![[z/OS]](../images/ngzos.gif)
Consideraciones de seguridad para WebSphere Application Server for z/OS
Funciones soportadas en WebSphere Application Server para z/OS
WebSphere Application Server para z/OS soporta las funciones siguientes.
Función | Información adicional |
---|---|
RunAs EJB | Para obtener más información, consulte Delegaciones. |
RunAs para servlets | Para obtener más información, consulte Delegaciones. |
Protocolos IIOP basados en SAF | Para obtener más información, consulte Configuración del cliente CSI (Common Secure Interoperability) versión 2 y SAS (Security Authentication Service). |
Recursos de conector z/OS | Para obtener más información, consulte Servicios de recuperación de recursos (RRS). |
Seguridad administrativa | Para obtener más información, consulte Seguridad administrativa. |
Seguridad de las aplicaciones | Para obtener más información, consulte Seguridad de las aplicaciones. |
Seguridad Java 2 | Para obtener más información, consulte Seguridad Java 2. |
Inhabilite la seguridad | Para obtener más información, consulte Inhabilitación de la seguridad administrativa. |
Conjuntos de claves SAF | Para obtener más información, consulte Utilización de conjuntos de claves SAF (System Authorization Facility) con JSSE (Java Secure Sockets Extension). |
Funciones de autenticación | Ejemplos de funciones de autenticación: básico, certificados digitales SSL, inicio de sesión basado en formularios, restricciones de seguridad, interceptor de asociación de confianza |
Recursos de seguridad J2EE | Para obtener más información, consulte Visión general de la tarea: proteger recursos. |
Autenticación Web (LTPA) | Para obtener más información, consulte Configuración del mecanismo LTPA (Lightweight Third Party Authentication). |
IIOP utilizando LTPA | Para obtener más información, consulte LTPA (Lightweight Third Party Authentication). |
Enlaces de aplicación de WebSphere | Los enlaces de aplicación de WebSphere se pueden utilizar para proporcionar correlaciones de usuarios con roles. |
Sincronizar con hebra de OS | Para obtener más información, consulte Identidad de hebra Java y una identidad de hebra de sistema operativo. |
Registros SAF | Para obtener más información, consulte Selección de un registro o repositorio. |
Aserción de identidad | Para obtener más información, consulte Aserción de identidad. |
Protocolos de autenticación | Ejemplo: z/SAS,
CSIV2 Para obtener más información, consulte Soporte de protocolo de autenticación. |
Nivel de conformidad "0" de CSIv2 | Para obtener más información, consulte Visión general de la planificación de seguridad. |
Extensiones de WebSphere del modelo de programación JAAS | Para obtener más información, consulte Uso del modelo de programación Java Authentication and Authorization Service para la autenticación web. |
Correlación de identidad distribuida mediante SAF | Para obtener más información, consulte Correlación de identidad distribuida mediante SAF |
Todos
los WebSphere Application Server básicos proporcionan las siguientes funciones:
- Utilización de RunAs: utilice RunAs para cambiar la identidad de un llamante, un servidor o un rol. Esta designación forma parte ahora de la especificación del servlet.
- Soporte de los protocolos de autenticación IIOP basada en
SAF: WebSphere Application Server, Network Deployment utiliza SAS (Secure Authentication Service)
para la autenticación IIOP (Inter-ORB Protocol). z/OS tiene su propia versión de SAS denominada z/SAS (z/OS Secure Authentication
Services), con funciones parecidas pero mecanismos diferentes, y maneja funciones
como la seguridad local, la autorización basada en SSL (Secure Sockets Layer), la
correlación de certificados digitales con SAF (System Authorization Facility) y la
aserción de identidad SAF.Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
- Autorización basada en SAF y posibilidad RunAs: utilice perfiles SAF (EJBROLE) para la información de seguridad de delegación y permisos.
- Soporte de recursos de conector de z/OS: en lugar de utilizar un alias donde se almacena el ID de usuario y la contraseña, se pueden propagar identidades de sistema operativo local.
- Soporte de conjunto de claves SAF para HTTP e IIOP: utilice SystemSSL para HTTP, IIOP y el soporte de conjunto de claves SAF. También puede utilizar JSSE.
- Funciones de autenticación: los mecanismos de autenticación Web como, por ejemplo, la autenticación básica, los certificados digitales SSL, el inicio de sesión basado en formularios, las restricciones de seguridad y el interceptor de asociaciones de confianza, ofrecen la misma funcionalidad en la Versión 9.0 que en la versión 5.
