Propagación de atributos de seguridad entre servidores de aplicaciones

Utilice la característica de propagación de atributos de seguridad de WebSphere Application Server para enviar información de atributos de seguridad relacionada con el inicio de sesión original en otros servidores mediante una señal. Este tema le ayudará a configurar WebSphere Application Server para propagar atributos de seguridad en otros servidores.

Acerca de esta tarea

Para habilitar por completo la propagación de atributos de seguridad, debe configurar los paneles de inicio de sesión único (SSO), de entrada CSIv2 (Common Secure Interoperability Version 2) y de salida CSIv2 en la consola administrativa de WebSphere Application Server. Puede habilitar sólo las partes de la propagación de atributos de seguridad que son relevantes para la configuración. Por ejemplo, puede habilitar la propagación de web, que es la propagación entre servidores de aplicaciones frontales, utilizando la técnica push (DynaCache) o pull (método remoto al servidor de origen).

También puede elegir si habilita la propagación de entrada y salida de Remote Method Invocation (RMI), lo que habitualmente se denomina propagación en sentido descendente. Normalmente, ambos tipos de propagación están habilitados para cualquier célula dada. En algunos casos, tal vez desee elegir una opción diferente para un servidor de aplicaciones específico utilizando el panel de seguridad de servidor en los valores específicos del servidor de aplicaciones.

Restricción: Para impedir que se propaguen varias veces los mismos atributos de seguridad entre los servidores de aplicaciones, WebSphere Application Server verifica que no exista una señal LTPA (Lightweight Third Party Authentication). Se pueden dar dos casos. La ausencia de la señal LTPA indica al servidor de aplicaciones que puede continuar la propagación. La presencia de la señal LTPA indica que se ha producido la propagación si se ha generado la señal LTPA dentro del clúster. No obstante, en el segundo caso, si la señal LTPA está presente pero lo ha generado un servidor fuera del clúster, por ejemplo Tivoli Access Manager, Lotus Domino o un clúster de servidores de aplicaciones diferente, los atributos de seguridad no se propagan.

Para acceder al panel de seguridad del servidor de la consola administrativa, pulse Servidores > Servidores de aplicaciones > nombre_servidor. En Seguridad, pulse Seguridad del servidor.

Complete los pasos siguientes para configurar WebSphere Application Server para la propagación de atributos de seguridad:

Procedimiento

  1. Acceda a la consola administrativa de WebSphere Application Server escribiendo http://nombre_servidor:número_puerto/ibm/console. Es posible que la dirección de la consola administrativa sea distinta, si ya ha cambiado el número de puerto previamente.
  2. Pulse Seguridad > Seguridad global.
  3. En Seguridad Web, pulse Inicio de sesión único (SSO).
  4. Opcional: Seleccione la opción Modalidad de interoperatividad si necesita interactuar con los servidores que no den soporte a la propagación de atributos de seguridad. Los servidores que no dan soportes a la propagación de atributos de seguridad reciben las señales LTPA (Lightweight Third Party Authentication) y la señal Propagation, pero ignoran la información de atributos de seguridad que no comprenden.
  5. Seleccione la opción Propagación de atributos de seguridad de entrada Web. La opción Propagación de atributos de seguridad de entrada Web habilita la propagación horizontal, que permite al símbolo SSO receptor recuperar la información de inicio de sesión del servidor de inicio de sesión original. Si no habilita esta opción, la propagación en sentido descendente puede ocurrir en el caso de que habilite la opción Propagación de atributos de seguridad en los paneles de autenticación de entrada y de salida CSIv2.

