache d un document Web................... 31 Spécification de types de documents à filtrer....................... 34 Gestion des pages personnalisées de messages d erreur HTTP.................. 34 Copyright IBM Corp. 1999, 2002 iii

Prise en charge de macro pour les pages de messages d erreur HTTP............... 36 Gestion des pages personnalisées de gestion de comptes.................... 37 Valeurs et paramètres de page personnalisée....................... 37 Descriptions de pages HTML personnalisées....................... 38 Gestion des certificats côté client et côté sereur....................... 39 Présentation des types de fichier de la base de données de clés................. 40 Configuration de paramètres de base de données de clés................... 41 Utilisation de l utilitaire de gestion de certificat ikeyman................... 42 Configuration du contrôle CRL............................ 42 Configuration du cache CRL............................. 43 Configuration de la journalisation HTTP par défaut...................... 44 Actiation et désactiation de la journalisation HTTP.................... 44 Spécification du type d horodatage.......................... 45 Spécification du seuil de renouellement des fichiers journaux................. 45 Spécification de la fréquence de idage des mémoires tampon de fichier journal........... 45 Format de journal HTTP courant (pour request.log)..................... 45 Affichage du fichier request.log............................ 46 Affichage du fichier agent.log............................ 46 Affichage du fichier referer.log............................ 46 Configuration de la journalisation HTTP par défaut...................... 47 Consignation des messages de mise en serice WebSEAL.................... 48 Chapitre 3. Configuration aancée du sereur................... 51 Configuration d un nieau de protection par défaut...................... 51 Configuration du nieau de protection pour les réseaux et les hôtes indiiduels........... 52 Configuration des mises à jour et de l interrogation de la base de données d autorisation......... 53 Configuration de l écoute des notifications de mise à jour................... 53 Configuration de l interrogation de la base de données d autorisation............... 54 Gestion des affectations des unités d exécution d agents.................... 54 Configuration des unités d exécution d agents WebSEAL................... 54 Affectation des unités d exécution d agents pour les jonctions (limite maximale)........... 55 Réplication de sereurs frontaux WebSEAL......................... 57 Configuration de plusieurs instances de sereur WebSEAL................... 58 Généralités sur la configuration............................ 58 Configuration de plusieurs instances WebSEAL sous UNIX.................. 58 Configuration de plusieurs instances WebSEAL sous Win NT/2000............... 61 Déconfiguration de plusieurs instances WebSEAL..................... 63 Commandes de sereur start, stop, restart et status..................... 63 Configuration du changement d utilisateur pour les administrateurs................ 65 Explication du processus de changement d utilisateur.................... 65 Actiation du changement d utilisateur : récapitulatif.................... 67 Configuration du formulaire HTML de changement d utilisateur................ 67 Actiation et exclusion d utilisateurs pour le changement d utilisateur............... 69 Configuration de la méthode d authentification par changement d utilisateur............ 69 Configuration d une méthode de changement d utilisateur CDAS................ 70 Impact sur les autres fonctionnalités WebSEAL...................... 71 Configuration de la mise en mémoire cache des requêtes WebSEAL côté sereur............ 72 Principes de base................................ 72 Flux du processus de mise en mémoire cache côté sereur................... 73 Configuration des paramètres de mise en mémoire cache côté sereur............... 74 Notes et limites................................. 75 Gestion des caractères codés UTF-8........................... 76 Préention de la ulnérabilité causée par les scripts inter-sites.................. 77 Principes de base................................ 77 Configuration du filtrage des chaînes d adresses URL.................... 78 Suppression de l identité de sereurs........................... 79 Utilisation des statistiques WebSEAL........................... 79 Syntaxe de la commande pdadmin stats......................... 79 Composants statistiques et types d actiités........................ 82 Actiation statique des statistiques à l aide de la journalisation d éénements............ 88 Utilisation de l utilitaire de trace pour regrouper les actions de WebSEAL.............. 89 i IBM Tioli Access Manager - Guide d administration WebSEAL

