Configurar dominios de seguridad
Utilice esta página para configurar los atributos de seguridad de un dominio y para asignar el dominio a los recursos de célula. Para cada atributo de seguridad, puede utilizar los valores de seguridad global o personalizar valores para un dominio.
Para ver esta página de la consola administrativa, pulse
. En la página Colección de dominios de seguridad, seleccione el dominio existente que desee configurar, cree uno nuevo o copie un dominio existente.Consulte Varios dominios de seguridad para comprender mejor el significado de los distintos dominios de seguridad y la forma en que reciben soporte en esta versión de WebSphere Application Server.
Name
Especifica un nombre exclusivo para el dominio. Este nombre no se puede modificar una vez se ha enviado el formulario.
Un nombre de dominio debe ser exclusivo en una célula y no puede contener ningún carácter no válido.
Descripción
Especifica una descripción para el dominio.
Ámbitos asignados
Seleccione esta opción para visualizar la topología de la célula. Puede asignar el dominio de seguridad a toda la célula o seleccionar los clústeres, nodos y buses de integración de servicios específicos que desea incluir en el dominio de seguridad.
Si selecciona Todos los ámbitos, se visualiza toda la topología de la célula.
Si selecciona Ámbitos asignados, se visualiza la topología de célula cuyos servidores y clústeres estén asignados al dominio actual.
El nombre del dominio asignado explícitamente se muestra junto a los recursos. Los recuadros de selección indican los recursos actualmente asignados al dominio. También puede seleccionar otros recursos y pulsar Aplicar o Aceptar para asignarlos al dominio actual.
Un recurso que no esté marcado (inhabilitado) indica que no está asignado al dominio actual y que debe eliminarse de otro dominio para poderlo habilitar en el dominio actual.
Si un recurso no tiene un dominio explícitamente asignado, utiliza el dominio asignado a la célula. Si no existe ningún dominio asignado a la célula, el recurso utiliza valores globales.
Los miembros de clúster no se pueden asignar individualmente a los dominios; todo el clúster utiliza el mismo dominio.
Seguridad de aplicación:
Seleccione Habilitar seguridad de la aplicación para habilitar o inhabilitar la seguridad para las aplicaciones de usuario. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.
Cuando esta selección está inhabilitada, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Cuando habilite esta selección, la seguridad de Java™ EE se aplica para todos los EJB y todas las aplicaciones web del dominio de seguridad. Sólo se aplica la seguridad de Java EE cuando se habilita la seguridad global en la configuración de seguridad global, es decir, no se puede habilitar la seguridad de aplicación sin antes habilitar la seguridad global a nivel global.
Habilitar seguridad de la aplicación
Habilita la seguridad para estas aplicaciones del entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.
En releases anteriores de WebSphere Application Server, cuando un usuario habilitaba la seguridad global, se habilitaban tanto la seguridad global como la administrativa. En WebSphere Application Server Versión 6.1, la noción anterior de seguridad global se dividía en seguridad administrativa y seguridad de aplicaciones, que se habilitaban separadamente.
Como resultado de esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada por omisión. La seguridad de aplicaciones está inhabilitada por omisión. Para habilitar la seguridad de aplicaciones, debe habilitar la seguridad administrativa. La seguridad de aplicaciones sólo tiene efecto cuando la seguridad administrativa está habilitada.
Cuando esta selección está inhabilitada, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Cuando habilite esta selección, la seguridad de Java EE se aplica para todos los EJB y todas las aplicaciones web del dominio de seguridad. Sólo se aplica la seguridad de Java EE cuando se habilita la seguridad global en la configuración de seguridad global, es decir, no se puede habilitar la seguridad de aplicación sin antes habilitar la seguridad global a nivel global.
Seguridad de Java 2:
Seleccione Utilizar seguridad de Java 2 para habilitar o inhabilitar la seguridad de Java 2 a nivel de dominio o para asignar o añadir propiedades relacionadas con la seguridad de Java 2. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.
Esta opción habilita o inhabilita la seguridad de Java 2 a nivel de proceso (JVM) de forma que todas las aplicaciones (administrativas y de usuario) puedan habilitar o inhabilitar la seguridad de Java 2.
Utilizar valores de seguridad globales
Seleccione esta opción para especificar los valores de seguridad globales que se están utilizando.
