El módulo de inicio de sesión JAAS de Cúram se configura como un módulo de inicio de sesión en el sistema en WebSphere. De forma predeterminada, la configuración de seguridad generada por script en WebSphere implica el registro de usuarios basado en archivos y el módulo de inicio de sesión en el sistema de Cúram. El registro de usuarios en WebSphere es el mecanismo de autenticación predeterminado y se puede configurar para que sea:
- un registro de usuarios personalizado
- un servidor de directorio LDAP;
- el SO local o
- el repositorio basado en archivos de WebSphere.
Hay múltiples configuraciones de inicio de sesión en el sistema de WebSphere. El módulo de inicio de sesión en el sistema de Cúram está configurado para las configuraciones DEFAULT, WEB_INBOUND y RMI_INBOUND. Se utiliza el mismo módulo de inicio de sesión para las tres configuraciones. WebSphere invoca automáticamente los módulos de inicio de sesión configurados como módulos de inicio de sesión en el sistema bajo determinadas circunstancias:
- DEFAULT
Los módulos de inicio de sesión especificados para la configuración DEFAULT se invocan para la autenticación de servicios web e invocaciones JMS. También se invocan durante la fase de inicio de WebSphere ;
- WEB_INBOUND
Los módulos de inicio de sesión especificados para la configuración WEB_INBOUND se utilizan para la autenticación de solicitudes web;
- RMI_INBOUND
Los módulos de inicio de sesión especificados en la configuración RMI_INBOUND se utilizan para la autenticación de clientes Java™.
El módulo de inicio de sesión JAAS de Cúram existe como un módulo de inicio de sesión dentro de una cadena de módulos de inicio de sesión configurada en WebSphere. Se espera que como mínimo uno de estos módulos de inicio de sesión sea el responsable de añadir las credenciales del usuario. De forma predeterminada, el módulo de inicio de sesión de Cúram añade las credenciales del usuario autenticado. En consecuencia, el registro de usuarios de WebSphere configurado manejado por un módulo de inicio de sesión subsiguiente no añade credenciales. Por ello, no es necesario definir usuarios de Cúram en el registro de usuarios de WebSphere. Este comportamiento se puede configurar utilizando la propiedad curam.security.user.registry.enabled establecida en el archivo AppServer.properties. Debe consultar la Cúram Deployment Guide for WebSphere Application Server (Guía de despliegue de Cúram de WebSphere Application Server) o la Cúram Deployment Guide for WebSphere Application Server on z/OS (Guía de despliegue de Cúram de WebSphere Application Server en z/OS) para obtener más detalles sobre cómo establecer esta propiedad. En Configuración predeterminada de WebSphere verá ilustrado el flujo de autenticación predeterminado de WebSphere. En Configuración predeterminada de WebSphere verá ilustrado el flujo de autenticación de WebSphere en el que también se necesita el registro de usuarios, es decir, donde la propiedad curam.security.user.registry.enabled está establecida a true.
Como parte de la configuración de seguridad, existen determinados usuarios que se excluyen de la autenticación y para dichos usuarios, el registro de usuarios configurado será necesario. Esta lista de usuarios se configura automáticamente para que sea el usuario de seguridad de WebSphere, tal como se especifica en la propiedad security.username en AppServer.properties, y el usuario de base de datos, tal como lo especifica la propiedad curam.db.username en Bootstrap.properties. Estos dos usuarios se clasifican como usuarios administrativos y no como usuarios de la aplicación. Se puede ampliar esta lista de usuarios excluidos de forma manual. Consulte las publicaciones Cúram Deployment Guide for WebSphere Application Server (Guía de despliegue de Cúram WebSphere Application Server) y Cúram Deployment Guide for WebSphere Application Server on z/OS (Guía de despliegue de Cúram de WebSphere Application Server en z/OS) para obtener más información.