WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Creación de un perfil de seguridad para LDAP

Cree un perfil de seguridad para utilizarlo con LDPA (Lightweight Directory Access Protocol) o LDAPS (LDAP seguro), utilizando el mandato mqsicreateconfigurableservice o un editor en WebSphere Message Broker Explorer.

Antes de empezar:

Asegúrese de que tiene un servidor LDAP que es conforme a la versión 3 de LDAP, por ejemplo:
  • IBM® Tivoli Directory Server
  • Microsoft Active Directory
  • OpenLDAP.

Si el directorio LDAP no permite el inicio de sesión por parte de ID de usuarios no reconocidos y no otorga derechos de acceso de búsqueda en el subárbol, también debe configurar un ID de inicio de sesión autorizado independiente al que el intermediario puede utilizar para la búsqueda. Para obtener información sobre cómo realizar esta acción, consulte Configuración de la autorización con LDAP o Configuración de la autenticación con LDAP.

Creación de un perfil de seguridad utilizando mqsicreateconfigurableservice

Puede utilizar el mandato mqsicreateconfigurableservice para crear un perfil de seguridad que utiliza LDAP para la autenticación y/o autorización. El perfil de seguridad asegura que cada mensaje tenga un ID autenticado y esté autorizado para el flujo de mensaje.

  1. Abra una ventana de mandatos configurada para su entorno.
  2. Especifique el mandato mqsicreateconfigurableservice en la línea de mandatos. Por ejemplo:
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP
    -n authentication,authenticationConfig,authorization,authorizationConfig,propagation,rejectBlankpassword
    -v "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com\",LDAP,
    \"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,o=acme.com\",TRUE,TRUE

    Debe escribir el URL de LDAP (que contiene comas) con comillas dobles con carácter de escape (\" y \") para que las comas de URL no se confundan con el separador de coma del parámetro de valor de mqsicreateconfigurableservice.

    Si el URL de LDAP incluye un nombre de elemento con un espacio, en este caso cn=All Sales, el conjunto de valores después del indicador -v se debe escribir entre comillas dobles, (")

    Para obtener más información sobre la estructura del mandato, consulte Mandato mqsicreateconfigurableservice.

    Puede definir las partes específicas de seguridad del mandato de la manera siguiente:

    1. Establezca authentication en LDAP. Esto asegura que la identidad de entrada esté validada.
    2. Establezca authenticationConfig utilizando la sintaxis siguiente:
      ldap[s]://server[:port]/baseDN[?[uid_attr][?[base|sub]]]

      Por ejemplo:

      ldap://ldap.acme.com:389/ou=sales,o=acme.com
      ldaps://localhost:636/ou=sales,o=acme?cn?base
      ldap:
      (Necesario) Serie de protocolo fija.
      s:
      (Opcional) Especifica si debe utilizarse SSL. El valor predeterminado es no utilizar SSL.
      servidor:
      (Necesario) El nombre o dirección IP del servidor LDAP que se va a contactar.
      puerto:
      (Opcional) El puerto al que conectarse. El valor predeterminado es 389 (no SSL). Para servidores LDAP con SSL habilitado, normalmente el puerto es 636.
      DNbase
      (Necesario) La serie que define el nombre distinguido base (DN) de todos los usuarios del directorio. Si existen usuarios en subárboles diferentes, especifique un subárbol común bajo el que una búsqueda en el nombre de usuario se resuelve de forma exclusiva en la entrada de usuario necesaria y establezca el atributo sub.
      atr_uid:
      (Opcional) La serie que define el atributo con el que se debe correlacionar el nombre de usuario de entrada, normalmente uid, CN o dirección de correo electrónico. El valor predeterminado es uid.
      base|sub:
      (Opcional) Define si se debe realizar una búsqueda base o de subárbol. Si se define base, la autenticación es más rápida porque el DN del usuario se puede construir a partir de los valores atr_uid, nombreusuario y DNbase. Si se selecciona sub, se debe realizar una búsqueda para poder resolver el DN. El valor predeterminado es sub.
    3. Establezca authorization en LDAP. Esto asegura que se compruebe la pertenencia al grupo de la identidad de entrada en LDAP.
    4. Establezca authorizationConfig utilizando la siguiente sintaxis:
      ldap[s]://servidor[:puerto]/DNgrupo[?[atr_miembro]
      [?[base|sub][?[x-userBaseDN=DNbase,
      x-uid_attr=uid_attr]]]]

