Habilitación de la seguridad
A continuación se proporciona información sobre cómo configurar la seguridad cuando no se ha habilitado la seguridad durante la creación del perfil de WebSphere Application Server.
Antes de empezar
Al instalar WebSphere Application Server, se recomienda que instale con la seguridad habilitada. Según el diseño, esta opción asegura que todo se ha configurado correctamente. Cuando se habilita de la seguridad, se protege al servidor de usuarios no autorizados y se puede proporcionar aislamiento de aplicaciones y requisitos para autenticar usuarios de aplicaciones.
Es útil entender la seguridad desde una perspectiva de infraestructura para comprender las ventajas que proporcionan distintos mecanismos de autenticación, registros de usuario, protocolos de autenticación, etc. Seleccionar los componentes de seguridad correctos que cubran sus necesidades forma parte del proceso de configuración de la seguridad. Los siguientes apartados le ayudarán a tomar estas decisiones.
Una vez que conozca los componentes de seguridad, puede proceder a configurar la seguridad en WebSphere Application Server.
![[z/OS]](../images/ngzos.gif)
Procedimiento
- Inicie la consola administrativa de WebSphere Application Server.
Inicie el gestor de despliegue y, en el navegador, escriba la dirección del servidor WebSphere Application Server, Network Deployment. Por omisión, la consola se encuentra en http://su_sistema_host.su_dominio:9060/ibm/console.
Si la seguridad está inhabilitada, se le solicita que especifique un ID de usuario. Inicie la sesión con cualquier ID de usuario. Sin embargo, si la seguridad está habilitada, se le solicita que especifique un ID de usuario y una contraseña. Inicie la sesión con un ID de usuario y una contraseña de administrador predefinidos.
- Pulse Seguridad > Seguridad global.
Utilice el asistente de configuración de seguridad, o configure la seguridad manualmente. El orden de la configuración no es importante.
Avoid trouble: Debe habilitar la seguridad administrativa y la seguridad de aplicaciones de forma separada. Debido a esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada por omisión. La seguridad de aplicaciones está inhabilitada por omisión. Antes de intentar habilitar la seguridad de aplicaciones en el servidor de destino, verifique que la seguridad administrativa esté habilitada en ese servidor. La seguridad de aplicaciones sólo está vigente cuando la seguridad administrativa está habilitada.gotcha
Para obtener más información sobre la configuración manual, consulte Autenticación de usuarios.
- Configure el repositorio de cuentas de usuario. Para obtener más información, consulte
Selección de un registro o repositorio.En el panel Seguridad global, puede configurar repositorios de cuentas de
usuario, como repositorios federados, el sistema operativo local, el
registro LDAP (Lightweight Directory Access Protocol) autónomo y el
registro personalizado autónomo.
Nota: Puede optar por especificar un ID de servidor y contraseña para interoperatividad o permitir que una instalación de WebSphere Application Server genere automáticamente un ID de servidor interno. Para obtener más información acerca de cómo generar los ID de servidor, consulte el apartado Valores del sistema operativo local.
Uno de los detalles comunes a todos los registros o repositorios de usuario es el Nombre de usuario administrativo primario. Este ID es un miembro del depósito seleccionado que tiene privilegios especiales en WebSphere Application Server. Los privilegios de este ID y los privilegios asociados con el ID de rol de administración son los mismos. El Nombre de usuario administrativo primario puede acceder a todos los métodos administrativos protegidos.
El ID no puede tener el mismo nombre que el nombre de la máquina del sistema porque el repositorio a veces devuelve información específica de la máquina cuando se realiza una consulta sobre un usuario con el mismo nombre.
En los registros LDAP autónomos, compruebe que el Nombre de usuario administrativo primario es un miembro del depósito y no únicamente el ID de rol de administración de LDAP. La entrada debe poder buscarse.
El nombre de usuario administrativo primario no ejecuta los procesos de WebSphere Application Server. En su lugar, el ID de proceso ejecuta los procesos de WebSphere Application Server.