Syntaxe applicable aux commandes de base de l utilitaire de trace................ 89 Composants de trace de WebSEAL.......................... 90 Chapitre 4. Règles de sécurité WebSEAL..................... 93 Règles de LCA spécifiques de WebSEAL.......................... 93 /WebSEAL/<hôte>................................ 93 /WebSEAL/<hôte>/<fichier>............................ 93 Droits d accès LCA WebSEAL............................ 94 Règles de LCA WebSEAL par défaut.......................... 94 Caractères alides pour les noms de LCA........................ 94 Limitation des tentaties de connexion.......................... 95 Syntaxe de commande............................... 96 Règle de renforcement de mot de passe.......................... 96 Règle de renforcement de mot de passe définie par l utilitaire pdadmin.............. 96 Syntaxe de commande............................... 97 Exemples de mots de passe alides et inalides...................... 98 Valeurs globales et spécifiques d un utilisateur...................... 98 Règles POP de renforcement d authentification (authentification aancée).............. 99 Configuration des nieaux pour une augmentation du nieau d authentification........... 99 Actiation de l authentification aancée........................ 100 Formulaire de connexion d authentification aancée.................... 102 Algorithme d autentification aancée......................... 103 Notes et limites de l authentification aancée....................... 103 Différence entre authentification aancée et authentification à facteurs multiples........... 104 Règles POP d authentification basée sur réseau....................... 105 Configuration des nieaux d authentification....................... 105 Spécification des adresses IP et des plages........................ 105 Désactiation du renforcement d authentification par adresse IP................ 107 Algorithme d authentification basée sur réseau...................... 107 Notes et limites de l authentification aancée....................... 107 Nieau de protection des règles POP.......................... 107 Gestion des utilisateurs non authentifiés (HTTP/HTTPS).................... 108 Traitement d une requête émanant d un client anonyme................... 108 Forçage de la connexion utilisateur.......................... 108 Applications de l accès HTTPS non authentifié...................... 109 Contrôle d utilisateurs non authentifiés aec des règles de LCA/POP.............. 109 Chapitre 5. Authentification WebSEAL...................... 111 Explication du processus d authentification........................ 111 Types de données de session pris en charge....................... 112 Méthodes d authentification prises en charge....................... 112 Gestion de l état de session.............................. 113 Généralités sur l état de session........................... 113 Généralités sur la mémoire cache de session GSKit et WebSEAL................ 113 Configuration de la mémoire cache d ID de session GSKit SSL................. 114 Configuration de la mémoire cache des droits d accès WebSEAL................ 115 Gestion de l état aec des cookies de session....................... 116 Détermination des types de données d ID de session alides................. 118 Configuration de cookies de secours.......................... 119 Généralités sur la configuration de l authentification..................... 122 Paramètres locaux d authentification......................... 123 Paramètres externes personnalisés d authentification CDAS.................. 123 Configuration par défaut pour l authentification WebSEAL.................. 123 Configuration de plusieurs méthodes d authentification................... 124 Inite de connexion............................... 124 Commandes de déconnexion et de modification de mot de passe................ 125 Configuration de l authentification de base........................ 126 Actiation et désactiation de l authentification de base................... 126 Définition du nom de domaine........................... 126 Configuration de la méthode d authentification de base................... 127 Table des matières

Conditions de configuration............................ 127 Configuration de l authentification à base de formulaires.................... 127 Actiation et désactiation de l authentification par formulaires................ 127 Configuration de la méthode d authentification par formulaires................ 128 Conditions de configuration............................ 128 Personnalisation des formulaires de réponse HTML.................... 128 Configuration de l authentification par certificat côté client................... 129 Contexte : Authentification réciproque ia des certificats................... 129 Certificat de test WebSEAL............................. 130 Actiation et désactiation de l authentification par certificat................. 131 Configuration de la méthode d authentification par certificat................. 131 Conditions de configuration............................ 132 Configuration de l authentification par en-tête HTTP..................... 132 Actiation et désactiation de l authentification par en-tête HTTP................ 132 Spécification de types d en-têtes........................... 133 Configuration de la méthode d authentification par en-tête HTTP................ 133 Conditions de configuration............................ 134 Configuration de l authentification par adresse IP...................... 134 Actiation et désactiation de l authentification par adresse IP................. 134 Configuration de la méthode d authentification par adresse IP................. 134 Configuration de l authentification par jeton........................ 134 Actiation et désactiation de l authentification par jeton................... 134 Configuration de la méthode d authentification par jeton................... 134 Prise en charge du multiplexage d agents proxy....................... 135 Types de données de session alides et méthodes d authentification............... 136 Flux de processus d authentification pour les agents MPA et des clients multiples.......... 137 Actiation et désactiation de l authentification MPA.................... 138 Création d un compte utilisateur pour l agent MPA.................... 138 Ajout du compte MPA au groupe webseal-mpa-serers................... 138 Limites de l authentification MPA.......................... 138 Configuration de la nouelle authentification sur la base de la stratégie de sécurité........... 138 Conditions affectant la nouelle authentification POP.................... 138 Création et application de règles POP de nouelle authentification............... 139 Configuration de la réinitialisation et de l allongement de la durée de ie du cache de session...... 140 Configuration de la nouelle authentification sur la base de la règle d inactiité de session........ 141 Conditions affectant la nouelle authentification pour inactiité................ 141 Actiation de la nouelle authentification pour inactiité................... 143 Configuration de la réinitialisation et de l allongement de la durée de ie du cache de session...... 143 Chapitre 6. Solutions de connexion unique interdomaine (CDSSO)......... 145 Configuration de l authentification CDSSO........................ 145 Intégration d une bibliothèque partagée CDMF...................... 145 Flux du processus d authentification pour CDSSO aec CDMF................. 146 Actiation et désactiation de l authentification CDSSO................... 147 Configuration de la méthode d authentification CDSSO................... 147 Chiffrement des données d authentification du jeton.................... 148 Configuration de l horodate du jeton......................... 148 Expression des liens HTML CDSSO.......................... 149 Protection du jeton d authentification......................... 149 Configuration de la connexion unique de communauté électronique................ 149 Fonctions de la communauté électronique et conditions requises................ 151 Flux du processus de communauté électronique...................... 152 Explication du cookie de communauté électronique.................... 156 Explication de la requête et de la réponse d attestation................... 156 Explication du jeton d attestation.......................... 157 Chiffrement du jeton d attestation.......................... 157 Configuration de la communauté électronique...................... 158 Chapitre 7. Jonctions WebSEAL........................ 163 Présentation des jonctions WebSEAL.......................... 163 i IBM Tioli Access Manager - Guide d administration WebSEAL

