Partie III : Configuration après le déploiement
Cette section du guide décrit les opérations de configuration complémentaires nécessaires après le déploiement des produits LiveCycle sur le serveur d'applications et l'initialisation de la base de données
LiveCycle.
130
12
Configuration des produits LiveCycle pour accéder
à LDAP
Ce chapitre décrit la configuration des produits LiveCycle avec LDAP ou LDAP via SSL (LDAPS).
●
« Configuration des produits LiveCycle avec LDAP », page 131
●
« Configuration des produits LiveCycle avec LDAPS », page 132
Attention :
si vous installez et déployez plusieurs produits LiveCycle, vous devez consulter le guide
Installation et configuration approprié pour obtenir les paramètres SSL et de sécurité spécifiques à chaque produit LiveCycle installé.
Configuration des produits LiveCycle avec LDAP
Appliquez la procédure suivante lors de la configuration de User Management pour la prise en charge de l'authentification via LDAP.
➤
Pour configurer User Management avec LDAP :
1. Ouvrez un navigateur Web, accédez au site http://
[nomhôte]:[port]
/adminui
et connectez-vous.
Reportez-vous à la section « Accès à Administrator », page 67 .
2. Sélectionnez Paramètres > User Management > Gestion des domaines et cliquez sur Nouveau
domaine.
3. Dans le champ ID, saisissez un identifiant de domaine unique.
4. Entrez le nom du domaine dans la zone Nom.
5. Cliquez sur Ajouter une authentification, puis sélectionnez LDAP dans la liste Fournisseur d'authentification.
Remarque :
il est déconseillé d'utiliser JAAS avec User Management dans LiveCycle 7.2.
6. Cliquez sur OK.
7. Cliquez sur Ajouter un annuaire.
8. Sous Remplir la page avec, sélectionnez une option de configuration d'annuaire comme Valeurs Sun
ONE par défaut.
9. Renseignez au besoin les zones Serveur, Port, SSL et Liaison. Pour plus de détails sur les paramètres, consultez la rubrique sur les options d'annuaire dans l'aide en ligne.
10. Configurez les Options utilisateur et les Options du groupe requises. Pour plus de détails sur les paramètres, consultez la rubrique sur les options d'annuaire dans l'aide en ligne.
11. (Facultatif ) Testez la configuration :
●
Cliquez sur Test.
●
Dans le champ Rechercher du volet Tester l'annuaire, saisissez un nom d'objet, puis dans le champ
avec, sélectionnez le type d'objet, comme ID de connexion.
131
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebSphere
Configuration des produits LiveCycle pour accéder à LDAP
Configuration des produits LiveCycle avec LDAPS 132
●
Cliquez sur Test. Si le résultat est positif, les détails de votre objet s'affichent. Cliquez ensuite sur
Précédent.
12. Cliquez sur OK pour fermer la page Ajouter un annuaire, puis de nouveau sur OK pour quitter.
Configuration des produits LiveCycle avec LDAPS
Appliquez la procédure suivante lors de la configuration de User Management pour la prise en charge de l'authentification via LDAPS.
➤
Pour configurer User Management avec LDAPS :
1. Activez SSL sur le serveur d'annuaire. Pour plus d'informations, consultez la documentation fournie avec l'annuaire.
2. Exportez un certificat client depuis le serveur d'annuaire.
3. Utilisez le programme keytool pour importer le fichier du certificat client dans le magasin de certificats de la JVM par défaut. La procédure peut varier selon la version de JMV installée et les chemins d'installation du client. Par exemple, si vous utilisez JDK 1.4.2, tapez le code suivant lorsque l'invite s'affiche : keytool -import -file client_certificate -alias myalias -keystore
[racine du serveur d'applications]/jdk142_08/jre/lib/security/cacerts
Spécifiez votre mot de passe (pour Java, le mot de passe par défaut est « changeit
») lorsqu'il vous est demandé. Une fois le certificat importé, un message vous est envoyé confirmant la réussite de l'opération.
4. Activez SSL dans User Management. Pour accéder aux paramètres de User Management, sélectionnez
Paramètres > User Management dans les pages d'Administrator. Lorsque vous configurez les options d'annuaire, sélectionnez Oui pour la propriété SSL et modifiez la propriété Port en conséquence.