El ID de proceso viene determinado por la forma en que se inicia el proceso. Por ejemplo, si utiliza la línea de mandatos para iniciar los procesos, el ID de usuario que está conectado al sistema es el ID de proceso. Por ejemplo, si utiliza la línea de mandatos para iniciar los procesos, el ID de usuario que está conectado al sistema es el ID de proceso. Si se selecciona el registro del sistema operativo local, el ID de proceso requiere privilegios especiales para llamar a las API del sistema operativo. El ID de proceso debe tener los siguientes privilegios específicos de la plataforma:
Privilegios Actuar como parte del sistema operativo
Privilegios Raíz
En la configuración por omisión, los procesos de WebSphere Application Server se ejecutan bajo el perfil de usuario proporcionado por el sistema QEJBSVR.
Cuando se utiliza el registro del sistema operativo local autónomo en WebSphere Application Server para z/OS, el ID de usuario para el servidor no se establece mediante la consola administrativa, sino mediante la clase STARTED en el sistema operativo z/OS.
- Seleccione la opción Establecer como actual después de
configurar el repositorio de cuentas de usuario. Cuando se pulsa Aplicar y
está establecida la opción Habilitar seguridad administrativa, se verifica si se ha configurado un ID de usuario administrativo y si está presente
en el registro de usuarios activo. El ID de usuario administrativo se puede especificar en el panel de registro de usuario activo o en el enlace usuarios de consola.
Si no configura un ID
administrativo para el registro de usuario activo, no se puede realizar la validación.
Nota: Cuando cambia de registros de usuario, se deben borrar del archivo admin-authz.xml los ID administrativos y nombres de aplicaciones existentes. Se producirán excepciones en los registros para los ID que existan en el archivo admin-authz.xml pero que no existan en el registro de usuario actual.
Opcional: Puede configurar y cambiar el proveedor de autorizaciones externo por autorización de WebSphere, autorización SAF (System Authorization Facility) o un proveedor de JACC externo. Para obtener más información, consulte Autorización SAF (System Authorization Facility) de z/OS y Habilitación de un proveedor de JACC externo. Para cambiar el proveedor de autorizaciones, pulse Seguridad > Seguridad global.
- Configure el mecanismo de autenticación.
Configure LTPA (Lightweight Third-Party Authentication) o Kerberos, que es nuevo en este release de WebSphere Application Server, en Mecanismos de autenticación y caducidad. Las credenciales LTPA pueden reenviarse a otras máquinas. Por motivos de seguridad, las credenciales caducan; no obstante, puede configurar las fechas de caducidad en la consola. Las credenciales LTPA permiten a los navegadores visitar distintos servidores del producto, lo que significa que no tiene que realizar la autenticación varias veces. Para obtener más información, consulte Configuración del mecanismo LTPA (Lightweight Third Party Authentication)
Nota: Puede configurar SWAM (Simple WebSphere Authentication Mechanism) como mecanismo de autenticación. Sin embargo, SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release posterior. Las credenciales SWAM no se pueden remitir a otras máquinas y por esa razón no caducan.
Si desea soporte de SSO (Inicio de sesión único), que permite que los navegadores accedan a distintos servidores de producto sin tener que autenticarse varias veces, consulte Implementación del inicio de sesión único para minimizar las autenticaciones de usuario web. Para el inicio de sesión basado en formulario, debe configurar SSO cuando utilice LTPA.
- Opcional: Importe y exporte las claves LTPA
para Inicio de sesión único entre células (SSO). Para obtener más información, consulte los artículos siguientes:
- Exportación de claves LTPA (Lightweight Third Party Authentication).
- Importación de claves LTPA (Lightweight Third Party Authentication)
Avoid trouble: Si una de las células a la que se va a conectar reside en un sistema de la Versión 6.0.x, consulte el tema sobre la configuración de claves LPTA (Lightweight Third Party Authentication) en el centro de información de la Versión 6.0.x para obtener más información.gotcha
- Configure el protocolo de autenticación para obtener
requisitos especiales de seguridad de clientes
Java™,
si es necesario.
