Valores de comunicaciones de entrada CSIv2 (Common Secure Interoperability Versión 2)

Utilice esta página para especificar las características que soporta un servidor para un cliente que esté accediendo a sus recursos.

Para ver esta página de la consola de administración, realice los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En Autenticación, pulse Seguridad RMI/IIOP > Comunicaciones de entrada CSIv2.

Utilice los valores de comunicaciones de entrada CSI (Common Secure Interoperability) para configurar el tipo de información de autenticación que se incluye en un transporte o en una solicitud entrante.

Las características de autenticación incluyen tres capas de autenticación que puede utilizar de forma simultánea:
  • Capa de atributos CSIv2. La capa de atributos puede contener una señal de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de identidad tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si un cliente envía las tres, solamente se utilizará la capa de identidad. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la solicitud. El cliente toma la IOR (Interoperable Object Reference) del espacio de nombres y lee los valores del componente con distintivo para determinar qué necesita el servidor en cuanto a seguridad.
  • Capa de transporte CSIv2. La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
  • [IBM i][AIX Solaris HP-UX Linux Windows]Capa de mensajes CSIv2. La capa de mensajes puede contener un ID de usuario y una contraseña o señal autenticada con una caducidad.

Propagar atributos de seguridad

Especifica el soporte para la propagación de atributos de seguridad durante las solicitudes de inicio de sesión. Cuando selecciona esta opción, el servidor de aplicaciones conserva información adicional acerca de la solicitud de inicio de sesión como, por ejemplo, el nivel de autenticación utilizado, y conserva la identidad y la ubicación del que ha originado la solicitud.

Si no selecciona esta opción, el servidor de aplicaciones no acepta ningún tipo de información de inicio de sesión adicional para propagarla a los servidores en sentido descendente.

Información Valor
Valor predeterminado: Habilitada
Importante: Cuando utilice los servicios de duplicación, asegúrese de que la opción Propagar atributos de seguridad esté habilitada.

Utilizar la confirmación de identidad

Especifica que la aserción de identidad es una forma de confirmar las identidades de un servidor a otro durante una invocación de EJB (Enterprise JavaBeans) en sentido descendente.

Este servidor no autentica de nuevo la identidad confirmada porque confía en el servidor en sentido ascendente. La aserción de identidad tiene prioridad sobre los otros tipos de autenticación.

La confirmación de identidad se efectúa en la capa de atributos y sólo se puede aplicar en servidores. El principal determinado en el servidor se basa en las reglas de precedencia. Si se utiliza la aserción de identidad, ésta siempre se deriva de la capa de atributos. Si se utiliza la autenticación básica sin la aserción de identidad, la identidad siempre se deriva de la capa de mensajes. Por último, si se realiza la autenticación de certificados de cliente SSL sin la autenticación básica ni la aserción de identidad, la identidad se deriva de la capa de transporte.

La identidad confirmada es la credencial de invocación que determina la modalidad RunAs para el enterprise bean. Si la modalidad RunAs es Cliente, la identidad es la identidad del cliente. Si la modalidad RunAs es Sistema, la identidad es la identidad del servidor. Si la modalidad RunAs es Especificada, la identidad es la identidad especificada. El servidor receptor recibe la identidad en una señal de identidad, y también recibe la identidad del servidor emisor en una señal de autenticación de cliente. El servidor receptor valida la identidad del servidor emisor como una identidad de confianza mediante el recuadro de entrada ID de servidor de confianza. Escriba una lista de nombres de principal separados por el símbolo de barra vertical (|), por ejemplo, serverid1|serverid2|serverid3.

Todos los tipos de símbolos de identidad se correlacionan con el campo de ID de usuario del registro de usuarios activo. Para una señal de identidad ITTPrincipal, se correlaciona de uno en uno con los campos de ID de usuario. Para una señal de identidad ITTDistinguishedName, el valor del primer signo igual se correlaciona con el campo del ID de usuario. Para una señal de identidad ITTCertChain, el valor del primer signo igual del nombre distinguido se correlaciona con el campo de ID de usuario.