Personalizar para este dominio
Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.
Utilizar la seguridad de Java 2 para restringir a las aplicaciones el acceso a los recursos locales
Seleccione esta opción para especificar si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. De manera predeterminada, el acceso a los recursos locales no está restringido. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad de las aplicaciones está habilitada.
Si está habilitada la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y una aplicación requiere más permisos de seguridad de Java 2 de los que se conceden en la política predeterminada, es posible que la aplicación no se ejecute correctamente hasta que se concedan los permisos necesarios en el archivo app.policy o en el archivo was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl.
Avisar si se otorgan permisos personalizados a las aplicaciones
Especifica que durante el despliegue de aplicación y el inicio de aplicación, el tiempo de ejecución de seguridad emite un aviso si se otorga a las aplicaciones cualquier permiso personalizado. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos API de Java. Los permisos API de Java son permisos en los paquetes java.* y javax.*.
El servidor de aplicaciones da soporte a la gestión de archivos de políticas. Existen varios archivos de política en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un determinado tipo de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no desea que tenga una aplicación según la especificación Java EE 1.4.
Restringir el acceso a los datos de autenticación de recursos
Esta opción está inhabilitada si no se ha habilitado la seguridad de Java 2.
- La seguridad de Java 2 se fuerza.
- Al código de aplicación se le otorga accessRuntimeClasses
WebSphereRuntimePermission en el archivo was.policy que se
encuentra en el archivo EAR (Enterprise Archive) de la aplicación. Por ejemplo, se
le otorga permiso al código de aplicación cuando la siguiente línea se encuentra
en el archivo was.policy:
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
La opción Restringir el acceso a los datos de autenticación de recursos añade la comprobación precisa de permisos de seguridad de Java 2 a la correlación de principales predeterminada de la implementación WSPrincipalMappingLoginModule. Debe otorgar el permiso explícito a las aplicaciones Java EE (Java Platform, Enterprise Edition) que utilicen la implementación WSPrincipalMappingLoginModule directamente en el inicio de sesión JAAS (Java Authentication and Authorization Service) cuando las opciones Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y Restringir el acceso a los datos de autenticación de recursos estén habilitadas.
Información | Valor |
---|---|
Valor predeterminado: | Inhabilitado |
Reino de usuario:
Esta sección permite configurar el registro de usuarios para el dominio de seguridad. Puede configurar por separado cualquier registro que se utilice en el nivel de dominio.
Al configurar un registro a nivel de dominio, se puede optar por definir un nombre de reino propio para el registro. El nombre de reino diferencia a los registros de usuarios entre sí. El nombre de reino se utiliza en varios lugares: en el panel de inicio de sesión del cliente de Java para hacer solicitudes al usuario, en la memoria caché de autenticación, y al utilizar la autorización nativa.
A nivel de la configuración global, el sistema crea el reino para el registro de usuarios. En releases anteriores de WebSphere Application Server, sólo se configura un registro de usuarios en el sistema. Si dispone de varios dominios de seguridad, puede configurar varios registros en el sistema. Para que los reinos sean exclusivos en estos dominios, configure su nombre de reino propio para un dominio de seguridad. También puede optar por que el sistema cree un nombre de reino exclusivo si está seguro que debe serlo. En este último caso, el nombre de reino se basa en el registro que se está utilizando.
Asociación de confianza:
Seleccione esta opción para especificar los valores de la asociación de confianza. La asociación de confianza se utiliza para conectar servidores proxy inversos con los servidores de aplicaciones.
La asociación de confianza permite integrar la seguridad de IBM® WebSphere Application Server con los servidores de seguridad de terceros. En concreto, un servidor proxy inverso puede actuar como servidor de autenticación frontal mientras el producto aplica su propia política de autorización a las credenciales resultantes que pasa el servidor proxy.
Los interceptores de asociación de confianza de Tivoli Access Manager sólo se pueden configurar a nivel global. La configuración de dominio también puede utilizarlos, pero la versión de su interceptor de asociación de confianza no puede ser diferente. Sólo puede existir una instancia de interceptores de asociación de confianza de Tivoli Access Manager en el sistema.
Interceptores
Seleccione esta opción para acceder o especificar la información de confianza para servidores proxy inversos.
