WebSphere Application Server, Network Deployment da soporte a una gestión centralizada de nodos
distribuidos y servidores de aplicaciones. Este soporte esencialmente implica complejidad, en especial cuando se
incluye la seguridad. Puesto que todo se distribuye, la seguridad
representa un rol todavía más importante al garantizar que las
comunicaciones se protegen adecuadamente entre los servidores de
aplicaciones y los agentes de nodos, y entre los agentes de nodos (un
gestor de configuración específico de nodos) y el gestor de despliegue
(el gestor de configuración centralizado de todo el dominio).
Antes de empezar
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Dado que los procesos son distribuidos, debe utilizarse el mecanismo de autenticación LTPA (Lightweight Third Party Authentication). Los señales LTPA se cifran, firman y se pueden remitir a procesos
remotos.
No obstante las señales caducan. El conector
SOAP, que es el conector por omisión, se utiliza para la seguridad administrativa y no
tiene lógica de reintentos para las señales caducadas. No obstante, el protocolo no tiene
estado, por lo que se crea una nueva señal para cada solicitud si no hay suficiente
tiempo para ejecutar la solicitud en el período de tiempo que queda en la señal. Un
conector alternativo es el conector RMI con estado y que tiene alguna
lógica de reintentos para corregir señales caducadas volviendo a someter
las señales después de detectar el error. Asimismo, dado que las señales
tienen un período de caducidad específico, la sincronización de los relojes del
sistema es muy importante para el funcionamiento correcto de la validación
basada en señales. Si los relojes no están sincronizados (una diferencia entre
sí de 10 a 15 minutos), puede encontrar anomalías en la validación que no
puedan recuperarse y que podrían haberse evitado si hubieran estado
sincronizados. Verifique que la hora, la fecha y los husos horarios son los mismos para
todos los sistemas. Se acepta que los nodos estén en husos horarios distintos
siempre y cuando las horas sean las correctas entre los husos horarios (por
ejemplo, 5 PM CST = 6 PM EST, etc).
Dado que se distribuyen los procesos, debe seleccionarse un mecanismo de
autenticación que admita una señal de autenticación como LTPA
(Lightweight Third-Party Authentication). Las señales se cifran,
firman y se pueden remitir a procesos remotos. No obstante, los símbolos tienen fechas de caducidad que se
establecen en la consola administrativa de WebSphere Application Server. El conector SOAP, que es el conector por omisión, se utiliza para la
seguridad administrativa y no tiene lógica de reintentos para las señales caducadas. No
obstante, el protocolo no tiene estado, por lo que se crea una nueva
señal para cada solicitud si no hay suficiente tiempo para ejecutar la
solicitud en el período de tiempo que queda en la señal. Un conector
alternativo es el conector RMI (Remote Method Invocation) que tiene estado
y una lógica de reintentos para corregir señales caducadas mediante la
cual vuelve a someter las solicitudes una vez detectado el error. Asimismo, dado que las
señales tienen un período de caducidad específico, la sincronización de los relojes del
sistema es muy importante para el funcionamiento correcto de la validación basada en
señales. Si los relojes no están sincronizados (una diferencia entre
sí de 10 a 15 minutos), puede encontrar anomalías en la validación que no
puedan recuperarse y que podrían haberse evitado si hubieran estado
sincronizados. Verifique que la hora, la fecha y los husos horarios son los mismos para
todos los sistemas. Se acepta que los nodos estén en husos horarios distintos
siempre y cuando las horas sean las correctas entre los husos horarios (por
ejemplo, 5 PM CST = 6 PM EST, etc).
![[z/OS]](../images/ngzos.gif)
Existen consideraciones adicionales con SSL (Secure
Sockets Layer).
WebSphere Application Server para
z/OS puede utilizar conjuntos
de claves RACF (Resource
Access Control Facility) para almacenar las claves y los almacenes de confianza que se utilizan para SSL,
pero internamente se utilizan protocolos SSL diferentes. Debe asegurarse de configurar los dos:
- Un repertorio SSL del sistema para uso del contenedor web
- Un repertorio SSL de JSSE
(Java™
Secure Sockets Extension) para que lo utilice el conector HTTP de SOAP
si el conector SOAP se utiliza para solicitudes administrativas.
Compruebe que los almacenes y los almacenes de confianza que
configure se establezcan de modo que sólo confíen en los servidores con
los que se comunican. Asegúrese de que incluyan los certificados
de firmante necesarios de dichos servidores en los archivos de confianza
de todos los servidores del dominio. Al utilizar una CA (autoridad certificadora) para crear certificados
personales, es más fácil garantizar que todos los servidores confíen entre
sí si se tiene el certificado raíz de CA en todos los firmantes.
La Herramienta de gestión de perfiles de
WebSphere z/OS o el
mandato zpmt utiliza la misma entidad emisora de certificados para generar
certificados para todos los servidores de una célula dada, incluidos los de los agentes
del nodo y los del gestor de despliegue.
Acerca de esta tarea
Considere los siguientes aspectos cuando utilice o planifique un entorno
WebSphere Application Server, Network Deployment.
