WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Implementar WS-Security

Configure la autenticación, el cifrado XML, la firma XML y la caducidad de mensajes utilizando el editor de Conjuntos de políticas y enlaces de conjunto de políticas.

Utilice el editor de conjuntos de políticas y enlaces de conjuntos de políticas en el WebSphere Message Broker Explorer para configurar los siguientes aspectos de WS-Security:

Autenticación

Se da soporte a las señales siguientes:
  • Nombre de usuario
  • X.509
  • Aserciones SAML
  • Tiquets Kerberos
  • Señales binarias LTPA
Configuración de la autenticación con señales de nombre de usuario:
  1. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  2. En la ventana Propiedades, seleccione el separador Seguridad, y pulse Conjuntos de políticas.
  3. Cree un conjunto de políticas y añádale señales de autenticación de nombre de usuario; consulte Panel Editor de conjuntos de políticas y enlaces de conjuntos de política.
  4. Configure adicionalmente las señales de autenticación X.509 definidas en el conjunto de políticas asociada; consulte Editor de conjuntos de políticas y enlaces de conjuntos de políticas: panel Autenticación y protección.
  5. Configure un perfil de seguridad; consulte Perfiles de seguridad de flujo de mensajes y de seguridad.
  6. Asocie un conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos.
Configuración de autenticación con señales X.509:
  1. Si está utilizando el almacén de confianza del intermediario para conservar el certificado de confianza, deberá configurarlo; consulte Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de intermediario o Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de grupo de ejecución en función de dónde desee establecer las propiedades de tiempo de ejecución del almacén de claves y del almacén de confianza.
  2. Cree un conjunto de políticas y añádale las señales de nombre de usuario y de autenticación X.509; consulte Panel Editor de conjuntos de políticas y enlaces de conjuntos de política.
  3. Configure la modalidad de certificado tanto para el almacén de confianza del intermediario como para el proveedor de seguridad externa; consulte Editor de conjuntos de políticas y enlaces de conjuntos de políticas: panel Autenticación y protección.
  4. Si utiliza un proveedor de seguridad externa, configure un perfil de seguridad; consulte Perfiles de seguridad de flujo de mensajes y de seguridad.
  5. Asocie el conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos
Configuración de la autenticación con aserciones SAML:
  1. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  2. En la ventana Propiedades, seleccione el separador Seguridad, y pulse Conjuntos de políticas.
  3. Cree un conjunto de políticas y añádale señales de paso a través SAML 1.1 o SAML 2.0; consulte Panel Editor de conjuntos de políticas y enlaces de conjuntos de política. El paso a través SAML no fuerza la confirmación del asunto pero la aserción se proporciona simplemente como una señal que se debe procesar en el servidor de señales de seguridad externo especificado en el perfil de seguridad que se ha asociado al nodo.
  4. Configure un perfil de seguridad. El perfil de seguridad debe estar configurado para utilizar un STS de WS-Trust v1.3. Para obtener más información, consulte Perfiles de seguridad de flujo de mensajes y de seguridad.
  5. Asocie un conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos.
Configuración de la autenticación con tiquets Kerberos:
  1. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  2. En la ventana Propiedades, seleccione el separador Seguridad, y pulse Conjuntos de políticas.
  3. Cree un conjunto de políticas y añádale el tipo de señal Kerberos como señales simétricas; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección a nivel de mensaje.
  4. Asocie un conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos.
  5. Configure el archivo keytab Kerberos del host. Para obtener más información sobre la configuración de Kerberos, consulte la documentación del sistema host del intermediario. Por ejemplo, para Windows, consulte la publicación "Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability", a la que puede acceder desde http://technet.microsoft.com/en-us/library/.
Configuración de la autenticación con señales binarias LTPA:
  1. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  2. En la ventana Propiedades, seleccione el separador Seguridad, y pulse Conjuntos de políticas.
  3. Cree un conjunto de políticas y añádale señales LTPA; consulte Panel Editor de conjuntos de políticas y enlaces de conjuntos de política. La señal binaria LTPA se pasa a través del servidor de señales de seguridad (STS) externo especificado en el perfil de seguridad que se ha asociado al nodo.
  4. Configure un perfil de seguridad. El perfil de seguridad debe estar configurado para utilizar un STS de WS-Trust v1.3. Para obtener más información, consulte Perfiles de seguridad de flujo de mensajes y de seguridad.
  5. Asocie un conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos.

Confidencialidad

La confidencialidad la proporciona el cifrado XML y requiere señales X.509 o tiquets Kerberos.