Le numéro de port par défaut est 636.
Dépannage
Si vous rencontrez un problème lors de l'utilisation du protocole SSL, utilisez un navigateur LDAP pour vérifier si le système LDAP est accessible lorsque vous utilisez le protocole SSL. Si le navigateur LDAP ne peut pas accéder au système LDAP, le problème concerne la configuration de votre certificat et du serveur d'applications. Si le navigateur LDAP peut accéder au système LDAP, cela signifie que User Management n'est pas configuré correctement.
13
Configuration de SSL sur WebSphere
Ce chapitre décrit la procédure de création d'informations d'identification et de configuration SSL sur le serveur d'applications afin d'accroître la sécurité de la communication avec le serveur d'applications.
Les informations de ce chapitre s'appliquent à WebSphere version 5.1.1.5 et version 6.0.2.9.
Remarque :
il est conseillé de terminer la procédure d'installation, de configuration et de déploiement des produits LiveCycle et de vérifier qu'ils s'exécutent correctement avant de configurer SSL sur le serveur d'applications.
Il est important de vérifier que les paramètres de sécurité configurés sur le serveur d'applications et dans le fichier LiveCycle.ear sont homogènes.
Attention :
si vous installez et déployez plusieurs produits LiveCycle, vous devez consulter le guide
Installation et configuration approprié pour obtenir les paramètres SSL et de sécurité spécifiques à chaque produit LiveCycle installé.
Si vous n'avez pas encore activé le protocole SSL sur le module Data Manager (assemblé en tant que partie du fichier LiveCycle.ear), exécutez Configuration Manager pour reconfigurer et réassembler les produits en activant SSL, puis redéployez le fichier LiveCycle.ear. Le mot de passe SSL que vous spécifiez dans Configuration
Manager doit correspondre à celui que vous saisissez lors de la configuration de SSL sur le serveur
.
Pour configurer SSL sur le serveur d'applications, vous devez effectuer les tâches suivantes :
●
« Création d'informations d'identification SSL », page 135
●
« Création d'un compte utilisateur local », page 133
●
« Configuration du délai d'expiration de la connexion de WebSphere », page 136
Création d'un compte utilisateur local
Pour activer SSL, WebSphere doit accéder à un compte utilisateur du registre utilisateur du système d'exploitation local qui soit autorisé à administrer le système :
●
(Windows) Vous devez créer un nouvel utilisateur Windows appartenant au groupe Administrateurs et
.
●
(Linux et UNIX) L'utilisateur peut être un utilisateur racine ou un autre utilisateur possédant des droits racine. Lorsque vous activez le protocole SSL sur WebSphere, utilisez l'identifiant serveur et le mot de passe de cet utilisateur.
➤
Pour créer un utilisateur Linux ou UNIX pour WebSphere :
1. Connectez-vous en tant qu'utilisateur root.
2. Ouvrez une invite de commande et créez un nouvel utilisateur en saisissant la commande suivante :
●
●
(Linux et Solaris) useradd
(AIX) mkuser
133
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebSphere
Configuration de SSL sur WebSphere
Création d'un compte utilisateur local 134
3.
Définissez le mot de passe du nouvel utilisateur en saisissant passwd
à l'invite de commande
.
4. (Linux et Solaris) Pour que le registre de sécurité du système d'exploitation local du serveur d'applications WebSphere soit opérationnel, le fichier de mot de passe shadow doit exister. Le fichier de mot de passe shadow s'appelle généralement /etc/shadow et se trouve dans le fichier /etc/passwd.
Si ce fichier n'existe pas, une erreur se produit après l'activation de la sécurité globale et la configuration du registre de l'utilisateur comme système d'exploitation local. Créez un fichier de mots de passe cachés en saisissant pwconv
(sans paramètre) à l'invite de commande.
5. Ouvrez le fichier de groupe du répertoire /etc dans un éditeur de texte.
6.
Ajoutez l'utilisateur que vous avez créé à l'étape 2 au groupe root
.
7. Enregistrez le fichier, puis fermez-le.
8. (UNIX, SSL activé) Démarrez et arrêtez WebSphere en tant qu'utilisateur root.
