Configuración de registros del sistema operativo local

Realice estos pasos para configurar registros del sistema operativo local.

Antes de empezar

Para obtener información detallada sobre cómo utilizar el registro de usuario del sistema operativo local, consulte Registros del sistema operativo local. Estos pasos configuran la seguridad según el registro de usuarios del sistema operativo local en el que está instalado WebSphere Application Server.

[AIX Solaris HP-UX Linux Windows]Por motivos de seguridad, WebSphere Application Server proporciona y soporta la implementación de los registros de sistema operativo Windows, AIX, Solaris y diversas versiones de los sistemas operativos Linux. Los procesos del producto (servidores) llaman a las API (interfaz del programa de aplicación) respectivas de los sistemas operativos para autenticar un usuario y otras tareas relacionadas con la seguridad (por ejemplo, obtener información de usuarios y grupos). El acceso a estas API está restringido a los usuarios que tienen privilegios especiales. Estos privilegios dependen del sistema operativo y se describen más adelante en este tema.

[z/OS]Cuando se selecciona un registro del sistema operativo local, se selecciona la identidad de la tarea iniciada como la identidad del servidor. No es necesario un ID de usuario ni contraseña para configurar el servidor.

[z/OS]Importante: Cada tarea iniciada, por ejemplo, un controlador, un sirviente o un daemon pueden tener una identidad distinta. Como tiene que proporcionar distintas autorizaciones de recursos a cada uno, debe proporcionar ID de usuario diferentes a los controladores y sirvientes. La herramienta de gestión de perfiles z/OS configura estas identidades.
[Windows][AIX Solaris HP-UX Linux Windows]Tenga en cuenta lo siguiente:
  • Es necesario que el ID de servidor sea distinto del nombre de la máquina Windows en la que se ha instalado el producto. Por ejemplo, si el nombre de la máquina Windows es vicky y el ID del servidor de seguridad es vicky, el sistema Windows fallará al obtener la información (información de grupo, por ejemplo) para el usuario vicky.
  • WebSphere Application Server determina de forma dinámica si la máquina es miembro de un dominio de sistema Windows.
  • WebSphere Application Server no da soporte a los dominios de confianza de Windows.
  • Si una máquina es miembro de un dominio de Windows, tanto el registro de usuarios del dominio como el registro de usuarios local de la máquina participan en la autenticación y en la correlación de roles de seguridad.
  • Si utiliza un ID de usuario de dominio Windows para instalar y ejecutar WebSphere Application Server, el ID debe tener los privilegios siguientes:
    • Ser miembro de los grupos administrativos de dominio en el controlador de dominio
    • Tener el privilegio Actuar como parte del sistema operativo en la política de seguridad de dominio en el controlador de dominio.
    • Tener el privilegio Actuar como parte del sistema operativo en la política de seguridad local en la máquina local.
    • Tener el privilegio Iniciar sesión como servicio en la máquina local si el servidor se ejecuta como un servicio.
  • El registro de usuario del dominio tiene prioridad sobre el registro de usuario local de la máquina y puede tener implicaciones no deseables si en ambos registros de usuario hay usuarios con la misma contraseña.
  • El usuario bajo el que se ejecutan los procesos del producto debe tener el privilegio Administrativo y Actuar como parte del sistema operativo para llamar a las API del sistema operativo Windows que autentican o recopilan información de usuario y grupo. El proceso necesita una autorización especial que se otorga mediante estos privilegios. Es posible que el usuario de este ejemplo no sea el mismo que el ID de servidor de seguridad (el requisito para el que es un usuario válido en el registro). Este usuario inicia la sesión en la máquina (si se usa la línea de mandatos para iniciar el proceso del producto) o el valor Usuario de inicio de sesión en el panel de servicios, si los procesos del producto se iniciaron mediante los servicios.
[AIX Solaris HP-UX Linux Windows]Tenga en cuenta lo siguiente:
  • [AIX HP-UX Solaris][Linux]El usuario bajo el que se ejecutan los procesos del producto debe tener el privilegio root. Este privilegio es necesario para llamar a las API del sistema operativo para autenticar o para recopilar información de usuarios y grupos. El proceso necesita una autorización especial que se otorga mediante el privilegio root. Este usuario puede no ser el mismo que el ID de servidor de seguridad (el requisito es que debe ser un usuario válido en el registro). Este usuario inicia la sesión en la máquina y ejecuta los procesos del producto.
  • [AIX HP-UX Solaris]El usuario que habilita la seguridad administrativa debe contar con el privilegio root, si utiliza el registro del sistema operativo local. De lo contrario, aparece un error de validación anómala.
  • [Linux]Es posible que necesite un archivo de duplicación de contraseñas en el sistema.

Acerca de esta tarea

[z/OS]Cuando se configura un registro de usuarios para WebSphere Application Server, SAF (System Authorization Facility) funciona conjuntamente con el registro de usuarios para autorizar la ejecución de aplicaciones en el servidor. Para obtener más información sobre las posibilidades de SAF, consulte Registros de usuario de System Authorization Facility. Siga estos pasos para configurar las propiedades adicionales asociadas con el registro de usuario de sistema operativo local y la configuración de SAF.

[z/OS]Importante: El sistema operativo local no es un repositorio de cuentas de usuario válido si se tiene un entorno de células mixto que incluye nodos de la plataforma z/OS y nodos que no son de la plataforma z/OS.

