Selección de un registro o repositorio

La información sobre los usuarios y los grupos reside en un registro de usuarios. En WebSphere Application Server, un registro de usuarios autentica un usuario y recupera información sobre los usuarios y grupos, para ejecutar funciones relacionadas con la seguridad, incluidas la autenticación y la autorización.

Antes de empezar

Nota: Durante la creación de perfiles, ya sea durante la instalación o posteriormente, la seguridad administrativa está habilitada por omisión. El repositorio de usuario federado basado en archivo se configura como registro de usuario activo. Decida si desea un registro de usuario diferente.

Antes de configurar el repositorio o el registro de usuario, debe decidir qué registro de usuario o repositorio desea utilizar. Puede configurar un registro por omisión activo para la célula.

Acerca de esta tarea

WebSphere Application Server proporciona implementaciones que dan soporte a varios tipos de registros y repositorios que incluyen el registro del sistema operativo local, un registro LDAP (Lightweight Directory Access Protocol) autónomo, un registro personalizado autónomo y repositorios federados.

Con WebSphere Application Server, un repositorio o un registro de usuario, como un repositorio federado, autentica al usuario y recupera información sobre los usuarios y los grupos para realizar funciones relacionadas con la seguridad, como la autenticación y la autorización.

Con WebSphere Application Server, el depósito o registro de usuarios se utiliza para:
  • Autenticar un usuario utilizando la autenticación básica, la aserción de identidad o los certificados de cliente
  • Recuperar información sobre usuarios y grupos, para ejecutar funciones administrativas relacionadas con la seguridad como, por ejemplo, correlacionar usuarios y grupos con roles de seguridad.

[z/OS]WebSphere Application Server está diseñado con la posibilidad de dar soporte a varios sistemas operativos o registros de usuarios basados en un entorno operativo, como el registro SAF de z/OS y la mayoría de los principales registros basados en LDAP (Lightweight Directory Access Protocol). Puede utilizar la característica LDAP personalizada para dar soporte a cualquier servidor LDAP, estableciendo la configuración correcta, como filtros de usuarios y de grupos. No obstante, el soporte no se amplía a estos servidores LDAP personalizados, ya que hay muchas posibilidades que no se pueden probar.

[z/OS]La configuración del registro o repositorio correcto es un requisito previo para asignar usuarios y grupos a roles para las aplicaciones. De manera predeterminada, cuando no se configura un repositorio o un registro de usuarios, se utiliza el registro de usuarios de sistema operativo local basado en SAF. Si su opción de repositorio o registro de usuario no es el sistema operativo local, debe configurar primero el repositorio o el registro de usuario. La configuración del repositorio o el registro de usuario normalmente se realiza como parte del proceso de habilitar la seguridad administrativa, reiniciar los servidores y después asignar usuarios y grupos a roles para todas las aplicaciones.

Además del sistema operativo local, de LDAP y de los registros de repositorio federados, WebSphere Application Server también proporciona un plug-in para soportar cualquier registro utilizando la característica de registro personalizado. La característica de registro de usuarios personalizado permite configurar cualquier registro de usuarios que no esté disponible mediante los paneles de configuración de seguridad de WebSphere Application Server.

La configuración del registro o repositorio correcto es un requisito previo para asignar usuarios y grupos a roles para las aplicaciones. Cuando no está configurado un repositorio o un registro de usuario, por omisión se utiliza el registro del sistema operativo local. Si la opción de registro de usuario no es el registro del sistema operativo local, primero es necesario configurar el registro o el repositorio, lo que habitualmente se realiza como parte del proceso de habilitar la seguridad, reiniciar los servidores y después asignar usuarios y grupos a roles para todas las aplicaciones.

WebSphere Application Server da soporte a los siguientes tipos de registros de usuario:
  • Repositorio federado
  • Sistema operativo local como, por ejemplo, [z/OS]basado en SAF
    Restricción: Realizar la configuración de un servidor LDAP transparente en el registro del sistema operativo local y la autenticación de usuario a través de dicho sistema operativo local utilizando LDAP no está soportado.
  • Registro LDAP (Lightweight Directory Access Protocol) autónomo
  • Registro personalizado autónomo
La interfaz UserRegistry se utiliza para implementar el registro personalizado y las opciones de repositorio federado para el repositorio de cuentas de usuario. La interfaz es muy útil en situaciones en las que existe información actualizada de usuario y de grupo en otros formatos, por ejemplo, en una base de datos y no se puede mover a los registros de sistema operativo local o LDAP. En estos casos, puede implementar la interfaz UserRegistry para que WebSphere Application Server pueda utilizar el registro existente para todas las operaciones relacionadas con la seguridad. El proceso de implementación de un registro personalizado es un trabajo de implementación de software y normalmente el funcionamiento de la implementación no dependerá de la gestión de recursos de WebSphere Application Server. Por ejemplo, no puede utilizar una configuración de origen de datos de WebSphere Application Server. Generalmente, debe invocar las conexiones de base de datos y dictar su comportamiento directamente en el código.
Nota: WebSphere Application Server ha implementado un proxy de registro de usuarios utilizando la interfaz UserRegistry. No obstante, los valores devueltos son ligeramente distintos de los de la interfaz. Por ejemplo, getUniqueUserId devuelve uniqueID con el nombre de reino envuelto. No puede utilizar el valor devuelto para pasar a getUserSecurityName, como se muestra en el siguiente ejemplo:
// Recupera InitialContext por omisión para este servidor.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();