Puede configurar CSIv2 (Common Secure Interoperability Versión 2) mediante enlaces en el panel Seguridad global. Se proporciona el protocolo SAS (Security Authentication Service) a efectos de compatibilidad con releases anteriores del producto, pero está en desuso. Los enlaces con el protocolo SAS aparecen en el panel Seguridad global si el entorno contiene servidores que utilizan versiones anteriores de WebSphere Application Server y soportan el protocolo SAS. Para obtener información detallada sobre cómo configurar CSIv2 o SAS, consulte el apartado Configuración de los valores de comunicación de entrada y salida de Common Secure Interoperability Versión 2 (CSIV2).
Puede configurar CSIv2 (Common Secure Interoperability Versión 2) mediante enlaces en el panel Seguridad global. Se proporciona el protocolo z/SAS (z/OS Security Authentication Service) a efectos de compatibilidad con releases anteriores del producto, pero está en desuso. Los enlaces con el protocolo z/SAS aparecen en el panel Seguridad global si el entorno contiene servidores que utilizan versiones anteriores de WebSphere Application Server y soportan el protocolo SAS. Para obtener información detallada sobre cómo configurar CSIv2 o z/SAS, consulte el apartado Configuración de los valores de comunicación de entrada y salida de Common Secure Interoperability Versión 2 (CSIV2).
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.Atención: IBM® ya no suministra ni da soporte al protocolo de seguridad IIOP de SAS (Secure Authentication Service). Se recomienda que utilice el protocolo CSIv2 (Common Secure Interoperability Versión 2).
Atención: IBM ya no suministra ni da soporte al protocolo de seguridad IIOP de z/SAS (z/OS Secure Authentication Service). Se recomienda que utilice el protocolo CSIv2 (Common Secure Interoperability Versión 2). CSIv2 interactuará con versiones anteriores de WebSphere Application Server, excepto con el cliente de la versión 4.
SSL (Secure Socket Layers) se preconfigura por omisión, y los cambios no son necesarios, a menos que tenga requisitos SSL personalizados. Puede modificar o crear una nueva configuración SSL. De este modo se protege la integridad de los mensajes que se envía por Internet. El producto proporciona una ubicación centralizada para especificar configuraciones SSL que las distintas características de WebSphere Application Server que utilizan SSL pueden utilizar, incluido el registro LDAP, el contenedor web y el protocolo de autenticación RMI/IIOP (CSIv2). Para obtener más información, consulte Creación de configuraciones de Capa de sockets seguros. Después de modificar o crear una configuración, especifíquela en el panel Configuraciones SSL. Para acceder al panel Configuraciones SSL, siga estas instrucciones:
- Pulse Seguridad > Gestión de claves y certificados SSL.
- En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final > nombre_configuración.
- En Elementos relacionados para cada ámbito (por ejemplo, nodo, clúster, servidor), seleccione uno de los muchos enlaces de configuración que puede ampliarse al recurso que está visitando.
Puede editar el archivo DefaultSSLConfig o crear una nueva configuración SSL con un nuevo nombre de alias. Si crea un nuevo nombre de alias para los archivos de almacén de claves y de almacén de confianza, debe cambiar todas las ubicaciones que hacen referencia al alias de configuración SSL DefaultSSLConfig. La lista siguiente especifica las ubicaciones donde se utilizan los alias de repertorio de configuración de SSL en la configuración de WebSphere Application Server.
Para los transportes que utilizan las nuevas cadenas de canal de entrada/salida de red, incluidos HTTP y JMS (Java Message Service), puede modificar los alias de repertorio de configuración SSL en las siguientes ubicaciones de cada servidor:- Pulse Servidor > Servidor de aplicaciones > nombre_servidor. En Comunicaciones, pulse Puertos. Localice la cadena de transporte donde esté habilitado SSL y pulse Ver transportes asociados. Pulse nombre_canal_transporte. En Canales de transporte, pulse Canal SSL de entrada (SSL_2).