- Autorización de recursos J2EE: la autorización de recursos Java 2 Platform, Enterprise Edition (J2EE) utiliza roles parecidos a los que se utilizan en la versión 4, y estos roles se utilizan como descriptores.
- Habilitación de seguridad: la seguridad se puede habilitar o inhabilitar de forma global. Cuando se activa el servidor siempre hay activado algún nivel de seguridad, pero la seguridad está inhabilitada hasta que el administrador la configura.
- Autenticación Web utilizando LTPA y SWAM: está soportado el
inicio de sesión único (SSO) utilizando LTPA (Lightweight Third
Party Authentication) o SWAM (or Simple WebSphere Authentication
Mechanism).Nota: SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release posterior.
- Autenticación de IIOP utilizando LTPA: está soportada la autenticación de IIOP utilizando LTPA.
- Enlaces de WebSphere Application Bindings para la autorización: ahora están soportados los enlaces de aplicación de WebSphere para la autorización.
- Sincronización con la hebra de OS: la sincronización de aplicación con la hebra de host está soportada.
- Seguridad de denominación basada en roles de J2EE: los roles de J2EE se utilizan para proteger el acceso al espacio de nombres. Los nuevos roles y tareas son cosNamingRead, cosNamingWrite, cosNamingCreate y cosNamingDelete.
- Seguridad de administración basada en roles: los roles que delimitan la
seguridad son:
- Monitor (autorización mínima y es de sólo lectura)
- Operator (puede realizar cambios en tiempo de ejecución)
- Configurator (puede supervisar y tiene privilegios de configuración)
- Administrator (autorización máxima)
- Deployer (utilizado por wsadmin para las acciones de configuración y las operaciones de tiempo de ejecución en las aplicaciones)
- Adminsecuritymanager (puede correlacionar usuarios con roles administrativos y gestionar grupos de autorización)
Para obtener más información sobre los roles administrativos, consulte Roles administrativos.
Comparación de WebSphere Application Server para z/OS con otras plataformas WebSphere Application Server
Una similitud clave:
- Modelo de seguridad conectable: el modelo de seguridad
conectable se puede autenticar en IIOP CSIv2 (Common Secure
Interoperability Version 2), la autenticación de
confianza Web, los conectores JMX (Java Management Extensions) o el modelo
de programación JAAS (Java Authentication and Authorization Service). Debe:
- Determinar qué registro es el adecuado y qué mecanismos de autenticación (señal) se necesitan
- Determinar si el registro es local o remoto, y qué autorizaciones web se deben
utilizar; las autorizaciones web pueden ser SWAM (Simple WebSphere Authentication
Mechanism) y LTPA (Lightweight Third-Party Authentication)Nota: SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release posterior.
Las diferencias clave son:
- Registros SAF: los registros del sistema operativo local proporcionan una funcionalidad superior en z/OS, ya que z/OS abarca un sysplex en lugar de un solo servidor. z/OS proporciona correlación de certificados con usuarios, autorización y funciones de delegación.
- Aserción de identidad: utilice servidores de confianza o CBIND para obtener la autorización que necesita el servidor que realiza la confirmación. Una plataforma distribuida necesita que se coloque un servidor en la lista de servidores de confianza. z/OS requiere que un ID de servidor tenga una autorización CBIND específica. Los tipos de aserción son ID de usuario SAF, Nombre distinguido (DN) y Certificado de cliente SSL.
- Protocolos de autenticación zSAS y SAS para clientes IIOP: z/SAS se diferencia de SAS, ya que da soporte a PassTickets de RACF. La capa de SAS en WebSphere Distributed utiliza interceptores portátiles CORBA (Common Object Request Broker Architecture) para implementar el Secure Association Service correspondiente, y z/OS no.
- Características CORBA: z/OS no da soporte a las interfaces de seguridad
CORBA, incluidos los modelos CORBA actuales, LoginHelper, Credentials y
ServerSideAuthenticator. Las funciones CORBA se han migrado a JAAS.
La API (interfaz de programación de aplicaciones) LoginHelp está en desuso en WebSphere Application Server Versión 9.0. Para obtener más información, consulte Migración del inicio de sesión programático CORBA (Object Request Broker Architecture) a JAAS (Java Authentication and Authorization Service) (CORBA y JAAS).