// Recupera el objeto UserRegistry local.
com.ibm.websphere.security.UserRegistry reg =
         (com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");

// Recupera el uniqueID de registro basado en el userName especificado
     // en NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Quita el nombre de reino y obtiene el uniqueID real
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);

// Recupera el nombre de seguridad del registro de usuario basado en el uniqueID.
String securityName = reg.getUserSecurityName(uid);
Puede utilizar SPI (Service Provider Interface) para este análisis de funciones.
Después de que haya asignado usuarios y grupos a las aplicaciones, si tiene que cambiar los registros de usuario, suprima todos los usuarios y grupos ,incluidos todos los roles RunAs, de las aplicaciones y vuelva a asignarlos después de cambiar el registro mediante la consola administrativa o el script wsadmin. El siguiente mandato wsadmin, que utiliza Jacl, suprime todos los usuarios y grupos de cualquier aplicación.
$AdminApp deleteUserAndGroupEntries NombreAplicación
donde NombreAplicación es el nombre de la aplicación. Antes de realizar esta operación se aconseja hacer una copia de seguridad de la aplicación antigua. No obstante, si las dos condiciones siguientes se cumplen, es posible que pueda conmutar los registros sin necesidad de suprimir la información de usuarios y grupos:
  • Todos los nombres de usuarios y grupos ,incluida la contraseña de los usuarios de roles RunAs, de todas las aplicaciones coinciden en ambos registros de usuario.
  • El archivo de enlaces de las aplicaciones no contiene los ID de acceso, que son exclusivos para cada registro de usuario, incluso para el mismo nombre de usuario o grupo.

Por omisión, una aplicación no contiene los ID de acceso en el archivo de enlaces. Estos ID se generan cuando se inician las aplicaciones. Sin embargo, si ha migrado una aplicación existente de un release anterior o si ha utilizado el script wsadmin para añadir los ID de acceso para las aplicaciones para mejorar el rendimiento, deberá suprimir la información de usuarios y grupos existente y añadirla después de configurar el nuevo registro de usuario.

Para obtener más información sobre la actualización de ID de acceso, consulte los ID de updateAccess en el artículo Mandatos para el objeto AdminApp.

Atención: WebSphere Application Server da soporte a diversos repositorios y registros de usuarios en distintos sistemas operativos. Durante el proceso de autenticación de usuarios, puede utilizar caracteres no alfanuméricos en el nombre de usuario o la contraseña. Las restricciones en el uso de estos caracteres no alfanuméricos dependen del sistema operativo subyacente y del tipo de registro de usuarios. Para obtener más información sobre los caracteres no alfanuméricos que no se admiten, consulte la documentación del sistema operativo y del repositorio o registro de usuarios.
[AIX]Por ejemplo, los siguientes caracteres no reciben soporte en un valor de nombre de usuario:
  • #
  • =
  • \
  • :
  • "
  • ,
  • /
  • ?
  • '
  • Un carácter de espacio

Para obtener una lista exhaustiva de los caracteres no alfanuméricos que no reciben soporte, consulte la documentación del sistema operativo AIX de IBM.

[HP-UX]Por ejemplo, los siguientes caracteres no reciben soporte en un valor de nombre de usuario:
  • :
  • "
  • /
  • Un carácter de espacio

Realice uno de los pasos siguientes para configurar el registro de usuario:

Procedimiento

Qué hacer a continuación

  1. Si está habilitando la seguridad, lleve a cabo los pasos restantes. Verifique que el repositorio de cuentas de usuario en el panel Seguridad global esté establecido en el repositorio o el registro adecuado. Como paso final, valide el ID de usuario y la contraseña pulsando Aplicar en el panel Seguridad global. Guarde, detenga y reinicie todos los servidores WebSphere Application Server.
  2. Para que los cambios realizados en los paneles de registro de usuario entren en vigor, debe validar los cambios pulsando Aplicar en el panel Seguridad global. Después de la validación, guarde la configuración y detenga y reinicie todos los servidores WebSphere Application Server, incluidos las células, los nodos y todos los servidores de aplicaciones. Para evitar incoherencias entre los procesos de WebSphere Application Server, asegúrese de que todos los cambios realizados en el repositorio o el registro se llevan a cabo cuando todos los procesos estén en ejecución. Si hay algún proceso que no está en ejecución, es necesario forzar una sincronización para asegurarse de que el proceso pueda iniciarse más adelante.

    Si el servidor se inicia sin sufrir ninguna anomalía, significa que la configuración es correcta.

  3. [z/OS]Si se selecciona SAF (System Authorization Facility) a través del sistema operativo local como repositorio o registro, se ignoran los valores de los enlaces con la excepción del ID de usuario y la contraseña (o expresión de contraseña) para los usuarios cuyo rol es RunAs.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_useregistry
File name: tsec_useregistry.html