Emplacement et format de la base de données des jonctions.................. 163 Application du contrôle d accès allégé : récapitulatif.................... 164 Application du contrôle d accès allégé : récapitulatif.................... 164 Directies en matière de création de jonctions WebSEAL junctions................ 164 Références supplémentaires pour les jonctions WebSEAL................... 165 Utilisation de pdadmin pour créer des jonctions....................... 165 Configuration d une jonction WebSEAL de base....................... 166 Création de jonctions de type TCP.......................... 167 Création de jonctions de type SSL.......................... 167 Ajout de sereurs d arrière-plan à une jonction...................... 168 Jonctions SSL authentifiées de façon réciproque....................... 169 WebSEAL alide le certificat du sereur d arrière-plan................... 169 Mise en correspondance des noms distinctifs (DN)..................... 170 WebSEAL s authentifie aec le certificat client...................... 170 WebSEAL s authentifie aec l en-tête BA........................ 171 Gestion des informations d identité du client sur les différentes jonctions............. 171 Création de jonctions proxy TCP et SSL......................... 172 Jonctions WebSEAL/WebSEAL ia SSL.......................... 173 Modification des adresses URL des ressources d arrière-plan.................. 173 Présentation des types de chemins d accès utilisés dans les adresses URL............. 175 Filtrage des adresses URL dans les réponses....................... 175 Traitement des adresses URL dans les requêtes...................... 178 Autres options de jonction.............................. 180 Nouelle fonction forcée ( f)............................ 181 Spécification de l identité du client dans les en-têtes HTTP ( c)................. 182 Spécification des adresses IP client dans les en-têtes HTTP ( r)................. 183 Limitation de la taille des en-têtes HTTP générés par WebSEAL................ 184 Transmission de cookies de session à des sereurs de portail reliés par jonction ( k).......... 184 Prise en charge d adresses URL sans distinction de casse ( i)................. 185 Prise en charge d une jonction aec état ( s, u)...................... 185 Spécification d UUID de sereur d arrière-plan pour des jonctions aec état ( u)........... 186 Etablissement de jonctions aec des systèmes de fichiers Windows ( w).............. 188 Remarques techniques sur l utilisation des jonctions WebSEAL.................. 190 Montage de plusieurs sereurs sur la même jonction.................... 190 Exceptions à la mise en oeure des droits d accès sur les jonctions............... 190 Authentification par certificat sur les jonctions...................... 190 Utilisation de query_contents aec des sereurs tiers..................... 191 Installation des composants query_contents....................... 191 Installation de query_contents sur des sereurs UNIX tiers.................. 192 Installation de query_contents sur des sereurs Win32 tiers.................. 192 Personnalisation de query_contents.......................... 194 Sécurisation de query_contents........................... 195 Chapitre 8. Solutions de connexion unique Web................. 197 Configuration d en-têtes BA pour des solutions SSO..................... 197 Concepts de connexion unique (Single sign-on - SSO).................... 197 Spécification de l identité client dans les en-têtes BA.................... 198 Spécification de l identité client et du mot de passe générique................. 198 Transmission des informations d en-tête BA du client.................... 200 Suppression des informations d en-tête BA client..................... 200 Spécification de noms d utilisateur et de mots de passe à partir de GSO.............. 201 Utilisation d une connexion globale (GSO)......................... 201 Mappage des informations d authentification....................... 203 Configuration d une jonction WebSEAL actiée GSO.................... 203 Configuration du cache GSO............................ 204 Configuration d une connexion unique à IBM WebSphere (LTPA)................. 205 Configuration d une jonction LTPA.......................... 205 Configuration du cache LTPA............................ 206 Remarques techniques sur les connexions uniques..................... 207 Configuration d une authentification à base de formulaires (connexion unique)............ 207 Présentation et objectifs.............................. 207 Table des matières ii