      Por ejemplo:

      ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
      o=acme.com?uniquemember?sub?x-userBaseDN=ou=sales%2co=ibm.com,
      x-uid_attr=emailaddress
      ldap:
      (Necesario) Serie de protocolo fija.
      s:
      (Opcional) Especifica si debe utilizarse SSL. El valor predeterminado es no utilizar SSL.
      servidor:
      (Necesario) El nombre o dirección IP del servidor LDAP que se va a contactar.
      puerto:
      (Opcional) El puerto al que conectarse. El valor predeterminado es 389 (no SSL). Para servidores LDAP con SSL habilitado, normalmente el puerto es 636.
      DNgrupo
      (Necesario) El nombre distinguido totalmente definido del grupo del que los usuarios deben ser miembros para que se les otorgue acceso.
      atr_miembro:
      (Opcional) El atributo del grupo utilizado para filtrar la búsqueda. El valor predeterminado es buscar los atributos member y uniquemember.
      Las opciones siguientes sólo son necesarias si la autenticación no ha precedido la autorización y si no se ha especificado la serie de configuración de autenticación. Si se ha especificado la serie de configuración de autenticación, se ignoran los parámetros siguientes y, en su lugar, se utilizan los proporcionados por baseDN, uid_attr y [base|sub] para la autenticación:
      base|sub:
      (Opcional) Define si se debe realizar una búsqueda base o de subárbol. Si se define base, la autenticación es más rápida porque el DN (nombre distinguido) del usuario se puede crear a partir de atr_uid + nombreusuario + DNbase. Si se selecciona sub, se debe realizar una búsqueda para poder resolver el DN. El valor predeterminado es sub.
      DNbase
      (Opcional) La serie que define el nombre distinguido base de todos los usuarios del directorio. Debe ir precedida de la serie x-userBaseDN. Las comas en DNBase se deben presentar como %2c.
      x-uid_attr:
      (Opcional) La serie que define el atributo con el que se debe correlacionar el nombre de usuario de entrada, normalmente uid, CN o dirección de correo electrónico. El valor predeterminado es uid. Debe ir precedida de la serie x-uid_attr.
    Al someter el mandato desde un archivo de proceso por lotes (.bat) o un archivo de mandatos (.cmd), si el URL LDAP incluye una extensión con caracteres de escape "hexadecimales de porcentaje" de URL de LDAP (por ejemplo, una coma sustituida por %2c o un espacio sustituido por %20), los signos de porcentaje se deben escapar del intérprete de proceso por lotes con un signo de porcentaje adicional (%%). Por ejemplo:
    mqsicreateconfigurableservice WBRK_BROKER -c SecurityProfiles -o LDAP_URI_FUN 
    -n authentication,authenticationConfig,authorization,authorizationConfig -v
    "LDAP,\"ldap://ldap.acme.com:389/ou=sales,o=acme.com?emailaddress?sub\",
    LDAP,\"ldap://ldap.acme.com:389/cn=All Sales,ou=acmegroups,
    o=acme.com?report?base?x-BaseDN=ou=sales%%2co=acme.com,
    x-uid_attr=emailaddress\""

    El grupo seleccionado se debe definir en el servidor LDAP y todos los usuarios necesarios deben ser miembros del grupo.