- Pulse Administración del sistema > Gestor de despliegue. En Propiedades adicionales, pulse Puertos. Localice la cadena de transporte donde esté habilitado SSL y pulse Ver transportes asociados. Pulse nombre_canal_transporte. En Canales de transporte, pulse Canal SSL de entrada (SSL_2).
- Pulse Administración del sistema > Agentes de nodo > nombre_agente_nodo. En Propiedades adicionales, pulse Puertos. Localice la cadena de transporte donde esté habilitado SSL y pulse Ver transportes asociados. Pulse nombre_canal_transporte. En Canales de transporte, pulse Canal SSL de entrada (SSL_2).
Para los transportes SSL de ORB (Object Request Broker), puede modificar los alias de repertorio de configuración de SSL en las ubicaciones siguientes. Estas configuraciones son de nivel de servidor para WebSphere Application Server y de nivel de célula para WebSphere Application Server, Network Deployment.- Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2.
- Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de salida CSIv2.
Para el transporte SSL de LDAP (Lightweight Directory Access Protocol), puede modificar los alias de repertorio de configuración de SSL pulsando Seguridad > Seguridad global. En Repositorio de cuentas de usuario, pulse la lista desplegable Definiciones del reino disponibles y seleccione Registro LDAP autónomo.
Establezca la autorización. Si elige utilizar un producto de seguridad z/OS durante la personalización, se utilizará por omisión la autorización SAF (System Authorization Facility) (perfiles EJBROLE). De lo contrario, el valor predeterminado es la autorización de WebSphere Application Server. De forma opcional, puede establecer una autorización externa JACC (Java Authorization Contract for Containers). Consulte Consideraciones especiales sobre el control del acceso a roles de nombres mediante la autorización SAF o Proveedores de autorización.
Verifique los repertorios SSL (Secure Sockets Layer) que vaya a utilizar WebSphere Application Server. Los trabajos de personalización de ejemplo generados por la herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt generan trabajos de ejemplo para crear conjuntos de claves SSL que se pueden utilizar si RACF es el servidor de seguridad. Estos trabajos crean un certificado único de la autoridad emisora de certificados RACF para la instalación junto con un conjunto de certificados de servidor firmados por esta entidad emisora de certificados. El ID de la tarea iniciada por el controlador del servidor de aplicaciones tiene un conjunto de claves SAF que incluye estos certificados. De forma similar, en un entorno de WebSphere Application Server, Network Deployment se crean conjuntos de claves RACF que son propiedad del ID de usuario del gestor de despliegue y los ID de usuario del agente de nodo.
Un conjunto de claves RACF se identifica de forma única mediante el nombre del conjunto de claves del repertorio y el ID de usuario de MVS del proceso controlador del servidor. Si distintos procesos controladores de WebSphere Application Server tienen ID de usuario de MVS únicos, debe asegurarse de que se genere un conjunto de claves RACF y una clave privada, aun cuando compartan el mismo repertorio.
Existen dos tipos de repertorios SSL configurables:- El repertorio SSL del sistema (System SSL) lo utilizan los transportes nativos para las comunicaciones HTTPS e IIOP (Internet InterORB Protocol). Si desea utilizar la consola administrativa después de habilitar la seguridad, debe definir y seleccionar un tipo repertorio SSL del sistema para HTTP. Debe definir un repertorio SSL del sistema y seleccionarlo si la seguridad IIOP requiere o da soporte al transporte SSL o si selecciona un conector RMI (Remote Method Invocation) seguro para las solicitudes administrativas.
- El repertorio JSSE (Java Secure Socket Extension) se utiliza para las comunicaciones SSL basadas en Java.