Processus de la connexion unique à base de formulaires................... 208 Conditions requises pour le support d applications..................... 209 Création du fichier de configuration pour les connexions uniques à base de formulaires........ 210 Actiation de la connexion unique à base de formulaires................... 214 Exemple de fichier de configuration pour IBM HelpNow................... 214 Chapitre 9. Intégration d application...................... 217 Prise en charge de la programmation CGI......................... 217 Windows : prise en charge des ariables d enironnement WIN32............... 218 Prise en charge des applications sereur d arrière-plan.................... 219 Meilleures pratiques de jonction applicables à l intégration d applications.............. 220 Fourniture d informations d en-tête HOST complètes aec -................. 220 Prise en charge du filtrage des adresses URL absolues standard................ 220 Création d un serice d indiidualisation personnalisé..................... 221 Configuration de WebSEAL pour un serice d indiidualisation................ 222 Exemple de serice d indiidualisation......................... 222 Actiation dynamique des droits d accès (code/aleur).................... 223 Création de droits d accès à partir de données LDAP.................... 223 Mise à jour des données sur l état de la session entre le client et les applications d arrière-plan....... 226 Contexte de la gestion des sessions utilisateurs...................... 226 Actiation de la gestion des ID de sessions utilisateurs................... 227 Insertion des données d autorisation dans l en-tête HTTP................... 227 Fin des sessions utilisateurs............................ 229 Ajout d un contrôle d accès à des adresses URL dynamiques.................. 230 Composants d adresses URL dynamiques........................ 230 Mappage d objets de LCA et POP à des adresses URL dynamiques............... 231 Mise à jour de WebSEAL pour les adresses URL dynamiques................. 233 Conersion des adresses URL dynamiques dans l espace objet................. 233 Configuration de limites sur les requêtes POST...................... 234 Résumé et remarques techniques........................... 235 Exemple d adresse URL dynamique : Trael Kingdom.................... 236 Présentation de l application............................ 236 Présentation de l interface............................. 236 Présentation des règles de sécurité.......................... 237 Protection des clients............................... 238 Contrôle d accès................................ 238 Conclusion.................................. 238 Annexe A. Références du fichier webseald.conf................. 239 Annexe B. Référence des jonctions WebSEAL.................. 253 Utilisation de pdadmin pour créer des jonctions....................... 253 Commandes de jonction............................... 255 Création d une nouelle jonction pour un sereur existant................... 256 Ajout d un sereur supplémentaire à une jonction existante................... 258 Annexe C. Remarques............................ 261 Marques.................................... 264 Index.................................... 265 iii IBM Tioli Access Manager - Guide d administration WebSEAL

Aant-propos A qui s adresse ce guide Contenu de ce guide Bienenue dans IBMTioliAccess Manager - Guide d administration WebSEAL. IBM Tioli Access Manager WebSEAL est le gestionnaire de sécurité de ressources pour les ressources basées sur le Web. WebSEAL est un sereur Web à hautes performances et à plusieurs unités d exécution, appliquant des règles de sécurité renforcées à l espace objet Web sous sa protection. Il peut fournir des solutions à connexion unique et intégrer des ressources du sereur d applications Web d arrière-plan dans ses règles de sécurité. Ce guide d administration contient un ensemble complet de procédures et d informations de référence qui peuent ous aider à gérer les ressources de otre domaine Web sécurisé. Il ous apporte également des informations intéressantes en matière de contexte et de concepts, sur la grande gamme des fonctionnalités WebSEAL. Remarque : Certains graphiques de cette brochure ne sont pas disponibles en français à la date d impression. Ce guide s adresse aux administrateurs système chargés de la configuration et de la maintenance d un enironnement Access Manager WebSEAL. Vous deez posséder des connaissances dans les domaines suiants : Systèmes d exploitation PC et UNIX Architecture et concepts de bases de données Gestion de la sécurité Protocoles Internet (HTTP, TCP/IP, FTP (File Transfer Protocol) et Telnet) Protocole LDAP (Lightweight Directory Access Protocol) et serices de répertoires Registres d utilisateurs pris en charge Authentification et autorisation Si ous actiez les communications SSL (Secure Sockets Layer), ous deez également bien connaître le protocole SSL, l échange de clés (publiques et priées), les signatures numériques, les algorithmes de cryptographie et les autorités d accréditation. Chapitre 1 : Généralités sur IBM Tioli Access Manager WebSEAL Ce chapitre présente les concepts et fonctionnalités importants de WebSEAL : organisation et protection de otre espace objet, authentification, acquisition des données d identification et jonctions WebSEAL. Chapitre 2 : Configuration de base du sereur Ce chapitre sert de référence technique pour les grandes tâches de configuration de WebSEAL : utilisation du fichier de configuration WebSEAL, gestion de l espace Web, gestion des certificats et configuration des connexions. Chapitre 3 : Configuration aancée du sereur Copyright IBM Corp. 1999, 2002 ix