➤
Pour créer un utilisateur Windows pour WebSphere :
1. Connectez-vous à Windows à l'aide d'un compte administrateur.
2. Sélectionnez Démarrer > Panneau de configuration > Outils d'administration > Gestion de
l'ordinateur.
3. Développez Utilisateurs et groupes locaux, cliquez avec le bouton droit de la souris sur Utilisateurs, puis sélectionnez Nouvel utilisateur.
4. Saisissez votre nom d'utilisateur et votre mot de passe dans les zones appropriées, puis remplissez
éventuellement d'autres zones.
5. Désélectionnez L'utilisateur doit changer de mot de passe à la prochaine ouverture de session, cliquez sur Créer, puis cliquez sur Fermer.
6. Cliquez sur Utilisateurs, cliquez avec le bouton droit de la souris sur l'utilisateur que vous venez de créer, puis sélectionnez Propriétés.
7. Cliquez sur l'onglet Membre de, puis sur Ajouter.
8. Dans la zone Entrez les noms des objets à sélectionner, saisissez
Administrateurs
, cliquez sur
Vérifier les noms pour vous assurer que le nom du groupe est correct, puis cliquez sur OK.
9. Cliquez sur OK.
10. Sélectionnez Démarrer > Panneau de configuration > Outils d'administration > Stratégie de
sécurité locale.
11. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
12. Cliquez avec le bouton droit de la souris sur Agir en tant que partie du système d'exploitation, puis sélectionnez Propriétés.
13. Cliquez sur Ajouter un utilisateur ou un groupe.
14. Dans la zone Entrez les noms des objets à sélectionner, entrez le nom de l'utilisateur que vous avez créé à l'étape 4, cliquez sur Vérifier les noms pour vous assurer que le nom est correct, puis cliquez sur OK.
15. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Agir en tant que partie du système d'exploitation.
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebSphere
Configuration de SSL sur WebSphere
Création d'informations d'identification SSL 135
Création d'informations d'identification SSL
Pour configurer SSL sur WebSphere, vous avez besoin d'informations d'identification SSL à des fins d'authentification. Vous pouvez utiliser l'outil IBM de gestion des clés installé avec WebSphere pour exécuter les tâches suivantes dans le but de créer des informations d'identification :
●
Créez un fichier de stockage de clés et utilisez-le pour enregistrer un nouveau certificat auto-signé et la clé privée associée.
●
Exportez le certificat, puis ajoutez-le au fichier de stockage de clés en tant que certificat de signataire.
Le même fichier de stockage de clés est utilisé comme fichier de clé et de confiance dans la configuration SSL de WebSphere.
➤
Pour créer des informations d'identification SSL :
1. Ouvrez une invite de commande et accédez à [racine du serveur d'applications]/etc.
2. Exécutez l'outil IBM de gestion des clés en saisissant la commande suivante :
●
●
(Windows) [
racine du serveur d'applications]\bin\ikeyman.bat
(Linux et UNIX) [
racine du serveur d'applications
]
/bin/ikeyman.sh
3. Sélectionnez Key Database File > New.
4. Dans Key database type, sélectionnez JKS.
5. Cliquez sur Browse et accédez au répertoire [racine du serveur d'applications]/etc.
6. Dans la zone File Name, tapez ads-credentials.jks
, cliquez sur Save, puis sur OK.
7. Dans la fenêtre Password Prompt, saisissez un mot de passe, puis ressaisissez-le dans la zone Confirm
Password. Ce mot de passe doit correspondre au mot de passe d'identification SSL de la propriété SSL défini pour le module Data Manager à l'aide de Configuration Manager. Reportez-vous à la section
« Configuration des produits LiveCycle à déployer », page 77 .
8. Cliquez sur OK.
9. Dans le menu de la zone Key database content, sélectionnez Personal Certificates.
10. Cliquez sur New Self-Signed pour ouvrir la fenêtre Create New Self-Signed Certificate.
11. Dans la zone Key Label, saisissez ads-credentials
.
12. Spécifiez des valeurs pour Organization, Organization Unit, Country or region et Validity Period.
13. Remplacez la valeur de la zone Common Name par le nom du compte utilisateur local que vous avez créé. Reportez-vous à la section
« Création d'un compte utilisateur local », page 133 .