  3. Si necesita volver a configurar el perfil de seguridad después de que se haya creado, utilice el mandato mqsichangeproperties. Debe detener e iniciar el grupo de ejecución para que el cambio del valor de propiedad entre en vigor.

Creación de un perfil de seguridad mediante WebSphere Message Broker Explorer

Puede utilizar WebSphere Message Broker Explorer para crear un perfil de seguridad para LDAP.
  1. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  2. En la ventana Propiedades, seleccione el separador Seguridad y pulse Perfiles de seguridad. Se muestra la ventana Perfiles de seguridad, que contiene a la izquierda una lista de perfiles de seguridad existentes para el intermediario y, a la derecha, un panel en el que puede configurar el perfil.
  3. Pulse Añadir para crear un perfil nuevo y añadirlo a la lista. Puede editar el nombre del perfil de seguridad resaltándolo en la lista y pulsando F2.
  4. Configure el perfil de seguridad utilizando los campos de entrada del lado derecho del panel:
    1. Seleccione el tipo de Autenticación necesaria. Puede ser LDAP, TFIM o NONE.
    2. Si ha seleccionado LDAP para autenticación, edite los campos siguientes en la sección Parámetros LDAP:
      • LDAP Host (Host LDAP)
      • LDAP baseDN (DNbase LDAP)
      • LDAP uid attr (Atr uid LDAP)
      • LDAP search Scope (Ámbito de búsqueda de LDAP)

      Los valores que entra en los campos de Parámetros de LDAP crean una serie de configuración, que se visualiza en el campo Configuración de autenticación. Para obtener información sobre los valores válidos de los parámetros, consulte Creación de un perfil de seguridad utilizando mqsicreateconfigurableservice.

    3. Seleccione el tipo de Correlación necesaria. Puede ser TFIM o NONE.
    4. Si ha seleccionado TFIM para la correlación, escriba el URL del servidor TFIM en el campo Configuración TFIM de la sección Parámetros TFIM.

      El valor que especifica en el campo de Configuración TFIM crea una serie de configuración, que se visualiza en el campo de Configuración de correlación.

    5. Seleccione el tipo de Autorización necesaria. Puede ser LDAP, TFIM o NONE.
    6. Si ha seleccionado LDAP para autorización, edite los campos siguientes en la sección Parámetros LDAP:
      • LDAP Host (Host LDAP)
      • LDAP baseDN (DNbase LDAP)
      • LDAP uid attr (Atr uid LDAP)
      • LDAP search Scope (Ámbito de búsqueda de LDAP)
      • LDAP group baseDN (DNBase de grupo LDAP)
      • LDAP group member (Miembro de grupo LDAP).

      Los valores que entra en los campos Parámetros de LDAP crean una serie de configuración, que se visualiza en el campo Configuración de autorización. Para obtener información sobre los valores válidos de los parámetros, consulte Creación de un perfil de seguridad utilizando mqsicreateconfigurableservice.

    7. En el campo Propagación, especifique si necesita que se propague la identidad. El valor predeterminado Falso.
    8. En el campo Rechazar contraseña vacía, especifique si desea que el gestor de seguridad rechace un nombre de usuario que tiene una señal de contraseña vacía, sin pasarla a LDAP. El valor predeterminado es False, lo que significa que se pasa un nombre de usuario a LDAP incluso si tiene una señal de contraseña vacía.
    9. En el campo Valor de contraseña, seleccione el modo en que se visualiza la contraseña en la carpeta de propiedades. Las opciones son:
      PLAIN
      La contraseña aparece en la carpeta Propiedades como texto plano.
      OBFUSCATE
      La contraseña aparece en la carpeta Propiedades como codificación base64.
      MASK
      La contraseña aparece en la carpeta Propiedades como cuatro asteriscos (****).
  5. Pulse Finalizar para desplegar el perfil de seguridad en el intermediario.

Para suprimir un perfil de seguridad existente, seleccione el perfil en la lista y, a continuación, pulse Suprimir.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:16


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap04141_