Ce chapitre sert de référence technique pour les grandes tâches de configuration aancée de WebSEAL : configuration de plusieurs instances WebSEAL, configuration de la fonctionnalité de changement d utilisateur, gestion de l allocation des unités d agent et configuration des mises à jour et des interrogations de la base de données d autorisations. Chapitre 4 : Règles de sécurité WebSEAL Ce chapitre contient des procédures techniques détaillées pour la personnalisation des règles de sécurité sur WebSEAL : règles POP et LCA, qualité de la protection, renforcement des règles d authentification, règles d authentification basées sur le réseau, règles de tentaties limitées de connexion et règles de renforcement du mot de passe. Chapitre 5 : Authentification WebSEAL Ce chapitre contient des procédures techniques détaillées sur la configuration de WebSEAL pour gérer toute une série de méthodes d authentification : nom d utilisateur et mot de passe, certificats côté client, passcode de jeton SecurID, données d en-tête HTTP spéciales et fonctionnalité de nouelle authentification. Chapitre 6 : Solutions de connexion interdomaine Ce chapitre traite des solutions de connexion interdomaine pour le côté externe d une configuration proxy WebSEAL (entre le client et le sereur WebSEAL). Chapitre 7 : Jonctions WebSEAL Ce chapitre sert de référence technique exhaustie à l installation et à l utilisation des jonctions WebSEAL. Chapitre 8 : Solutions de connexion unique Web Ce chapitre traite des solutions de connexion unique (SSO) pour le côté interne d une configuration proxy WebSEAL (entre le sereur WebSEAL et le sereur d applications d arrière-plan relié par jonction). Chapitre 9 : Intégration d application Ce chapitre explore dierses capacités de WebSEAL permettant d intégrer les fonctionnalités d une application de tiers. Annexe A : Référence du fichier webseald.conf Annexe B : Référence des jonctions WebSEAL Publications Cette section répertorie les publications incluses dans la bibliothèque d Access Manager ainsi que d autres documents connexes. Elle décrit également la méthode d accès en ligne aux publications Tioli, de commande de ces dernières ou d enoi de commentaires. IBM Tioli Access Manager La bibliothèque d Access Manager est organisée autour des catégories suiantes : Informations sur les ersions Informations sur la base Informations relaties à WebSEAL Informations relaties à la sécurité sur le Web Informations de référence pour déeloppeurs Informations techniques supplémentaires Vous trouerez les publications de la bibliothèque produits au format PDF (Portable Document Format) sur le CD du produit. Pour accéder à ces publications x IBM Tioli Access Manager - Guide d administration WebSEAL

à l aide d un naigateur Web, ourez le fichier infocenter.html, que ous trouerez dans le répertoire /doc sur le CD du produit. Pour obtenir d autres sources d informations sur Access Manager et sur des thèmes connexes, isitez les sites Web suiants : http://www.ibm.com/redbooks https://www.tioli.com/secure/support/documents/fieldguides Informations sur les ersions IBM Tioli Access Manager for e-business Read Me First GI11-0918 (am39_readme.pdf ) Fournit des informations relaties à l installation et aux premières utilisations d Access Manager. IBM Tioli Access Manager for e-business Release Notes GI11-0919 (am39_relnotes.pdf ) Fournit les informations les plus récentes (telles que les limitations logicielles, les solutions et les mises à jour de documentation). Informations relaties à la base IBM Tioli Access Manager Base Installation Guide GC32-0844 (am39_install.pdf ) Fournit les procédures d installation, de configuration et de mise à nieau du logiciel Access Manager (y compris de l interface Web Portal Manager). IBM Tioli Access Manager - Guide d administration GC11-1909 (am39_admin.pdf ) Décrit les concepts et les procédures d utilisation des serices d Access Manager. Fournit les instructions d exécution des tâches à partir de l interface Web Portal Manager ou de la commande pdadmin. IBM Tioli Access Manager Base for Linux on zseries Installation Guide GC23-4796 (am39_zinstall.pdf ) Fournit les procédures d installation et de configuration de la base Access Manager pour Linux sur plate-forme zseries. Informations relaties à WebSEAL IBM Tioli Access Manager WebSEAL Installation Guide GC32-0848 (amweb39_install.pdf) Fournit les instructions d installation, de configuration et de désinstallation du sereur WebSEAL et du kit de déeloppement d applications WebSEAL. IBM Tioli Access Manager - Guide d administration WebSEAL GC11-1908 (amweb39_admin.pdf ) Fournit les données de base, les procédures administraties et les informations techniques permettant d utiliser WebSEAL afin de gérer les ressources de otre domaine Web sécurisé. IBM Tioli Access Manager WebSEAL Deeloper s Reference GC23-4683 (amweb39_deref.pdf) Fournit des informations de programmation et d administration applicables aux modules CDAS (Cross-domain Authentication Serice), CDMF (Cross-domain Mapping Framework) et à la alidation de mot de passe. IBM Tioli Access Manager WebSEAL for Linux on zseries Installation Guide Aant-propos xi