14. Cliquez sur OK.
15. Dans la liste, sélectionnez le certificat ads-credentials, puis cliquez sur Extract Certificate.
16. Sous Data type, sélectionnez Base64-encoded ASCII data.
17. Sous Certificate file name, saisissez ads-cert.arm
18. Sous Location, saisissez [
racine du serveur d'applications]/etc
et cliquez sur OK.
Adobe LiveCycle Configuration de SSL sur WebSphere
Installation et configuration de LiveCycle pour WebSphere Pour configurer WebSphere pour utiliser le registre du système d'exploitation local au lieu de LDAP 136
19. Dans le menu de la zone Key database content, sélectionnez Signer Certificates, puis cliquez sur Add.
20. Dans la zone Certificate file name, cliquez sur Browse, sélectionnez le fichier ads-cert.arm créé à l'étape
, puis cliquez sur Open.
21. Cliquez sur OK.
22. Dans la boîte de dialogue Enter a Label, saisissez ads-credentials-cert.
23. Cliquez sur OK.
24. Sélectionnez Key Database File > Exit.
Pour configurer WebSphere pour utiliser le registre du système d'exploitation local au lieu de LDAP
Si vous n'utilisez pas LDAP, vous devez configurer WebSphere pour utiliser le registre du système d'exploitation local.
➤
Pour configurer les propriétés personnalisées :
1. Vérifier que WebSphere est en cours d'exécution.
2. Dans la console d'administration de WebSphere, accédez au système d'exploitation local. Pour
WebSphere 5.1.1.5, sélectionnez Security > User Registries > Local OS. Pour WebSphere 6.0.2.9, sélectionnez Security > Global Security, puis sous User Registries, sélectionnez Local OS.
3. Exécutez les étapes suivantes :
●
Dans la zone Server User ID, indiquez le nom du compte utilisateur créé en suivant les instructions de la section
« Création d'un compte utilisateur local », page 133
.
●
Dans la zone Server User Password, indiquez le mot de passe de l'utilisateur spécifié dans Server
User ID.
4. Cliquez sur OK et enregistrez les modifications.
Configuration du délai d'expiration de la connexion de
WebSphere
Cette section s'applique à LiveCycle Assembler et LiveCycle PDF Generator sous WebSphere 5.1.1.5
uniquement.
Vous devez configurer un délai d'expiration de la connexion pour le serveur d'applications.
➤
(LiveCycle Assembler, LiveCycle PDF Generator) Pour configurer les propriétés personnalisées :
1. Dans l'arborescence de la console d'administration WebSphere, sélectionnez Servers >
Application Servers et cliquez sur [nom serveur].
2. Sous Additional Properties, sélectionnez Web Container, puis HTTP transports.
3. Sélectionnez 9443, puis, sous Additional Properties, sélectionnez Custom Properties et cliquez sur New.
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebSphere
Configuration de SSL sur WebSphere
Configuration de SSL sur WebSphere 137
4. Dans la zone Name, saisissez
ConnectionIOTimeout
, puis, dans la zone Value, tapez
120
.
5. Cliquez sur OK, puis sur New.
6. Dans la zone Name, saisissez
ConnectionKeepAliveTimeout
, puis, dans la zone Value, tapez
120
.
7. Cliquez sur OK et enregistrez les modifications apportées à la configuration principale.
8. Redémarrez le serveur.
Configuration de SSL sur WebSphere
Vous devez activer SSL pour le serveur d'applications.
➤
Pour activer SSL sur WebSphere :
1. Accédez à LTPA en sélectionnant Security > Authentication Mechanisms > LTPA. Pour WebSphere
6.0.2.9, sélectionnez Security > Global Security, et sous Authentication, développez Authentication
Mechanisms et sélectionnez LTPA.
2. Exécutez les étapes suivantes :
●
●
●
Dans la zone Password, indiquez le mot de passe spécifié lors de la création du fichier ads-credential.jks, comme indiqué dans la section
« Création d'informations d'identification SSL », page 135 .
Dans la zone Confirm Password, saisissez de nouveau le mot de passe.