Habilitar asociación de confianza
Seleccione esta opción para habilitar la integración de la seguridad de IBM WebSphere Application Server y los servidores de seguridad de otros fabricantes. En concreto, un servidor proxy inverso puede actuar como servidor de autenticación frontal mientras el producto aplica su propia política de autorización a las credenciales resultantes que pasa el servidor proxy.
Autenticación web SPNEGO:
Especifica los valores de SPNEGO (Simple and Protected GSS-API Negotiation) como mecanismo de autenticación web.
La autenticación web SPNEGO, que permite configurar SPNEGO para la autenticación de recursos web, se puede configurar a nivel de dominio.
Seguridad RMI/IIOP:
Especifica los valores de RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).
Un Object Request Broker (ORB) gestiona la interacción entre clientes y servidores utilizando el protocolo IIOP (Internet InterORB Protocol). Éste permite a los clientes formular solicitudes y recibir respuestas de los servidores en un entorno distribuido por la red.
Cuando configura estos atributos a nivel de dominio, se copia la configuración de seguridad RMI/IIOP a nivel global para mayor comodidad. Puede cambiar los atributos que deban ser distintos a nivel de dominio. Los valores de la capa de transporte para las comunicaciones de entrada CSIv2 deben ser los mismos para el nivel global y el nivel de dominio. Si son diferentes, se aplican los atributos a nivel de dominio en todas las aplicaciones del proceso.
Cuando un proceso se comunica con otro proceso con un reino distinto, la autenticación LTPA y las señales de propagación se propagan al servidor de sentido descendente a menos que dicho servidor figure en la lista de reinos de confianza de salida. Esto se puede hacer utilizando el enlace Reinos de autenticación de confianza - salida del panel Comunicaciones de salida CSIv2.
Comunicaciones de entrada CSIv2
Seleccione esta opción para especificar valores de autenticación para las solicitudes que recibe y envía este servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).
WebSphere Application Server le permite especificar la autenticación del protocolo IIOP (Internet Inter-ORB Protocol) para las solicitudes de autenticación de entrada y salida. Para las solicitudes de entrada, puede especificar el tipo de autenticación aceptada, como la autenticación básica.
Comunicaciones de salida CSIv2
Seleccione esta opción para especificar valores de autenticación para las solicitudes que se envían y los valores de transporte para conexiones iniciadas por el servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).
WebSphere Application Server le permite especificar la autenticación del protocolo IIOP (Internet Inter-ORB Protocol) para las solicitudes de autenticación de entrada y salida. Para las solicitudes de salida, puede especificar propiedades como, por ejemplo, el tipo de autenticación, la aserción de identidades o configuraciones de inicio de sesión que se utilizan para las solicitudes en servidores en sentido descendente.
Inicios de sesión de la aplicación JAAS
Seleccione esta opción para definir configuraciones de inicio de sesión utilizadas por JAAS.
Los inicios de sesión de aplicación JAAS, los inicios de sesión del sistema JAAS y los alias de datos de autenticación J2C de JAAS pueden configurarse a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. El tiempo de ejecución de seguridad busca primero los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS en un dominio sólo cuando deba especificar un inicio de sesión que sea utilizado exclusivamente por las aplicaciones del dominio de seguridad.
Sólo en el caso de las propiedades JAAS y personalizadas, una vez que se han personalizado los atributos globales para un dominio, pueden seguir siendo utilizados por las aplicaciones de usuario.
No elimine las configuraciones de inicio de sesión ClientContainer, DefaultPrincipalMapping y WSLogin puesto que otras aplicaciones las pueden estar utilizando. Si se eliminan estas configuraciones, podría causar anomalías en otras aplicaciones.
Utilizar inicios de sesión globales y específicos de dominio
Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.
Inicios de sesión del sistema JAAS:
Especifica los valores de configuración para los inicios de sesión del sistema JAAS. Puede utilizar los valores de seguridad global o personalizar los valores de configuración de un dominio.
Inicios de sesión de sistema
Seleccione esta opción para definir las configuraciones de inicios de sesión JAAS que utilizan los recursos del sistema, incluidos el mecanismo de autenticación, la correlación de principales y la correlación de credenciales.
Datos de autenticación J2C JAAS:
Especifica los valores para los datos de autenticación J2C JAAS. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.