Al autenticarse en un registro de usuarios LDAP, los filtros LDAP determinan cómo se correlaciona una identidad de tipo ITTCertChain y ITTDistinguishedName con el registro. Si el tipo de señal es ITTPrincipal, el principal se correlaciona con el campo UID del registro LDAP.

Información Valor
Valor predeterminado: Inhabilitado
[z/OS]La opción siguiente está habilitada cuando el registro de usuarios activo es un registro de usuarios del sistema operativo local, la versión de seguridad de z/OS está en la versión adecuada que da soporte a la correlación de identidad distribuida y no hay nodos anteriores a WebSphere Application Server Versión 8.0:
Correlacionar certificado y DN utilizando la correlación de identidades distribuidas SAF
Al seleccionar esta opción se correlaciona un certificado comprobado y el nombre distinguido para una identidad de usuario SAF utilizando un filtro de RACMAP.

El valor predeterminado es deseleccionado. Si se selecciona, la propiedad personalizada de seguridad, com.ibm.websphere.security.certdn.useRACMAPMappingToSAF, se establece en boolean: yes.

Nota: Esa opción sólo está visible cuando el registro de usuarios activo es un sistema operativo local, la célula no es una célula de varias versiones (no hay nodos anteriores a WebSphere Application Server Versión 8.0) y el producto de seguridad z/OS da soporte a la correlación de identidades SAF (para RACF, esto significa z/OS versión 1.11 o posterior).
Nota: Si el nombre de DN tiene un espacio en blanco entre los atributos, debe aplicar el APAR de RACF OA34258, o la PTF UA59873, y el APAR de SAF OA34259, o la PTF UA59871, para analizar correctamente los espacios en blanco.

Identidades de confianza

Especifica la identidad de confianza que se envía desde el servidor emisor al servidor receptor.

Especifica una lista separada por el símbolo de barra vertical (|) de los ID de usuario del administrador de los servidores de confianza que pueden efectuar la aserción de identidad de este servidor. Por ejemplo, serverid1|serverid2|serverid3. El servidor de aplicaciones todavía da soporte a las comas (,) como delimitadores de lista para conservar la compatibilidad con versiones anteriores. El servidor de aplicaciones comprueba si hay comas cuando con el carácter de barra vertical (|) no se puede encontrar un ID de servidor fiable válido.

Utilice esta lista para decidir si se trata de un servidor de confianza. Incluso si el servidor está en la lista, el servidor emisor deberá autenticarse con el servidor receptor para poder aceptar la señal de identidad del servidor receptor.

Información Valor
Tipo de datos: Serie

Autenticación de certificado de cliente

Especifica que la autenticación se efectúa cuando se realiza la conexión inicial entre el cliente y el servidor durante una solicitud de método.

En la capa de transporte, se lleva a cabo la autenticación de certificado de cliente SSL (Secure Sockets Layer). En la capa de mensajes, se utiliza la autenticación básica (ID de usuario/contraseña). La autenticación de certificado de cliente normalmente funciona mejor que la autenticación de la capa de mensajes, aunque requiere cierta configuración adicional. Estos pasos adicionales conllevan asegurarse de que el servidor confíe en el certificado de firmante de cada cliente al que esté conectado. Si el cliente utiliza una entidad emisora de certificados (CA) para crear su certificado personal, sólo es necesario el certificado raíz de CA en la sección de firma del servidor del archivo de confianza SSL.

[AIX Solaris HP-UX Linux Windows][IBM i]Cuando el certificado se autentica en un registro de usuarios LDAP (Lightweight Directory Access Protocol), el nombre distinguido (DN) se correlaciona según el filtro especificado al configurar LDAP. Cuando el certificado se autentica en un registro de usuarios de sistema operativo local, el primer atributo del nombre distinguido (DN) del certificado, generalmente el nombre común, se correlaciona con el ID de usuario en el registro.

[z/OS]Cuando el certificado se autentica en un registro de usuarios de sistema operativo local, dicho certificado se correlaciona con el ID de usuario del registro.