    Normalmente se habilita la opción Propagación de atributos de seguridad de entrada web si tiene que recopilar atributos de seguridad dinámica establecidos en el servidor de inicio de sesión original que no se pueden volver a generar en el nuevo servidor frontal. Estos atributos incluyen los atributos personalizados que se pueden establecer en la señal PropagationToken mediante las interfaces de programación de aplicaciones (API) com.ibm.websphere.security.WSSecurityHelper. Debe determinar si al habilitar esta opción, el rendimiento del sistema mejora o se reduce. Mientras que esta opción evita algunas llamadas de registro de usuarios remotos, la deserialización y descifrado de algunas señales puede influir en el rendimiento. En algunos casos, la propagación es más rápida especialmente si el registro de usuario crea un atasco en la topología. Se recomienda que mida el rendimiento de su entorno utilizando esta opción y prescindiendo de ella. Al probar el rendimiento, se recomienda que realice pruebas en el entorno operativo del entorno de producción típico con el número típico de usuarios exclusivos que acceden simultáneamente al sistema.

    Cuando se habilita la opción Propagación de atributos de seguridad de entrada web, los atributos de seguridad se propagan a los servidores de aplicaciones frontales. Cuando esta opción está inhabilitada, se utiliza la señal SSO para iniciar la sesión y volver a crear el sujeto del registro del usuario.

  6. Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Autenticación de entrada CSIv2. El campo Configuración de inicio de sesión especifica RMI_INBOUND como configuración de inicio de sesión utilizada para las peticiones de entrada. Para añadir módulos de inicio de sesión JAAS (Java™ Authentication and Authorization Service) personalizados, complete los pasos siguientes:
    1. Pulse Seguridad > Seguridad global. En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema. Aparecerá una lista de las configuración de inicio de sesión del sistema. WebSphere Application Server proporciona las siguientes configuraciones de inicio del sistema preconfiguradas: DEFAULT, LTPA, LTPA_WEB, RMI_INBOUND, RMI_OUTBOUND, SWAM, WEB_INBOUND, wssecurity.IDAssertion y wssecurity.Signature. No suprima estas configuraciones preconfiguradas.
      Nota: SWAM está en desuso en WebSphere Application Server Versión 9.0 y se eliminará de releases futuros.
    2. Pulse en el nombre de la configuración de inicio de sesión que desee modificar.
    3. Bajo Propiedades adicionales, pulse Módulos de inicio de sesión de JAAS. Aparecerá el panel Módulos de inicio de sesión JAAS, que enumera todos los módulos de inicio de sesión procesados en la configuración de inicio de sesión. No suprima los módulos de inicio de sesión JAAS necesarios. En su lugar, puede añadir los módulos de inicio de sesión personalizados antes o después de los módulos de inicio de sesión necesarios. Si añade módulos de inicio de sesión personalizados, no empiece sus nombres con com.ibm.ws.security.server.

      Puede especificar el orden en que se procesan los módulos de inicio de sesión pulsando Establecer orden.