Las entradas de datos de autenticación del conector Java 2 Platform, Enterprise Edition (Java EE) se utilizan en los adaptadores de recursos y los orígenes de datos JDBC (Java DataBase Connectivity).
Utilizar entradas globales y específicas de dominio
Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.
Java Authentication SPI (JASPI)
Especifica los valores de configuración de un proveedor de autenticación JASPI (Java Authentication SPI) y los módulos de autenticación asociados. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio. Para configurar los proveedores de autenticación JASPI para un dominio, seleccione Personalizar para este dominio y habilite JASPI. Seleccione Proveedores para crear o editar un proveedor de autenticación JASPI.
Atributos de mecanismo de autenticación:
Especifica los distintos valores de memoria caché que deben aplicarse a nivel de dominio.
- Valores de memoria caché de autenticación - utilice esta opción para especificar los valores de memoria caché de autenticación. La configuración especificada en este panel sólo se aplica a este dominio.
- Tiempo de espera LTPA - Puede configurar un valor de tiempo de espera LTPA diferente a nivel de dominio. El valor de tiempo de espera predeterminado es 120 minutos, que se establece a nivel global. Si se establece el tiempo de espera LTPA a nivel de dominio, cualquier señal que se cree en el dominio de seguridad cuando se acceda a aplicaciones de usuario se creará con este tiempo de caducidad.
- Utilizar nombres de usuarios calificados por reino - Cuando se habilita esta selección, los nombres de usuario devueltos por los métodos como getUserPrincipal( ) se califican con el reino de seguridad (registro de usuarios) que utilizan las aplicaciones del dominio de seguridad.
Proveedor de autorización:
Especifica los valores de proveedor de autorización. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.
Puede configurar a nivel de dominio un proveedor de JACC (Java Authorization Contract for Containers) externo de otra empresa. El proveedor JACC de Tivoli Access Manager sólo se puede configurar a nivel global. Los dominios de seguridad lo podrán seguir utilizando si no alteran temporalmente el proveedor de autorización con otro proveedor de JACC o con la autorización nativa incorporada.
Seleccione Autorización predeterminada o Autorización externa utilizando un proveedor JACC. El botón Configurar sólo está habilitado cuando se selecciona Autorización externa utilizando un proveedor JACC.
Para la autorización SAF (System Authorization Facility), si establece
el prefijo de perfil SAF en el nivel de dominio, se aplicará a nivel del servidor, de
manera que todas las aplicaciones (tanto las administrativas como las de usuario) la
habilitarán o la inhabilitarán en dicho servidor.
![[z/OS]](../images/ngzos.gif)
Habilitar el servidor de aplicaciones y la sincronización de la identidad de hebra de z/OS
Seleccione esta opción para indicar si una identidad de hebra del sistema operativo se habilita para la sincronización con la identidad de plataforma Java EE (Java Enterprise Edition) que se utiliza durante la ejecución del servidor de aplicaciones si se ha codificado una aplicación para solicitar esta función.
La sincronización de la identidad del sistema operativo con la identidad Java EE hace que la identidad del sistema operativo se sincronice con el emisor autenticado o la identidad RunAs delegada en un servlet o archivo EJB (Enterprise JavaBeans). Esta sincronización o asociación significa que se utiliza la identidad de rol de seguridad o emisor en lugar de la identidad de región de servidor para las solicitudes de servicio del sistema z/OS como el acceso a archivos.
Si este valor se establece a nivel de dominio, se aplica a nivel de servidor de manera que todas las aplicaciones (tanto las administrativas como las de usuario) lo habilitarán o lo inhabilitarán en dicho servidor.
Propiedades personalizadas
Seleccione esta opción para especificar pares de datos de nombre-valor, en los que el nombre es una clave de propiedad y el valor es una serie.
Establezca propiedades personalizadas a nivel de dominio que sean nuevas o distintas de las del nivel global. De manera predeterminada, todas las aplicaciones del sistema pueden acceder a todas las propiedades personalizadas en la configuración de seguridad global. El código de tiempo de ejecución de seguridad busca primero la propiedad personalizada a nivel de dominio. Si no la encuentra, intenta obtenerla de la configuración de seguridad global.
Enlaces de servicios web
Pulse Enlaces de conjuntos de políticas predeterminadas para establecer el proveedor predeterminado del dominio y los enlaces de cliente.