La identidad de los certificados de cliente sólo se utiliza si no se presenta ninguna otra capa de autenticación al servidor.

Never
Especifica que los clientes no pueden realizar la autenticación de certificado de cliente SSL (Secure Sockets Layer) con el servidor.
Soportado
Especifica que los clientes que se conectan a este servidor pueden autenticarse mediante certificados de cliente SSL. Sin embargo, el servidor puede invocar un método sin este tipo de autenticación. Por ejemplo, utilizando en su lugar anónimo o autenticación básica
[z/OS]Nota: Cuando "Soportado" se establece para la autenticación de entrada de CSIv2 en el servidor, se utiliza el certificado de cliente para la autenticación.
Required
Especifica que los clientes que se conectan a este servidor deben autenticarse mediante certificados de cliente SSL antes de invocar el método.
[z/OS]La opción siguiente está habilitada cuando el registro de usuarios activo es un registro de usuarios del sistema operativo local, la versión de seguridad de z/OS está en la versión adecuada que da soporte a la correlación de identidad distribuida y no hay nodos anteriores a WebSphere Application Server Versión 8.0:
Correlacionar certificado mediante la correlación de identidades distribuidas
Al seleccionar esta opción se correlaciona un certificado recibido en la capa de transporte CSIv2 con una identidad de usuario SAF utilizando un filtro de RACMAP.

El valor predeterminado es deseleccionado. Si se selecciona, la propiedad personalizada de seguridad, com.ibm.websphere.security.certificate.useRACMAPMappingToSAF, se establece en true.

Nota: Esa opción sólo está visible cuando el registro de usuarios activo es un sistema operativo local, la célula no es una célula de varias versiones (no hay nodos anteriores a WebSphere Application Server Versión 8.0) y el producto de seguridad z/OS da soporte a la correlación de identidades SAF (para RACF, esto significa z/OS versión 1.11 o posterior).

Transporte

Especifica si los procesos de cliente se conectan al servidor utilizando uno de los transportes conectados del mismo.

Puede elegir SSL (Secure Sockets Layer), TCP/IP o ambos tipos de conexión como transporte de entrada que recibe soporte del servidor. Si especifica TCP/IP, el servidor sólo dará soporte a TCP/IP y no aceptará conexiones SSL. Si especifica Da soporte a SSL, este servidor puede dar soporte a las conexiones TCP/IP o SSL indistintamente. Si especifica Precisa SSL, cualquier servidor que se comunique con éste debe utilizar SSL.

Nota: Esta opción no está disponible en la plataforma z/OS a menos que existan nodos de la versión 6.1 y anteriores en la célula.
TCP/IP
Si selecciona TCP/IP, el servidor sólo abrirá un puerto de escucha TCP/IP y todas las solicitudes de entrada no tendrán protección SSL.
Precisa SSL
Si selecciona Precisa SSL, el servidor sólo abrirá un puerto de escucha SSL y todas las solicitudes de entrada se recibirán mediante SSL.
SSL soportado
Si selecciona Da soporte a SSL, el servidor abre un puerto de escucha tanto SSL como TCP/IP y la mayoría de las solicitudes de entrada se recibirán mediante SSL.
Proporcione un número de puerto fijo para los puertos siguientes. Un número de puerto cero indica que se realiza una asignación dinámica en el tiempo de ejecución.

[AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS

[z/OS]ORB_SSL_LISTENER_ADDRESS

Información Valor
Valor predeterminado: Precisa SSL
Rango: TCP/IP, Precisa SSL, Da soporte a SSL

Valores SSL

Especifica una lista de valores SSL predefinidos para elegir para la conexión de entrada.