Los usuarios deben configurar un repertorio SSL del sistema para utilizar protocolos HTTP o IIOP, y también se debe configurar un conector JMX (Java Management Extensions) para utilizar SSL. Si se elige un conector HTTP SOAP, debe seleccionarse un repertorio JSSE para el subsistema administrativo. En un entorno WebSphere Application Server, Network Deployment, pulse Administración del sistema > Gestor de despliegue > Servicios de administración > Conectores JMX > Conector SOAP > Propiedades personalizadas > sslConfig.
Los conjuntos de repertorios SSL se configuran mediante los diálogos de instalación de z/OS. Estos diálogos se configuran para hacer referencia a conjuntos de claves SAF y a archivos que se rellenan mediante el proceso de personalización al generar mandatos RACF.Tabla 1. Los repositorios SSL que configuran los diálogos instalación de z/OS. En esta tabla se muestran los repertorios SSL que se configuran mediante los diálogos de instalación de z/OS.
Nombre de repertorio Tipo Uso por omisión NodeDefaultSSLSettings
JSSE
(Sólo base) Configuración para conector JMX SOAP, cliente SOAP, transporte HTTP del contenedor web
CellDefaultSSLSettings
JSSE
(Sólo Network Deployment) Configuración para conector JMX SOAP, cliente SOAP, transporte HTTP del contenedor web
DefaultIIOPSSL
SSSL
Se utiliza sólo si está habilitado DAEMON SSL
No es necesaria ninguna acción adicional si estos valores son suficientes para sus necesidades. Si desea crear o modificar estos valores, debe asegurarse de que se han creado los archivos de almacén de claves a los que hacen referencia.
- Pulse Seguridad > Seguridad global para configurar
el resto de los valores de seguridad y habilitar la seguridad. Para obtener información sobre estos valores, consulte
Valores de seguridad global.
Para obtener información adicional, consulte Servidor y la seguridad administrativa.
- Valide la configuración de seguridad completada pulsando Aceptar o Aplicar. Si se han producen problemas, se muestran en rojo.
- Si no hay ningún problema de validación, pulse Guardar para guardar los valores en un archivo que el servidor utiliza cuando se reinicia. La acción de guardar graba los valores en el repositorio de configuración.
Importante: Si no pulsa Aplicar ni Aceptar en el panel Seguridad global antes de pulsar Guardar, los cambios no se grabarán en el repositorio. Al iniciar la consola administrativa, debe reiniciarse el servidor para que los cambios tengan efecto.
La acción de guardar permite al gestor de despliegue utilizar los valores modificados una vez que se reinicia WebSphere Application Server. Para obtener más información, consulte el apartado Habilitación de la seguridad del dominio. La configuración de un gestor de despliegue difiere de un servidor de aplicaciones base autónomo. La configuración se almacena temporalmente en el gestor de despliegue hasta que se sincroniza con todos los agentes de nodo.
Además, asegúrese de que todos los agentes de nodo están activos y en funcionamiento en el dominio. Detenga todos los servidores de aplicaciones durante este proceso. Si por cualquier razón alguno de los agentes de nodo estuviera inactivo, será necesario ejecutar manualmente el programa de utilidad de sincronización de archivos desde la máquina agente de nodo para sincronizar la configuración de seguridad desde el gestor de despliegue. De lo contrario, el agente de nodo inactivo no se comunicará con el gestor de despliegue después de habilitar la seguridad en dicho gestor.
- Inicie la consola administrativa de WebSphere Application Server.
Inicie el gestor de despliegue y, en el navegador, escriba la dirección del servidor WebSphere Application Server, Network Deployment. Por omisión, la consola se encuentra en http://su_sistema_host.su_dominio:9060/ibm/console.
Si la seguridad está inhabilitada actualmente, inicie la sesión con cualquier ID de usuario. Si actualmente está habilitada la seguridad, inicie la sesión con un ID y una contraseña de administrador previamente definidos. Este ID es normalmente el ID de usuario de servidor especificado al configurar el registro de usuario.