[AIX Solaris HP-UX Linux Windows][IBM i]Cuando se configura la seguridad por primera vez, son necesarios los pasos siguientes:

Procedimiento

  1. Pulse Seguridad > Seguridad global.
  2. En el repositorio de cuentas de usuario, seleccione Sistema operativo local y pulse Configurar.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Escriba un nombre de usuario válido en el campo Nombre de usuario administrativo primario. Este valor es el nombre de un usuario con privilegios administrativos que se define en el registro. Este nombre de usuario se utiliza para acceder a la consola administrativa o lo utiliza wsadmin.
  4. [z/OS]Si la autorización SAF no está habilitada, escriba un nombre de usuario válido en el campo Nombre de usuario administrativo primario. Este valor es el nombre de un usuario con privilegios administrativos que se define en el registro. Este nombre de usuario se utiliza para acceder a la consola administrativa o lo utiliza wsadmin.
  5. Opcional: [z/OS]Seleccione la opción Ignorar mayúsculas/minúsculas para autorización para que WebSphere Application Server realice una comprobación de autorización que ignore las mayúsculas y minúsculas cuando utilice la autorización por omisión.
  6. Pulse Aplicar.
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Seleccione la opción Identidad de servidor generada automáticamente o Identidad de servidor que se almacena en el repositorio. Si selecciona la opción Identidad de servidor que se almacena en el repositorio, especifique la siguiente información:
    ID de usuario o usuario administrativo del servidor
    Especifique el nombre abreviado de la cuenta que se ha elegido en el segundo paso.
    Contraseña de usuario de servidor
    Especifique la contraseña de la cuenta que se ha elegido en el segundo paso.
  8. [z/OS]Seleccione la opción Identidad de servidor generada automáticamente o Identidad de usuario para la tarea iniciada de z/OS.
  9. [IBM i]Escriba un nombre del perfil de usuario válido en el campo Nombre de usuario administrativo primario.

    El nombre de usuario administrativo primario especifica el perfil de usuario que se utiliza cuando el servidor se autentica en el sistema operativo subyacente. Esta identidad es también el usuario que tiene autoridad inicial para acceder a la aplicación administrativa mediante la consola administrativa. El ID de usuario administrativo es común para todos los registros de usuario. El ID administrativo es un miembro del registro seleccionado y tiene privilegios especiales en WebSphere Application Server. No obstante, no tiene privilegios especiales en el registro que representa. En otras palabras, puede seleccionar cualquier ID de usuario válido en el registro para utilizarlo como ID de usuario administrativo o ID de usuario de servidor.

    En el campo Nombre de usuario administrativo primario, puede especificar cualquier perfil de usuario que cumpla estos criterios:
    • El perfil de usuario tiene un estado *ENABLED.
    • El perfil de usuario tiene una contraseña válida.
    • El perfil de usuario no se utiliza como perfil de grupo.
      Importante: A un perfil de grupo se le asigna un número de ID de grupo exclusivo, que no se asigna a un perfil de usuario normal. Ejecute el mandato Mostrar perfil de usuario (DSPUSRPRF) para determinar si el perfil de usuario que desea utilizar como Nombre de usuario administrativo primario tiene un número de ID de grupo definido. Si el campo ID de grupo se establece en *NONE, puede utilizar el perfil de usuario como nombre de usuario administrativo.
  10. Opcional: [z/OS]Habilite y configure la autorización SAF.
    1. Pulse Seguridad > Seguridad global > Proveedor de autorización externo.
    2. Seleccione la opción Autorización SAF (System Authorization Facility) para habilitar SAF como proveedor de autorización.
    3. En Elementos relacionados, pulse Autorización SAF de z/OS para configurar la autorización SAF. Si desea una descripción de las opciones de autorización SAF, consulte el apartado Autorización SAF (System Authorization Facility) de z/OS.
  11. Pulse Aceptar.

    La consola administrativa no valida el ID de usuario y la contraseña cuando pulsa Aceptar. La validación sólo se lleva a cabo al pulsar Aceptar o Aplicar en el panel Seguridad global. En primer lugar, asegúrese de seleccionar Sistema operativo local como la definición de reino disponible para el repositorio de cuentas de usuario y pulse Establecer como actual. Si la seguridad ya estaba habilitada y se ha modificado la información de usuario o de contraseña en este panel, asegúrese de ir al panel Seguridad global y pulsar Aceptar o Aplicar para validar los cambios. Si no se validan los cambios, es posible que el servidor no se inicie.

    Importante: Hasta que autorice otros usuarios para realizar funciones administrativas, sólo puede acceder a la consola administrativa con el ID de usuario de servidor y la contraseña que ha especificado. Para obtener más información, consulte Autorización del acceso a roles administrativos.

Resultados

Para que los cambios realizados en este panel entren en vigor, es necesario guardarlos así como detener e iniciar todos los servidores del producto, incluidos los gestores de despliegue, nodos y servidores de aplicaciones. Si el servidor se inicia sin sufrir ninguna anomalía, significa que la configuración es correcta.

Una vez completados estos pasos, habrá configurado WebSphere Application Server para que utilice el registro del sistema operativo local para identificar a los usuarios autorizados.

Qué hacer a continuación

Siga las instrucciones restantes para habilitar la seguridad. Para obtener más información, consulte Habilitación de la seguridad.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_localos
File name: tsec_localos.html