[z/OS]Nota: Esta opción no está disponible en la plataforma z/OS a menos que existan nodos de la versión 6.1 y anteriores en la célula.
Información Valor
Tipo de datos: Serie
[AIX Solaris HP-UX Linux Windows][IBM i]Valor predeterminado: DefaultSSLSettings
[z/OS]Valor predeterminado: DefaultIIOPSSL
Rango: Cualquier valor SSL que esté configurado en Repertorio de configuración SSL

Autenticación de la capa de mensajes

Las opciones siguientes están disponibles para la autenticación de la capa de mensajes:
Never
Especifica que este servidor no puede aceptar la autenticación utilizando alguno de los siguientes mecanismos seleccionados.
Soportado
Especifica que un cliente comunicándose con este servidor puede autenticarse utilizando cualquiera de los siguientes mecanismos seleccionados. Sin embargo, puede invocarse un método sin este tipo de autenticación. Por ejemplo, en su lugar puede utilizarse un certificado anónimo o del cliente.
Required
Especifica que los clientes que se comunican con este servidor deben especificar información de autenticación utilizando los siguientes mecanismos seleccionados para cualquier solicitud de método.

Permitir al cliente la autenticación de servidor con:

Especifica la autenticación de servidor utilizando Kerberos, LTPA o la autenticación básica.

Las opciones siguientes están disponibles para el cliente para la autenticación de servidor:
Kerberos (KRB5)
Seleccione esta opción para especificar Kerberos como mecanismo de autenticación. Primero debe configurar el mecanismo de autenticación de Kerberos. Para más información, consulte Configuración de Kerberos como mecanismo de autenticación mediante la consola administrativa.
LTPA
Seleccione esta opción para especificar la autenticación de señal LTPA
Autenticación básica
La autenticación básica es GSSUP (Generic Security Services Username Password). Este tipo de autenticación consiste, generalmente, en enviar un ID de usuario y una contraseña del cliente al servidor para autenticarlos.

Si selecciona Autenticación básica y LTPA, y el mecanismo de autenticación activo es LTPA, se aceptan las señales LTPA y el nombre de usuario y contraseña.

Si selecciona Autenticación básica y KRB5 y el mecanismo de autenticación activo es KRB5, se aceptan la señal Kerberos, las señales LTPA y un nombre de usuario y contraseña.

Si no selecciona Autenticación básica, el servidor no acepta el nombre de usuario y contraseña.

Configuración de inicio de sesión

Especifica el tipo de configuración de inicio de sesión del sistema que se debe utilizar para la autenticación de entrada.

Puede añadir módulos de inicio de sesión personalizados pulsando Seguridad > Seguridad global. En Autenticación, pulse Java Authentication and Authorization Service > Inicios de sesión de sistema.

Sesiones con estado

Seleccione esta opción para habilitar las sesiones sin estado que resultan útiles principalmente para mejorar el rendimiento.

El primer contacto entre un cliente y un servidor debe autenticarse completamente. Sin embargo, todos los demás contactos con sesiones válidas, vuelven a utilizar la información de seguridad. El cliente pasa un ID de contexto al servidor y el ID se utiliza para buscar la sesión. El ID de contexto tiene el ámbito de la conexión, lo cual garantiza la exclusividad. Cuando la sesión de seguridad no es válida y el reintento de autenticación está habilitado, que es el valor predeterminado, el interceptor de seguridad del cliente invalida la sesión del cliente y vuelve a someter la solicitud sin que el usuario lo sepa. Esto puede producirse si la sesión no existe en el servidor; por ejemplo, el servidor ha fallado y ha reanudado la operación. Cuando se inhabilita este valor, cada una de las invocaciones de método debe volver a autenticarse.

Información Valor
Valor predeterminado: Habilitada

Reinos de autenticación de confianza - entrada

Seleccione este enlace para establecer confianza de entrada a reinos. Los valores de reinos de autenticación de entrada no son específicos de CSIv2; también puede configurar a qué reinos se debe otorgar confianza de entrada para varios dominios de seguridad.

La autenticación de entrada hace referencia a la configuración que determina qué tipo de autenticación se acepta para solicitudes de entrada. Esta autenticación se anuncia en la IOR (Interoperable Object Reference) que el cliente recupera del servidor de nombres.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_inbound
File name: usec_inbound.html