  7. Seleccione la opción Propagación de atributos de seguridad en el panel de autenticación de entrada CSIv2. Al seleccionar Propagación de atributos de seguridad, el servidor anuncia a los demás servidores de aplicaciones que puede recibir atributos de seguridad propagados de otro servidor del mismo reino mediante el protocolo CSIv2 (Common Secure Interoperability versión 2).
  8. Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Autenticación de salida CSIv2. Aparecerá el panel de autenticación de salida CSIv2. El campo Configuración de inicio de sesión especifica RMI_OUTBOUND como la configuración de inicio de sesión JAAS que se utiliza para la configuración de salida. No puede modificar esta configuración de inicio de sesión. En cambio, puede personalizar esta configuración de inicio de sesión realizando los subpasos enumerados previamente para la autenticación de entrada de CSIv2.
  9. Opcional: Verifique que la opción Propagación de atributos de seguridad esté seleccionada si desea habilitar el Subject de salida y la propagación de señales de contexto de seguridad para el protocolo RMI (Remote Method Invocation). Al seleccionar esta opción, WebSphere Application Server serializa el contenido del sujeto y el contenido de PropagationToken. Después de que se han serializado los contenidos, el servidor utiliza el protocolo CSIv2 para enviar el Subject y la señal PropagationToken a los servidores de destino que dan soporte a la propagación de atributos de seguridad. Si el servidor receptor no da soporte a las señales de atributos de seguridad, WebSphere Application Server sólo envía la señal LTPA (Lightweight Third Party Authentication).
    Importante: WebSphere Application Server sólo propaga los objetos del sujeto que puede serializar. El servidor propaga los objetos personalizados de la manera más optimizada.
    Cuando la opción Propagación de atributos de seguridad está habilitada, WebSphere Application Server añade señales de marcador al sujeto para habilitar el servidor de destino con el fin de añadir atributos adicionales durante el inicio de sesión de entrada. Durante la fase de compromiso del inicio de sesión, las señales de marcador y el Subject se marcan como de sólo lectura y no se pueden modificar posteriormente.
    [z/OS]Importante: Cuando utilice la propagación de atributos de seguridad, utilice las mismas claves LTPA de todas las configuraciones de la célula.
  10. Opcional: Seleccione la opción Correlación de salida personalizada si deselecciona la opción Propagación de atributos de seguridad y desea utilizar la configuración de inicio de sesión RMI_OUTBOUND. Si no está seleccionada la opción Correlación de salida personalizada ni la opción Propagación de atributos de seguridad, WebSphere Application Server no llama a la configuración de inicio de sesión RMI_OUTBOUND. Si necesita conectar un módulo de inicio de sesión de correlación de credenciales, debe seleccionar la opción Correlación de salida personalizada.
  11. Opcional: Especifique los nombres de reino de destino en el campo Reinos destino de confianza. Al especificar estos nombres de reino, se puede enviar la información a los servidores que residen fuera del reino del servidor emisor para dar soporte a las correlaciones de salida en estos servidores en sentido descendente. Para realizar la correlación de salida a un reino distinto del actual, debe especificar el reino en este campo para poder llegar a este punto sin que se rechace la petición a causa de una discrepancia de reino. Si necesita que WebSphere Application Server propague los atributos de seguridad a otro reino cuando se envíe una solicitud, debe especificar el nombre de reino en el campo Reinos destino de confianza. De lo contrario, los atributos de seguridad no se propagan en el reino especificado. Para añadir varios reinos de destino, añada un delimitador de barra vertical (|) entre cada entrada.
  12. Opcional: Habilitar propagación para un cliente puro. Para que un cliente puro propague atributos añadidos al Subject de invocación, debe añadir la siguiente propiedad al archivo sas.client.props: com.ibm.CSI.rmiOutboundPropagationEnabled=true
    Nota: el archivo sas.client.props se encuentra en <WAS-HOME>/profiles/<NombrePerfil>/properties>.

Resultados

Después de completar estos pasos, habrá configurado WebSphere Application Server para que propague los atributos de seguridad a otros servidores.

Qué hacer a continuación

Si necesita inhabilitar la propagación de atributos de seguridad, decida si necesita inhabilitarla para el nivel de servidor o para el nivel de célula.
Atención: Los cambios en los valores del nivel de servidor alteran temporalmente los valores de la célula.
Atención: Tenga en cuenta que los valores pueden alterarse temporalmente en un dominio de seguridad.
Para inhabilitar la propagación de atributos de seguridad en el nivel de servidor, complete los pasos siguientes:
  1. Pulse Servidor > Servidores de aplicaciones > nombre_servidor.
  2. En Seguridad, pulse Seguridad de servidor.
  3. Seleccione la opción La seguridad RMI/IIOP de este servidor altera temporalmente los valores de célula.
  4. Inhabilite la propagación de atributos de seguridad para las peticiones de entrada pulsando Autenticación de entrada CSI en Propiedades adicionales y desmarque la opción Propagación de atributos de seguridad.
  5. Inhabilite la propagación de atributos de seguridad para las peticiones de salida pulsando Autenticación de salida CSI en Propiedades adicionales y desmarque la opción Propagación de atributos de seguridad.

Para inhabilitar la propagación de atributos de seguridad en el nivel de célula, deshaga todos los pasos que haya realizado para completar la propagación de atributos de seguridad en esta tarea.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablesecattprop
File name: tsec_enablesecattprop.html