Configuración del cifrado XML con señales X.509:
  1. Si está utilizando el almacén de confianza del intermediario para conservar el certificado de confianza, deberá configurarlo; consulte Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de intermediario o Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de grupo de ejecución en función de dónde desee establecer las propiedades de tiempo de ejecución del almacén de claves y del almacén de confianza.
  2. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  3. En la ventana Propiedades, seleccione el separador Seguridad y pulse Conjuntos de políticas.
  4. Cree un conjunto de políticas, habilite el cifrado XML, cree señales de cifrado y seleccione los algoritmos de cifrado que va a utilizar; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección a nivel de mensaje.
  5. Defina las partes de un mensaje que se van a cifrar; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección de parte de mensaje.
  6. Configure adicionalmente el cifrado de partes del mensaje; consulte Editor de conjuntos de políticas y enlaces de conjuntos de políticas: panel Políticas de partes de mensajes.
  7. Configure adicionalmente el almacén de claves y el almacén de confianza; consulte Editor de conjuntos de políticas y enlaces de conjuntos de políticas: panel Protección a nivel de mensaje.
  8. Asocie un conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos.
Configuración del cifrado XML con tiquets Kerberos:
  1. Configure su host para Kerberos, proporcionando un archivo de configuración krb.conf. Este paso es necesario en todos los sistemas operativos, incluido Windows.
  2. Proporcione al intermediario las credenciales de cliente Kerberos para acceder al Centro de distribución de claves (KDC) de Kerberos. Estas credenciales (que son necesarias para nodos SOAPRequest) se pueden proporcionar en el árbol de propiedades del intermediario o utilizando el mandato mqsisetdbparms. Las credenciales se toman por orden de prioridad:
    • El nodo tiene un perfil de seguridad con la propiedad propagation establecida en True y existiendo la señal del nombre de usuario y la contraseña del árbol Propiedades. Si no existe ninguna señal de nombre de usuario y contraseña, se emite una excepción.
    • mqsisetdbparms kerberos::<dominio>::<nombre de grupo de ejecución>
    • mqsisetdbparms kerberos::<dominio>
    • mqsisetdbparms kerberos::kerberos
  3. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  4. En la ventana Propiedades, seleccione el separador Seguridad y pulse Conjuntos de políticas.
  5. Cree un conjunto de políticas y añada el tipo de señal Kerberos necesario como Señales simétricas; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección a nivel de mensaje.

Integridad

La integridad la proporciona la firma XML y necesita señales X.509 o tiquets Kerberos.

Configuración de la firma XML con señales X.509:
  1. Si está utilizando el almacén de confianza del intermediario para conservar el certificado de confianza, deberá configurarlo; consulte Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de intermediario o Ver y establecer propiedades de ejecución del almacén de claves y el almacén de confianza a nivel de grupo de ejecución en función de dónde desee establecer las propiedades de tiempo de ejecución del almacén de claves y del almacén de confianza.
  2. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  3. En la ventana Propiedades, seleccione el separador Seguridad, y pulse Conjuntos de políticas.
  4. Cree un conjunto de políticas, habilite la firma XML y cree señales de firma; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección a nivel de mensaje.
  5. Defina las partes de un mensaje que se van a firmar; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección de parte de mensaje.
  6. Configure adicionalmente la firma de partes del mensaje; consulte Editor de conjuntos de políticas y enlaces de conjuntos de políticas: panel Políticas de partes de mensajes.
  7. Configure adicionalmente el almacén de claves y el almacén de confianza; consulte Editor de conjuntos de políticas y enlaces de conjuntos de políticas: panel Protección a nivel de mensaje.
  8. Asocie un conjunto de políticas con un flujo de mensajes o un nodo; consulte Asociación de conjuntos de políticas y enlaces con flujos de mensajes y nodos.
Configuración de la firma XML con tiquets Kerberos:
  1. Configure su host para Kerberos, proporcionando un archivo de configuración krb.conf. Este paso es necesario en todos los sistemas operativos, incluido Windows.
  2. Proporcione al intermediario las credenciales de cliente Kerberos para acceder al Centro de distribución de claves (KDC) de Kerberos. Estas credenciales (que son necesarias para nodos SOAPRequest) se pueden proporcionar en el árbol de propiedades del intermediario o utilizando el mandato mqsisetdbparms. Las credenciales se toman por orden de prioridad:
    • El nodo tiene un perfil de seguridad con la propiedad propagation establecida en True y existiendo la señal del nombre de usuario y la contraseña del árbol Propiedades. Si no existe ninguna señal de nombre de usuario y contraseña, se emite una excepción.
    • mqsisetdbparms kerberos::<dominio>::<nombre de grupo de ejecución>
    • mqsisetdbparms kerberos::<dominio>
    • mqsisetdbparms kerberos::kerberos
  3. En WebSphere Message Broker Explorer, pulse el botón derecho del ratón sobre el intermediario con el que desea trabajar y pulse Propiedades.
  4. En la ventana Propiedades, seleccione el separador Seguridad y pulse Conjuntos de políticas.
  5. Cree un conjunto de políticas y añada el tipo de señal Kerberos necesario como Señales simétricas; consulte Editor de conjuntos de políticas y enlaces de conjuntos de política: panel Protección a nivel de mensaje.

Caducidad

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 16:58:51


Tema de tareaTema de tarea | Versión 8.0.0.5 | ac60160_