Subtopics
Seguridad administrativa
La seguridad administrativa determina si se utiliza seguridad alguna, el tipo de registro en el que tiene lugar la autenticación y otros valores, muchos de los cuales actúan como valores predeterminados. Se debe planificar antes, ya que si no se habilita correctamente la seguridad administrativa, se puede bloquear la consola administrativa o provocar la terminación anormal del servidor.Consideraciones acerca de la seguridad en un entorno de WebSphere Application Server WebSphere Application Server, Network Deployment de varios nodos
WebSphere Application Server, Network Deployment da soporte a una gestión centralizada de nodos distribuidos y servidores de aplicaciones. Este soporte esencialmente implica complejidad, en especial cuando se incluye la seguridad. Puesto que todo se distribuye, la seguridad representa un rol todavía más importante al garantizar que las comunicaciones se protegen adecuadamente entre los servidores de aplicaciones y los agentes de nodos, y entre los agentes de nodos (un gestor de configuración específico de nodos) y el gestor de despliegue (el gestor de configuración centralizado de todo el dominio).Seguridad de las aplicaciones
La seguridad de aplicaciones habilita la seguridad de las aplicaciones de su entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.Seguridad Java 2
La seguridad de Java 2 proporciona un mecanismo de control de acceso muy preciso y basado en políticas que aumenta la integridad global del sistema comprobando los permisos antes de ofrecer acceso a determinados recursos protegidos del sistema. La seguridad de Java 2 protege el acceso a los recursos del sistema, como por ejemplo, la E/S de archivos, sockets y propiedades. La seguridad J2EE (Java 2 Platform, Enterprise Edition) protege el acceso a recursos web como por ejemplo, servlets, archivos JSP (JavaServer Pages) y métodos EJB (Enterprise JavaBeans).Habilitación de la seguridad del dominio
Utilice este tema para habilitar la seguridad de IBM WebSphere Application Server. Debe habilitar la seguridad administrativa para que todos los demás valores de seguridad funcionen.Configuración del soporte de seguridad de Java Servlet 3.1
WebSphere Application Server tradicional admite todas las actualizaciones de seguridad que se definen en la especificación Java Servlet 3.1.Comprobación de la seguridad después de habilitarla
Existen comprobaciones básicas que muestran si los componentes de seguridad principales funcionan correctamente. Utilice esta tarea para validar la configuración de seguridad.Asistente de configuración de seguridad
El Asistente de configuración de seguridad le guía por el proceso de completar los requisitos básicos para asegurar el entorno de servicio de aplicaciones.Informe de configuración de seguridad
El informe de configuración de seguridad reúne y muestra los valores de seguridad actuales del servidor de aplicaciones. Se reúne información sobre los valores de seguridad principal, los usuarios y grupos administrativos, los roles de denominación CORBA y la protección de cookies. Cuando se configuran varios dominios de seguridad, cada dominio de seguridad tiene su propio informe con un subconjunto de las secciones que se muestran en el informe de seguridad global que se aplican al dominio.Adición de una nueva propiedad personalizada en una configuración de seguridad global o en una configuración de dominio de seguridad
Propiedades personalizadas son pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. La definición de una propiedad nueva permite configurar valores que no están disponibles en la consola administrativa. Puede añadir nuevas propiedades personalizadas de seguridad en una configuración de seguridad o en una configuración de dominio de seguridad.Modificación de una propiedad personalizada existente en una configuración de seguridad global o en una configuración de dominio de seguridad
Las propiedades personalizadas son pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. La definición de una propiedad nueva permite configurar valores que no están disponibles en la consola administrativa. Puede modificar propiedades personalizadas de seguridad existentes en una configuración de seguridad global o en una configuración de dominio de seguridad.Supresión de una propiedad personalizada existente en una configuración de seguridad global o en una configuración de dominio de seguridad
Las propiedades personalizadas son pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. La definición de una propiedad nueva permite configurar valores que no están disponibles en la consola administrativa. Puede suprimir propiedades personalizadas de seguridad existentes en una configuración de seguridad global o en una configuración de dominio de seguridad.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
File name: tsec_csec2.html