GC23-4797 (amweb39_zinstall.pdf) Fournit les instructions d installation, de configuration et de désinstallation du sereur WebSEAL et du kit de déeloppement d applications WebSEAL pour Linux sur plate-forme zseries. Informations relaties à la sécurité sur le Web IBM Tioli Access Manager for WebSphere Application Serer - Guide de l utilisateur GC11-1907 (amwas39_user.pdf ) Fournit les instructions d installation, de désinstallation et d administration d IBM Websphere Application Serer. IBM Tioli Access Manager for WebLogic Serer User s Guide GC32-0851 (amwls39_user.pdf) Fournit les instructions d installation, de désinstallation et d administration d Access Manager for BEA WebLogic Serer. IBM Tioli Access Manager Plug-in for Edge Serer User s Guide GC23-4685 (amedge39_user.pdf) Fournit les instructions d installation, de configuration et d administration du plug-in adapté à IBM WebSphere Edge Serer. IBM Tioli Access Manager Plug-in for Web Serers User s Guide GC23-4686 (amws39_user.pdf) Fournit les instructions d installation, les procédures d administration et les informations techniques permettant de sécuriser otre domaine Web à l aide du plug-in pour applications de sereurs Web. Guides de référence pour déeloppeurs IBM Tioli Access Manager Authorization C API Deeloper s Reference GC32-0849 (am39_authc_deref.pdf) Fournit des informations de référence qui décrient les méthodes d utilisation de l API C d autorisations d Access Manager et de l interface Access Manager Serice Plug-in pour ajouter la sécurité Access Manager aux applications. IBM Tioli Access Manager Authorization Jaa Classes Deeloper s Reference GC23-4688 (am39_authj_deref.pdf) Fournit des informations de référence pour l utilisation du langage Jaa au sein de l API d autorisation afin de permettre à une application d utiliser la sécurité Access Manager. IBM Tioli Access Manager Administration C API Deeloper s Reference GC32-0843 (am39_adminc_deref.pdf) Fournit des informations de référence sur l utilisation de l API d administration afin de permettre à une application d exécuter des tâches d administration Access Manager. Ce document décrit la mise en oeure C de l API d administration. IBM Tioli Access Manager Administration Jaa Classes Deeloper s Reference SC32-0842 (am39_adminj_deref.pdf) Fournit des informations de référence pour l utilisation du langage Jaa au sein de l API d autorisation, afin de permettre à une application d utiliser la sécurité Access Manager. IBM Tioli Access Manager WebSEAL Deeloper s Reference GC23-4683 (amweb39_deref.pdf) xii IBM Tioli Access Manager - Guide d administration WebSEAL

Fournit des informations de programmation et d administration applicables aux modules CDAS (Cross-domain Authentication Serice), CDMF (Cross-domain Mapping Framework) et à la alidation de mot de passe. Documents techniques supplémentaires IBM Tioli Access Manager Performance Tuning Guide GC32-0846 (am39_perftune.pdf) Fournit des informations d optimisation des performances adaptées à un enironnement composé d Access Manager aec IBM SecureWay Directory défini comme registre utilisateur. IBM Tioli Access Manager Capacity Planning Guide GC32-0847 (am39_capplan.pdf) Aide les responsables du planning à déterminer le nombre de sereurs Web requis (sereurs WebSEAL, LDAP et d arrière-plan) pour l exécution d une charge de traail en particulier. IBM Tioli Access Manager Error Message Reference SC32-0845 (am39_error_ref.pdf) Fournit des explications et indique des actions recommandées pour les messages émis par Access Manager. Le glossaire Tioli contient la définition d un grand nombre de termes techniques relatifs au logiciel Tioli. Le glossaire Tioli est disponible (en anglais uniquement) sur le site Web suiant : http://www.tioli.com/support/documents/glossary/termsm03.htm Documents connexes Cette section répertorie les documents relatifs à la bibliothèque Access Manager. Base de données unierselle IBM DB2 La base de données unierselle IBM DB2 est requise lors de l installation des sereurs IBM SecureWay Directory, LDAP SecureWay z/os et OS/390. Vous trouerez des informations relaties à DB2 sur le site Web suiant : http://www.ibm.com/software/data/db2/ IBM Global Security Toolkit Access Manager permet d effectuer un chiffrement de données ia l utilisation d IBM Global Security Toolkit (GSKit). Vous trouerez GSKit sur le CD d IBM Tioli Access Manager Base pour otre plate-forme spécifique. GSKit installe l utilitaire de gestion ikeyman (gsk5ikm). Ce dernier ous permet de créer des bases de données de clés, des paires de clés publiques-priées et des requêtes de certificats. Le document suiant est disponible dans le répertoire /doc/gskit : Secure Sockets Layer Introduction and ikeyman User s Guide gskikm5c.pdf Ce document fournit des informations à l attention des responsables de la sécurité du système ou des administrateurs réseau chargés d actier les communications SSL dans leur domaine sécurisé Access Manager. Aant-propos xiii