- Protocolos de autenticación: CSIv2 es una especificación OMG (Object Management Group) para z/OS Security Server y se habilita automáticamente cuando se habilita la seguridad de WebSphere. Se trata de un enfoque de tres capas que implica SSL/TLS (Secure Sockets Layer/Transport Layer Security) para la protección de mensajes, una capa de autenticación de clientes suplementaria del mecanismo de ID de usuario y contraseña GSSUP (Generic Security Services Username Password) y una capa de atributos de seguridad que utilizan los servidores medios (que deben tener una autorización especial en el servidor de destino) para la aserción de identidad.
Compatibilidad con J2EE 1.3
Ser compatible
con J2EE conlleva:
- Nivel de conformidad "0" de CSIv2: se trata de una especificación OMG (Object Management Group), relacionada con z/OS Security Server, que forma parte de lo que solía ser el soporte CORBA. CSIv2 se habilita automáticamente cuando se habilita la seguridad.
- Uso de la seguridad de Java 2: existe la "seguridad habilitada" y la "seguridad de Java 2 habilitada", y el valor predeterminado de Java2 es "activado". Esto proporciona un control de acceso de gran precisión basado en el código, por oposición a la autorización basada en el sujeto. Cada clase pertenece a un determinado dominio. Los permisos protegidos por la seguridad de Java 2 incluyen el acceso a los archivos, el acceso a la red, los sockets, la máquina virtual Java (JVM) existente, la administración de propiedades y las hebras. El gestor de seguridad es lo que utiliza Java 2 como mecanismo para gestionar la seguridad y forzar las protecciones necesarias. Las extensiones a la seguridad de Java 2 incluyen el uso de una política dinámica (basada en tipos de recursos de permisos, en lugar de basada en el código), el uso de permisos por omisión específicos definidos para los recursos en los perfiles de plantilla y el uso de archivos de filtro para inhabilitar la política.
- Uso de la programación JAAS: la programación JAAS incluye un conjunto estándar de API para la autenticación. JAAS es el mecanismo estratégico de autenticación y autorización. IBM® Developer Kit for Java Technology Edition Versión 5 se suministra con WebSphere Versión Versión 9.0, pero se proporcionan algunas extensiones.
- Uso de la función RunAs de servlets: WebSphere Application Server en las plataformas distribuidas (no la plataforma z/OS ) hace referencia a esta función como política de delegación. Puede cambiar la identidad para que se ejecute como un sistema, un llamante o un rol (usuario). Esta función forma parte ahora de la especificación del servlet. La autenticación implica el uso de un ID de usuario y una contraseña y, a continuación, la correlación del alias con el archivo XML o EJBROLE correspondiente para buscar el ID de usuario del rol RunAs.
Compatibilidad con WebSphere Application Server, Network Deployment en el nivel de API/SPI
La compatibilidad con WebSphere Application Server, Network Deployment en el nivel de la interfaz de programas de aplicación o la Interfaz de Programación de Proveedores de Servicio (API/SPI) facilita el despliegue de aplicaciones de WebSphere Application Server, Network Deployment en z/OS.
Las características mejoradas o en desuso por WebSphere Application Server, Network Deployment también están
mejoradas o en desuso en z/OS. No obstante, esto no significa que no exista ninguna migración para los
clientes z/OS. La compatibilidad con WebSphere WebSphere Application Server, Network Deployment en el nivel API/SPI incluye:
- Extensiones de WebSphere Application Server al nivel de programación JAAS: el modelo de autorización es una extensión del modelo de seguridad de Java 2 para la programación JAAS (para que funcione con el modelo J2EE). La autorización basada en sujetos se realiza en ID de usuario autenticados. En lugar de iniciar simplemente una sesión con un ID de usuario y una contraseña, ahora existe un proceso de inicio de sesión que incluye crear un contexto de inicio de sesión, pasar manejadores de retorno de llamada que solicitan el ID de usuario y la contraseña, e iniciar la sesión. WebSphere Application Server para z/OS proporciona el módulo de inicio de sesión, el manejador de retorno de llamada para recuperar los datos necesarios, los retornos de llamada, la opción WSSubject, getCallerSubject y getRunAsSubject.
- Uso de las API de seguridad de WebSphere Application Server: z/OS da soporte a las API de seguridad de WebSphere Application Server .
- Uso de conectores JMX seguros: los conectores JMX se pueden utilizar con credenciales de ID de usuario y contraseña. Los dos tipos de conectores son RMI y SOAP/HTTPS (y se utiliza para la administración). El conector SOAP utiliza los repertorios JSSE SSL. El conector RMI tiene las mismas ventajas y restricciones que los mecanismos IIOP (por ejemplo, CSIv2).