Dans la zone Cache Timeout, tapez 10. Il s'agit du délai (en minutes) au bout duquel le jeton LTPA expire. Ce délai doit être supérieur à la propriété Cache Timeout de la sécurité globale de
WebSphere. Vous définirez la propriété Cache Timeout à l'étape
3. Cliquez sur OK.
4. Dans l'arborescence de navigation, sélectionnez Security > Global Security.
5. Exécutez les étapes suivantes :
●
●
●
●
Sélectionnez Enabled (ou Enable global security) et Issue Permission Warning.
Désélectionnez Enforce Java 2 Security, User Domain Qualified IDs (ou Use domain-qualified IDs).
Désélectionnez Enforce fine-grained JCA Security (au besoin).
Désélectionnez Use FIPS (ou Use the Federal Information Processing Standard (FIPS)).
●
●
●
●
Attribuez la valeur 600 à Cache timeout.
Dans la liste Active Protocol, sélectionnez CSI and SAS.
Dans la liste Active Authentication Mechanisms, sélectionnez LTPA (Light weight Third Party
Authentication).
Dans la liste Active User Registries, sélectionnez le registre utilisateur que vous utilisez.
6. Cliquez sur OK. Si un message vous invite à saisir les informations de connexion au système d'exploitation local, saisissez les informations requises comme vous l'avez fait à l'étape
7. Dans l'arborescence de navigation, sélectionnez Security > SSL.
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebSphere
Configuration de SSL sur WebSphere
Configuration de SSL sur WebSphere 138
8. Sous SSL Configuration Repertoires, cliquez sur New (ou New JSSE repertoire) et effectuez les opérations suivantes :
●
Dans la zone Alias, saisissez
AdsSSL
.
●
Dans la zone Key File Name, saisissez [
racine du serveur
d'applications]/etc/ads-credentials.jks
●
●
●
Dans la zone Key File Password, saisissez le mot de passe utilisé à la création du fichier ads-credentials.jks (
).
Dans Key File Format, sélectionnez JKS.
Dans la zone Trust File Name, saisissez
[racine du serveur
d'applications]/etc/ads-credentials.jks
●
●
●
Dans la zone Trust File Password, saisissez le mot de passe utilisé à la création du fichier ads-credentials.jks (
).
Dans Trust File Format, sélectionnez JKS.
Si vous configurez le serveur pour LiveCycle PDF Generator, sélectionnez Client Authentication, sinon, vérifiez que Client Authentication n'est pas sélectionné.
9. Cliquez sur OK et enregistrez la configuration.
10. Accédez à CSIv2 inbound authentication. Dans WebSphere 5.1.1.5, sélectionnez Security >
Authentication Protocol > CSIv2 Outbound Authentication. Pour WebSphere 6.0.2.9, sélectionnez
Security > Global Security, et sous Authentication Protocol, développez Authentication
Mechanisms et sélectionnez CSIv2 inbound authentication.
11. Attribuez à Basic Authentication la valeur Supported et à Client Certificate Authentication la valeur
Required, puis cliquez sur OK.
12. Accédez à CSIv2 outbound authentification. Dans WebSphere 5.1.1.5, sélectionnez Security >
Authentication Protocol > CSIv2 outbound authentification. Pour WebSphere 6.0.2.9, sélectionnez
Security > Global Security, et sous Authentication Protocol, développez Authentication
Mechanisms et sélectionnez CSIv2 outbound authentication.
13. Attribuez à Basic Authentication la valeur Supported et à Client Certificate Authentication la valeur
Required, puis cliquez sur OK.
14. Accédez à CSIv2 inbound transport. Dans WebSphere 5.1.1.5, sélectionnez Security >
Authentication Protocol > CSIv2 Inbound Transport. Pour WebSphere 6.0.2.9, sélectionnez Security
> Global Security, et sous Authentication Protocol, développez Authentication Mechanisms et sélectionnez CSIv2 inbound transport.
15. Définissez Transport sur SSL-Required et SSL Settings sur localhost/AdsSSL, puis cliquez sur OK.
16. Accédez à CSIv2 outbound transport. Dans WebSphere 5.1.1.5, sélectionnez Security >
Authentication Protocol > CSIv2 Outbound Transport. Pour WebSphere 6.0.2.9, sélectionnez
Security > Global Security, et sous Authentication Protocol, développez Authentication
Mechanisms et sélectionnez CSIv2 outbound transport.