IBM SecureWay Directory Vous trouerez IBM SecureWay Directory (ersion 3.2.2) sur le CD d IBM Tioli Access Manager Base pour otre plate-forme spécifique. Si ous souhaitez installer le sereur IBM SecureWay Directory en tant que registre d utilisateurs, ous trouerez les documents suiants dans le répertoire /doc/directory sur le CD IBM Tioli Access Manager Base pour otre plate-forme spécifique : IBM SecureWay Directory Installation and Configuration Guide (aparent.pdf, lparent.pdf, sparent.pdf, wparent.pdf) Fournit des informations d installation, de configuration et de migration pour les composants IBM SecureWay Directory sous AIX, Linux, Solaris et Microsoft Windows. IBM SecureWay Directory Release Notes (relnote.pdf) Complète la documentation produit d IBM SecureWay Directory (ersion 3.2.2) et décrit les nouelles fonctions de cette ersion. IBM SecureWay Directory Readme Addendum (addendum322.pdf) Fournit des informations sur les modifications et les corrections apportées après la traduction de la documentation relatie à IBM SecureWay Directory. Ce fichier existe en anglais uniquement. IBM SecureWay Directory Serer Readme (serer.pdf) Fournit une description d IBM SecureWay Directory Serer (ersion 3.2.2). IBM SecureWay Directory Client Readme (client.pdf) Fournit une description d IBM SecureWay Directory Client SDK (ersion 3.2.2).Ce kit de déeloppement logiciel (SDK) constitue un support de déeloppement d applications LDAP. SSL Introduction and ikeyman User s Guide (gskikm5c.pdf) Ce document fournit des informations à l attention des responsables de la sécurité du système ou des administrateurs réseau chargés d actier les communications SSL dans leur domaine sécurisé Access Manager. IBM SecureWay Directory Configuration Schema (scparent.pdf) Décrit l arborescence des renseignements répertoire (DIT) et les attributs utilisés pour configurer le fichier slapd32.conf. Dans IBM SecureWay Directory (ersion 3.2), les paramètres du répertoire sont stockés au format LDIF (LDAP Directory Interchange Format) dans le fichier slapd32.conf. IBM SecureWay Directory Tuning Guide (tuning.pdf) Fournit des informations de réglage des performances pour IBM SecureWay Directory. Lorsqu elles sont disponibles, des informations sont fournies sur le réglage des tailles de répertoires (de quelques milliers d entrées à plusieurs millions d entrées). Pour plus d informations sur IBM SecureWay Directory, isitez le site Web suiant : http://www.software.ibm.com/network/directory/library/ xi IBM Tioli Access Manager - Guide d administration WebSEAL

IBM WebSphere Application Serer IBM WebSphere Application Serer, Adanced Single Serer Edition (ersion 4.0.2) est installé en même temps que l interface Web Portal Manager. Pour plus d informations sur IBM WebSphere Application Serer, isitez le site Web suiant : http://www.ibm.com/software/webserers/appser/infocenter.html Accès aux publications en ligne Vous trouerez les publications des bibliothèques produit sur le CD produit, au format PDF (Portable Document Format). Pour accéder à ces publications à l aide d un naigateur Web, ourez le fichier infocenter.html (que ous trouerez dans le répertoire /doc du CD produit. Lorsqu IBM publie une nouelle ersion de certaines publications (en ligne ou sous forme de documents), celle-ci figure dans le centre de documentation Tioli. Le centre de documentation Tioli contient la ersion la plus récente des publications de la bibliothèque produit, au format PDF ou HTML (ou encore aux deux). Des documents traduits sont également disponibles pour certains produits. Vous pouez accéder au centre de documentation Tioli et à d autres sources d informations techniques à partir du site Web suiant : http://www.tioli.com/support/documents/ Les informations sont organisées par produit et comprennent des notes d édition, des guides d installation, des guides de l utilisateur, des guides d administration et des documents de référence pour déeloppeurs. Remarque : Si ous imprimez des documents sur un autre papier que le papier lettre, cochez la case Fit to page dans la boîte de dialogue d impression d Adobe Acrobat (qui s affiche lorsque ous cliquez sur File Print) pour garantir que les dimensions totales d une page au format lettre sont prises en compte pour l impression sur le papier utilisé. Commande de publications Vous pouez commander de nombreuses publications Tioli en ligne à partir du site Web suiant http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi Vous pouez également passer otre commande par téléphone, en appelant l un des numéros suiants : Aux Etats-Unis, composez le 800-879-2755. Au Canada, composez le 800-426-4968 Pour les autres pays, ous trouerez la liste des numéros de téléphone sur le site Web suiant : http://www.tioli.com/inside/store/lit_order.html Aant-propos x