Procedimiento
- Al intentar ejecutar mandatos de gestión de sistema como el mandato stopNode, especifique de forma explícita las credenciales
administrativas para realizar la operación. La mayoría de mandatos aceptan los parámetros –user y –password para especificar el ID de usuario y la contraseña, respectivamente. Especifique el ID de usuario y la
contraseña de un usuario administrativo; por ejemplo, un usuario que es
miembro de los usuarios de la consola con privilegios de Operador o
Administrador, o bien el ID de usuario administrador configurado en el
registro de usuario. A continuación se muestra un ejemplo del
mandato stopNode:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
stopNode -username usuario -password contraseña
stopNode.sh -username usuario -password contraseña
- Verifique que la configuración de los agentes de nodos siempre está
sincronizada con el gestor de despliegue antes de iniciar o reiniciar un
nodo. Para sincronizar manualmente la configuración, emita el mandato
syncNode desde cada nodo que no esté sincronizado. Para sincronizar la configuración para los agentes de nodos que están iniciados, pulse
Administración del sistema > Nodos. Seleccione todos los nodos iniciados y, a continuación, pulse
Sincronizar.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Verifique que los relojes de todos los
sistemas están sincronizados, incluyendo la fecha y la hora. Si no lo están, las señales caducan inmediatamente cuando lleguen al servidor
de destino debido a las diferencias horarias. De forma predeterminada se utiliza UTC (Coordinated Universal
Time) y todas las demás máquinas deben tener la misma hora UTC. Consulte la documentación del sistema
operativo para obtener más información sobre cómo asegurarse de ello.
- Verifique que el período de caducidad de señales LTPA es
suficientemente largo como para poder completar la solicitud en sentido
descendente más larga. Algunas credenciales se almacenan en la memoria caché
y por lo tanto el tiempo de espera no siempre incluye la duración de la
solicitud.Específicamente para las credenciales almacenadas en la memoria caché, puede que necesite evaluar los valores para la memoria caché de seguridad (WSSecureMap) y el tiempo de espera LTPA.
- El conector administrativo que utiliza por omisión la gestión del
sistema es SOAP. SOAP es un protocolo HTTP sin estado. En la mayoría de las situaciones, este conector es suficiente. Si se encuentra con un problema utilizando el conector SOAP, es
recomendable cambiar el conector por omisión SOAP por RMI en todos los
servidores. El conector RMI utiliza CSIv2 (Common Secure Interoperability
Versión 2), un protocolo con estado e interoperativo que puede
configurarse de modo que utilice la aserción de identidad (delegación
en sentido descendente), la autenticación de la capa de mensajes
(BasicAuth o Token) y la autenticación de certificados de cliente (para el
aislamiento de confianza de servidor). Para cambiar el conector por
omisión en un servidor concreto, vaya a Servicios de
administración en Propiedades adicionales para dicho servidor.
Puede producirse el siguiente mensaje de error dentro de la
seguridad del subsistema administrativo. Este error indica que el proceso
emisor no ha proporcionado una credencial al proceso receptor. Generalmente la causa de este problema es que el proceso emisor tiene la
seguridad inhabilitada mientras que el proceso receptor la tiene
habilitada. Esta configuración indica que uno de los dos procesos no está
sincronizado con la célula. No debe afectar a la seguridad administrativa
que la seguridad de un servidor de aplicaciones específico esté
inhabilitada.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Puede producirse el siguiente mensaje de error dentro de la
seguridad del subsistema administrativo.
Este error indica que el proceso
emisor no ha proporcionado una credencial al proceso receptor. Por lo general las causas de este problema son: - El proceso emisor tiene la seguridad inhabilitada mientras que el
proceso receptor la tiene habilitada. Esta configuración indica que uno de los dos procesos no está sincronizado
con la célula. No debe afectar a la seguridad administrativa
que la seguridad de un servidor de aplicaciones específico esté
inhabilitada.
- Los relojes entre los sistemas no se
sincronizan; esto hace que las señales de credenciales se invaliden de
inmediato. Verifique que la hora, la fecha y el huso horario son
coherentes entre las dos máquinas.
Podría aparece un error parecido al
siguiente:
[9/18/02 16:48:23:859 CDT] 3b9cef35 RoleBasedAuth A CWSCJ0305I: Ha fallado la comprobación de autorización basada en roles
para el nombre de seguridad <null>, accessId NO_CRED_NO_ACCESS_ID
cuando se invocaba el método propagateNotifications:[Ljavax.management.Notification;
en el recurso NotificationService y el módulo NotificationService.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Cuando aparezca el siguiente
mensaje de error, deberá comprobar que los relojes estén sincronizados en todos
los servidores de la célula y que las configuraciones estén sincronizadas entre
todos los nodos y el gestor de despliegue. Podría aparece un error parecido al
siguiente: [9/18/02 16:48:22:859 CDT] 3bd06f34 LTPAServerObj E CWSCJ0372E: Ha fallado la validación del
símbolo.
Resultados
La comprensión correcta de las interacciones de seguridad entre
servidores distribuidos reducirá la cantidad de problemas detectados con
las comunicaciones seguras. La seguridad añade complejidad porque es necesario gestionar funciones adicionales. Para que la seguridad funcione correctamente, es necesario hacer un examen
exhaustivo durante la planificación de la infraestructura.
Qué hacer a continuación
Cuando tenga problemas de seguridad relacionados con el entorno de
WebSphere Application Server, Network Deployment, consulte
Resolución de problemas de configuraciones de seguridad para ver si puede obtener más información sobre el
problema. Cuando es
necesario efectuar un rastreo para resolver un problema porque los
servidores están distribuidos, a menudo es necesario recopilar
simultáneamente el rastreo de todos los servidores mientras se vuelve a
crear el problema. Este rastreo se puede habilitar de forma dinámica o
estática, según el tipo de problema que ocurra.