17. Définissez Transport sur SSL-Required et SSL Settings sur localhost/AdsSSL, puis cliquez sur OK.
18. Accédez à SAS inbound transport. Dans WebSphere 5.1.1.5, sélectionnez Security > Authentication
Protocol > SAS Inbound Transport. Pour WebSphere 6.0.2.9, sélectionnez Security > Global
Security, et sous Authentication Protocol, développez Authentication Mechanisms et sélectionnez
CSIv2 inbound transport.
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebSphere
Configuration de SSL sur WebSphere
Configuration de SSL sur WebSphere 139
19. Définissez SSL Settings sur localhost/AdsSSL, puis cliquez sur OK.
20. Accédez à SAS outbound transport. Dans WebSphere 5.1.1.5, sélectionnez Security >
Authentication Protocol > SAS Outbound Transport. Pour WebSphere 6.0.2.9, sélectionnez Security
> Global Security, puis sous Authentication développez Authentication Protocol et sélectionnez
SAS outbound transport.
21. Définissez SSL Settings sur localhost/AdsSSL, puis cliquez sur OK.
22. Dans l'arborescence de la console d'administration WebSphere, sélectionnez Servers >
Application Servers et cliquez sur [nom serveur].
23. Sous Container Settings, développez les paramètres du conteneur Web et sélectionnez Web container.
24. Cliquez sur Web container transport chains, puis sur WCInboundDefaultSecure.
25. Cliquez sur SSL Inbound Channel (SSL_2) et sélectionnez SSL repertoire comme localhost/AdsSSL
.
26. Cliquez sur OK et enregistrez les modifications apportées à la configuration principale.
27. Arrêtez WebSphere, puis redémarrez-le. La console d'administration WebSphere affiche désormais une boîte de dialogue d'ouverture de session dans laquelle vous devez saisir le nom d'utilisateur et le mot de passe spécifiés à l'étape
28. (WebSphere 5.1.1.5)(LiveCycle Form Manager, LiveCycle Workflow) Dans l'arborescence de navigation, sélectionnez Resources > WebSphere JMS Provider, puis sous Additional Properties, sélectionnez
WebSphere Queue Connection Factories.
29. (WebSphere 6.0.2.9)(LiveCycle Form Manager, LiveCycle Workflow) Dans l'arborescence de navigation, sélectionnez Resources > JMS Providers > Default messaging, sous Connection Factories, sélectionnez JMS queue connection factory, puis sélectionnez QueueConnectionFactory.
30. (WebSphere 5.1.1.5)(LiveCycle Form Manager, LiveCycle Workflow) Attribuez à Component-managed
Authentication Alias et à Container-managed Authentication Alias la valeur [nom
ordinateur]/myAlias et cliquez sur OK. Répétez cette étape pour chaque file d'attente que vous créez.
31. (WebSphere 6.0.2.9)(LiveCycle Form Manager, LiveCycle Workflow) Dans la liste Component-managed
authentication Alias, sélectionnez [nom ordinateur]/myAlias et cliquez sur OK.
32. (LiveCycle Form Manager, LiveCycle Workflow) Sous Related Items, sélectionnez J2C Authentication
Data Entries, vérifiez que l'utilisateur de la base de données dispose de droits root, puis cliquez sur OK.
33. (LiveCycle Form Manager, LiveCycle Workflow) Enregistrez les modifications apportées à la configuration principale.
34. (LiveCycle Form Manager, LiveCycle Workflow) Arrêtez et redémarrez WebSphere.
Etape suivante
Si vous installez LiveCycle Workflow Business Activity Monitor, vous pouvez maintenant configurer un serveur d'applications pour héberger BAM Server. (Reportez-vous à la section
WebSphere 5.1.1.5 pour BAM Server », page 141 ou
« Configuration de WebSphere 6.0.2.9 pour BAM
section
Öffentlicher Link aktualisiert
Der öffentliche Link zu Ihrem Chat wurde aktualisiert.