Configuración de la correlación de identidad de salida con un reino de destino
De manera predeterminada, cuando WebSphere Application Server realiza una solicitud de salida de un servidor a otro en un reino de seguridad distinto, se rechaza la solicitud. Este tema describe las alternativas para habilitar un servidor para que envíe solicitudes de salida a un servidor de destino de un reino distinto.
Acerca de esta tarea
Procedimiento
- No realice ninguna correlación. En su lugar, permita que la
información de seguridad existente fluya a un servidor de destino de
confianza, incluso si el servidor de destino reside en un reino distinto. Complete los pasos siguientes en la consola administrativa:
- Pulse Seguridad > Seguridad global.
- En Seguridad RMI/IIOP, pulse Autenticación de salida CSIv2.
- Especifique los reinos de destino en el campo Reinos destino de confianza. Puede especificar todos los reinos de destino de confianza que estén separados por un carácter de barra vertical (|). Por ejemplo, especifique nombre_servidor.domain:número_puerto para el servidor LDAP (Lightweight Directory Access Protocol) o el nombre de máquina para el sistema operativo local. Si desea propagar los atributos de seguridad a un reino de destino distinto, debe especificar dicho reino de destino en el campo Reinos destino de confianza.
- Utilice la configuración de inicio de sesión de la aplicación
WSLogin de JAAS
(Java™
Authentication and Authorization Service) para crear un sujeto de
autenticación básica que contenga las credenciales del nuevo reino
de destino. Esta configuración le permite iniciar la sesión con un reino, ID de usuario y
contraseña específicos del registro de usuario del reino de destino. Puede proporcionar la información de inicio de sesión desde dentro de la
aplicación Java
EE (Java
Platform, Enterprise Edition) que realiza la solicitud de salida
o desde dentro de la configuración de inicio de sesión del sistema
RMI_OUTBOUND.
Estas dos opciones de inicio
de sesión se describen en la información siguiente:
- Utilice la configuración de inicio de sesión de la aplicación WSLogin desde dentro de la aplicación Java EE para iniciar sesión y obtener un sujeto que contenga el ID de usuario y la contraseña del reino de destino. A continuación, la aplicación puede envolver la llamada remota con una llamada WSSubject.doAs. Para obtener un ejemplo, consulte Ejemplo: utilización de la configuración de WSLogin para crear un asunto de autenticación básico.
- Utilice el ejemplo de código que aparece en
Ejemplo: utilización de la configuración de WSLogin para crear un asunto de autenticación básico
desde este punto de conexión dentro de la configuración de inicio de
sesión RMI_OUTBOUND. Todas las solicitudes RMI (Remote Method
Invocation) de salida pasan a través de esta configuración de inicio de
sesión cuando está habilitada. Efectúe los pasos siguientes para habilitar
y conectar esta configuración de inicio de sesión:
- Pulse Seguridad > Seguridad global.
- En Seguridad RMI/IIOP, pulse Autenticación de salida CSIv2.
- Seleccione la opción Correlación de salida personalizada. Si la opción Propagación de atributos de seguridad está seleccionada, WebSphere Application Server ya está utilizando esta configuración de inicio de sesión y no es necesario habilitar la correlación de salida personalizada.
- Escriba un módulo de inicio de sesión personalizado. Para obtener más información, consulte Desarrollo de módulos de inicio de sesión personalizados para una configuración de inicio de sesión del sistema para JAAS.
Ejemplo: Configuración de inicio de sesión de ejemplo para RMI_OUTBOUND muestra un módulo de inicio de sesión personalizado que determina si los nombres de reino coinciden. En este ejemplo, los nombres de reino no coinciden, por lo que se utiliza WSLoginmodule para crear un Subject de autenticación personalizado basado en las normas de correlación personalizadas. Las normas de correlación personalizadas son específicas del entorno del cliente y deben implementarse mediante un reino en el programa de utilidad de correlación de ID de usuario y contraseñas.
- Configure la configuración de inicio de sesión RMI_OUTBOUND para que
el nuevo módulo de inicio de sesión personalizado sea el primero de la
lista.
- Pulse Seguridad > Seguridad global.
- En Java Authentication and Authorization Service, pulse Inicios de sesión del sistema > RMI_OUTBOUND
- En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > Nuevo para añadir el módulo de inicio de sesión a la configuración de RMI_OUTBOUND.
- Vuelva al panel de módulos de inicio de sesión JAAS para RMI_OUTBOUND.
- Pulse Establecer orden para modificar el orden en que se cargan los módulos de inicio de sesión para que se cargue primero el inicio de sesión personalizado.
- Añada las opciones use_realm_callback y use_appcontext_callback
al módulo de correlación de salida de WSLogin. Para añadir estas
opciones, realice los pasos siguientes:
- Pulse Seguridad > Seguridad global.
- En Java Authentication and Authorization Service, pulse Inicios de sesión de aplicación > WSLogin.
- En Propiedades adicionales, pulse Módulos de inicio de sesión JAAS > com.ibm.ws.security.common.auth.module.WSLoginModuleImpl.
- En Propiedades adicionales, pulse Propiedades personalizadas > Nueva.
- En el panel Propiedades personalizadas, especifique use_realm_callback en el campo Nombre y true en el campo Valor.
- Pulse Aceptar.
- Pulse Nueva para especificar la segunda propiedad personalizada.
- En el panel Propiedades personalizadas, especifique use_appcontext_callback en el campo Nombre y true en el campo Valor.
<entries xmi:id="JAASConfigurationEntry_2" alias="WSLogin"> <loginModules xmi:id="JAASLoginModule_2" moduleClassName="com.ibm.ws.security.common.auth.module.proxy.WSLoginModuleProxy" authenticationStrategy="REQUIRED"> <options xmi:id="Property_2" name="delegate" value="com.ibm.ws.security.common.auth.module.WSLoginModuleImpl"/> <options xmi:id="Property_3" name="use_realm_callback" value="true"/> <options xmi:id="Property_4" name="use_appcontext_callback" value="true"/> </loginModules> </entries>
Subtopics
Ejemplo: utilización de la configuración de WSLogin para crear un asunto de autenticación básico
Este ejemplo muestra cómo utilizar la configuración de inicio de sesión de aplicación WSLogin desde una aplicación J2EE (Java 2 Platform, Enterprise Edition) para iniciar la sesión y obtener un asunto que contiene el ID de usuario y la contraseña del dominio de destino.Ejemplo: Configuración de inicio de sesión de ejemplo para RMI_OUTBOUND
Este ejemplo muestra una configuración de conexión de ejemplo para RMI_OUTBOUND que determina si los nombres de dominio coinciden en dos servidores.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_outbdiffrealm
File name: tsec_outbdiffrealm.html