[z/OS]

Seguridad de WebSphere Application Server for z/OS

WebSphere Application Server para z/OS da soporte al acceso de los clientes y los servidores a los recursos en una red distribuida. Determine cómo puede controlar el acceso a estos recursos e impedir la destrucción accidental o indebida del sistema o los datos.

Estas son las partes de la red distribuida que se tienen que tener en cuenta:
  • Debe autorizar servidores en estos servicios de sistema operativo base en z/OS. Estos servicios pueden ser la seguridad SAF (System Authorization Facility), la gestión de bases de datos y al gestión de transacciones.
    • En los clústeres de servidores, debe distinguir entre controladores y sirvientes. Los controladores ejecutan código del sistema autorizado, por lo que son de confianza. Los sirvientes ejecutan código de aplicaciones y tienen acceso a los recursos, por lo que debe otorgar autorizaciones a los sirvientes con precaución.
    • También debe distinguir entre el nivel de autorización que tienen los servidores de tiempo de ejecución y sus propios servidores de aplicaciones. Por ejemplo, el nodo necesita autorización para iniciar otros clústeres, mientras que sus propios clústeres de aplicaciones no necesitan esta autorización.
  • Debe autorizar a los clientes (usuarios) para acceder a los servidores y los objetos que hay dentro de los servidores. Las características de cada cliente necesitan consideraciones especiales:
    • ¿El cliente está en el sistema local o es un cliente remoto? La seguridad de la red es un problema si los clientes son remotos.
    • ¿Desea permitir que clientes no identificados (no autenticados) accedan al sistema? Algunos recursos del sistema están especialmente indicados para el acceso público, mientras que otros se tienen que proteger. Para acceder a los recursos protegidos, los clientes deben establecer su identidad y tener autorización para utilizar esos recursos.
  • La autenticación es el proceso de establecer la identidad de un cliente dentro de un contexto determinado. Un cliente puede ser un usuario final, una máquina o una aplicación. El término mecanismo de autenticación en WebSphere Application Server en z/OS hace referencia más específicamente al recurso en el que WebSphere identifica una identidad autenticada, utilizando recursos HTTP y JMX (Java™ Management Extensions). Cuando se configura una célula, se debe seleccionar un mecanismo de autenticación. El mecanismo de autenticación puede ser:
    • SWAM (Simple WebSphere Authorization Mechanism): sólo para Application Server base; no está disponible en la configuración de Network Deployment
      Nota: SWAM está en desuso en WebSphere Application Server Versión 9.0 y se eliminará de releases futuros.
    • Lightweight Third Party Authentication (LTPA)
    • Kerberos
  • La información sobre los usuarios y los grupos reside en un registro de usuarios. En WebSphere Application Server, un registro de usuarios autentica un usuario y recupera información sobre usuarios y grupos para realizar funciones relacionadas con la seguridad, incluidas la autenticación y la autorización. Se proporciona una implementación para dar soporte a varios registros de usuarios basados en sistemas operativos o entornos operativos. Cuando se configura una célula, se debe seleccionar un único registro de usuarios. El registro de usuarios puede ser local o remoto. El registro de usuarios puede ser:
    • Registro local basado en SAF (de forma predeterminada cuando se selecciona un producto de seguridad z/OS para la seguridad administrativa durante la personalización)
    • LDAP (Lightweight Directory Access Protocol) autónomo: LDAP puede ser un registro de usuarios local o remoto
    • Registro de usuarios personalizado autónomo: el registro de usuarios personalizado se configura para adaptarse a unas necesidades de registro exclusivas. WebSphere Application Server proporciona un ejemplo de registro de usuarios sencillo denominado FileBasedRegistrySample.
    • Repositorios federados (por omisión cuando se selecciona WebSphere Application Server para la seguridad administrativa durante la personalización)
Si tiene que proteger recursos, es importante identificar quién tiene acceso a esos recursos. Por lo tanto, todo sistema de seguridad necesita la identificación del cliente (usuario), también conocida como autenticación. En una red distribuida soportada por WebSphere Application Server for z/OS, los clientes pueden acceder a los recursos desde:
  • El mismo sistema que el servidor
  • El mismo sysplex que el servidor
  • Sistemas z/OS remotos
  • Sistemas heterogéneos como, por ejemplo, WebSphere Application Server en plataformas distribuidas, CICS (Customer Information Control System) u otros sistemas compatibles con Java Platform, Enterprise Edition.

Asimismo, los clientes pueden solicitar un servicio que requiera que un servidor envíe la solicitud a otro clúster. En tales casos, el sistema debe manejar la delegación, esto es, la disponibilidad de la identidad de cliente que utilizan los clústeres intermedios y los clústeres de destino.

Por último, en una red distribuida, ¿cómo se comprueba que los mensajes que se pasan son confidenciales y no se han manipulado? ¿Cómo se comprueba que los clientes son quienes dicen? ¿Cómo se correlacionan identidades de red con identidades de z/OS? Estos problemas se solucionan con el siguiente soporte de WebSphere Application Server para z/OS:
  • Utilización de Secure Sockets Layer (SSL) y certificados digitales
  • Kerberos
  • Common Secure Interoperability, Versión 2 (CSIv2)
  • SPNEGO (Simple and Protected GSS-API Negotiation Mechanism)
  • Característica de correlación de identidad distribuida en SAF

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_settingup
File name: csec_settingup.html