![[IBM i]](../images/iseries.gif)
Seguridad de objetos y archivos
En este tema se describen los diferentes objetos y archivos que contienen información confidencial y que se han de procesar.
Archivos seguros del sistema de archivos integrado
Además de enterprise beans y servlets, WebSphere Application Server accede a los archivos integrados de la corriente del sistema de archivos. Es posible que los archivos siguientes contengan información confidencial. Se le recomienda que considere detenidamente estos archivos para asegurarse de que no concede acceso no autorizado.
- En el subdirectorio /properties del perfil, los siguientes archivos pueden contener ID de usuario y contraseñas:
- sas.client.props
- soap.client.props
- sas.stdclient.properties
- sas.tools.properties
- wsserver.key
Por omisión, el subdirectorio /properties está situado en el directorio raíz_perfil. Cada uno de los archivos anteriores se envían con la autorización *PUBLIC establecida en *EXCLUDE. Al perfil de usuario QEJBSVR se le concede autorización *RW para estos archivos. Se puede obtener una protección adicional mediante la codificación de las contraseñas. Para obtener más información, consulte Codificación y cifrado de contraseñas.
- En el subdirectorio /etc de su perfil, proteja todos los archivos
de claves (KDB) y de confianza (JKS) que crea para el perfil de WebSphere Application
Server.
Para los archivos JKS, los perfiles de usuarios QEJBSVR deben tener autorización *R y *PUBLIC debe tener la autorización *EXCLUDE.
Para los archivos KDB, el perfil de usuario en que se ejecuta el servidor web debe tener autorización *RX y *PUBLIC debe tener la autorización *EXCLUDE.
Recursos de base de datos protegidos para WebSphere Application Server
WebSphere Application Server utiliza tablas para que persistan los datos de aplicaciones de usuarios como, por ejemplo, para la persistencia de los datos de sesiones de servlets y enterprise beans. Dispone de varias opciones para controlar qué perfiles de usuario tienen acceso a estos datos de usuario. Para obtener más información, consulte Seguridad de acceso a base de datos.
Protección de archivos de WebSphere Application Server
Cuando habilita la seguridad de WebSphere Application Server, el perfil de usuario y la contraseña del servidor se colocan en los archivos de configuración del servidor, que se deben mantener de forma segura utilizando la seguridad del sistema operativo. Adicionalmente, puede proteger algunos recursos de WebSphere Application Server. Estas contraseñas se colocan también en los archivos de configuración del servidor. El servidor codifica automáticamente las contraseñas para impedir su observación accidental pero la codificación de contraseñas por sí sola no es protección suficiente.
- cells/nombre_célula/security.xml
- cells/nombre_célula/nodes/nombre_nodo/resources.xml
- cells/nombre_célula/nodes/nombre_nodo/servers/server_name/server.xml
- El ID de usuario y la contraseña se utilizan como la identidad del servidor cuando se despliega la seguridad de un enterprise bean de modo que utilice SYSTEM_IDENTITY como delegación de método. En este caso, el ID de usuario y la contraseña se utilizan cuando se realizan llamadas a método desde un enterprise bean a otro.
- El ID de usuario y la contraseña se utilizan para autenticar servidores para la comunicación entre servidores. Debido a que la seguridad de estos archivos puede resultar comprometida, utilice un perfil de usuario que no sea el por omisión para la identidad y la contraseña del servidor. El perfil de usuario por omisión es QEJBSVR. Si utiliza el registro de usuarios del sistema operativo local, puede optar por crear y utilizar un perfil de usuario que no tenga autorizaciones especiales. Para obtener más información, consulte Ejecución de servidores de aplicación bajo perfiles de usuario específicos.
Protección de perfiles de usuario para WebSphere Application Server
- QEJB
- Este perfil proporciona acceso a algunos datos administrativos, incluidas las contraseñas.
- QEJBSVR
- Este perfil proporciona el contexto en el que se ejecuta WebSphere Application Server. Por motivos de seguridad y administración, es posible que desee crear otros perfiles de usuario bajo los que ejecutar las diferentes partes de WebSphere Application Server. Para obtener más información, consulte Ejecución de servidores de aplicaciones bajo perfiles de usuario específicos.