Accessibilité Commentaires sur les publications Vos commentaires sur les produits et la documentation Tioli nous sont très utiles, car ils permettent d améliorer la qualité de nos produits. Vous pouez nous faire parenir os commentaires et suggestions sur ce guide en procédant de l une des manières suiantes : Enoyez un courrier électronique à pubs@tioli.com. Répondez à notre enquête de satisfaction clients sur le site Web suiant : http://www.tioli.com/support/surey/ Les fonctions d accessibilité permettent aux utilisateurs handicapés (à mobilité réduite ou ayant des problèmes de ue) d utiliser des produits logiciels. Grâce à ce produit, ous pouez utiliser des techniques qui ous aident à entendre et à naiguer dans l interface. Vous pouez également ous serir du claier plutôt que de la souris pour utiliser toutes les fonctions de l interface graphique utilisateur. Comment contacter le serice d assistance En cas d incident lors de l utilisation de l un des produits Tioli, ous pouez faire appel au serice d assistance Tioli. Reportez-ous au document Tioli Customer Support Handbook, disponible sur le site Web suiant : http://www.tioli.com/support/handbook/ Ce document indique comment contacter le serice clientèle de Tioli en fonction de la graité du problème rencontré et contient les informations suiantes Enregistrement et éligibilité Numéros de téléphone et adresses électroniques en fonction du pays Informations à préparer aant de prendre contact aec le support Conentions utilisées dans ce document Le présent guide applique plusieurs conentions de présentation pour les actions et les termes spéciaux, pour les commandes et chemins propres à chaque système d exploitation et pour les graphiques. Conentions utilisées dans ce guide Les conentions suiantes sont utilisées dans ce guide : Gras Italique Monospace Les commandes, mots clés, noms de fichiers, rôles d autorisation, adresses URL ou autres informations à utiliser littéralement apparaissent en caractères gras. Les ariables, les options et les aleurs que ous deez indiquer apparaissent en caractères italiques. Les titres des publications, ainsi que les termes et phrases que l auteur a oulu mettre en éidence apparaissent également en caractères italiques. Les exemples de code, les lignes de commande, les sorties d écran, les noms de fichier et de répertoire ainsi que les messages système apparaissent dans la police de caractères monospace. xi IBM Tioli Access Manager - Guide d administration WebSEAL

Ais aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont ous deez tenir compte. Illustrations Les illustrations sont fournies à titre d exemple. Certaines peuent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d un pays à l autre. Reportez-ous au tableau ci-dessous, au besoin. IBM France ingénieur commercial agence commerciale ingénieur technico-commercial inspecteur IBM Canada représentant succursale informaticien technicien du matériel Claiers Les lettres sont disposées différemment : le claier français est de type AZERTY, et le claier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : les pages de codes 850 (multilingue) et 863 (français-canadien), le code pays 002, le code claier CF. Copyright IBM Corp. 1999, 2002 xii

Nomenclature Les touches présentées dans le tableau d équialence suiant sont libellées différemment selon qu il s agit du claier de la France, du claier du Canada ou du claier des États-Unis. Reportez-ous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de otre claier. Breets Il est possible qu IBM détienne des breets ou qu elle ait déposé des demandes de breets portant sur certains sujets abordés dans ce document. Le fait qu IBM ous fournisse le présent document ne signifie pas qu elle ous accorde un permis d utilisation de ces breets. Vous pouez enoyer, par écrit, os demandes de renseignements relaties aux permis d utilisation au directeur général des relations commerciales d IBM, 3600 Steeles Aenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si ous aez besoin d assistance ou si ous oulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234. xiii IBM Tioli Access Manager - Guide d administration WebSEAL

Chapitre 1. Généralités sur IBM Tioli Access Manager WebSEAL IBMTioliAccess Manager for e-business (Access Manager) constitue une solution robuste et sécurisée de gestion centralisée des règles applicables au commerce électronique et aux applications distribuées. IBM Tioli Access Manager WebSEAL est un sereur Web à hautes performances et à plusieurs unités d exécution, appliquant des règles de sécurité renforcées à l espace objet Web Access Manager sous sa protection. WebSEAL peut fournir des solutions à connexion unique et intégrer des ressources du sereur d application Web d arrière-plan dans ses règles de sécurité. Le présent chapitre ous présente les principales fonctionnalités du sereur WebSEAL. Index des rubriques : «Introduction à IBM Tioli Access Manager et à WebSEAL» à la page 1 «Présentation du modèle de sécurité d Access Manager» à la page 3 «Protection de l espace Web grâce à WebSEAL» à la page 7 «Planification et mise en oeure des règles de sécurité» à la page 8 «Explication de l authentification WebSEAL» à la page 10 «Explication des jonctions WebSEAL» à la page 14 Introduction à IBM Tioli Access Manager et à WebSEAL IBM Tioli Access Manager : IBM Tioli Access Manager constitue une solution complète de gestion des règles de sécurité réseau et d autorisation, qui fournit une protection inégalée des ressources sur des intranets et des extranets géographiquement dispersés. Outre ses fonctions aancées de gestion des règles de sécurité, Access Manager contient des fonctions d authentification, d autorisation, de sécurité des données et de gestion centralisée des ressources. Vous pouez utiliser Access Manager en association aec des applications Internet standard afin de créer des intranets présentant un très bon nieau de sécurité et de gestion. En tant qu élément central, Access Manager offre les capacités suiantes : Structure d authentification Access Manager fournit une large gamme d outils intégrés d authentification et prend en charge des outils externes d authentification. Structure d autorisation Le serice d autorisation d Access Manager (auquel ous pouez accéder ia l API d autorisation d Access Manager) ous permet de prendre des décisions d autorisation ou de refus de requêtes relaties à des ressources protégées situées dans le domaine sécurisé. Copyright IBM Corp. 1999, 2002 1