Mecanismo de autenticación de señales RSA
El Mecanismo de autenticación de RSA (Rivest scureidShamir Adleman) se utiliza para simplificar el entorno de seguridad para la topología de Gestión flexible. Soporta la posibilidad de registrar de forma segura y fácil servidores nuevos en la topología de Gestión flexible. Con la topología de Gestión flexible, puede someter y gestionar trabajos administrativos, local o remotamente, utilizando un gestor de trabajos que gestiona aplicaciones, realiza el mantenimiento de producto, modifica las configuraciones y controla el tiempo de ejecución de servidor de aplicaciones. El mecanismo de autenticación RSA sólo se utiliza para la autenticación administrativa de servidor a servidor, por ejemplo solicitudes de transferencia de archivos y de conector admin. Para el uso del mecanismo de autenticación RSA no se sustituye LTPA ni Kerberos por aplicaciones.
La autenticación es el proceso de establecer si un cliente es quien dice ser dentro de un contexto determinado. Un cliente puede ser un usuario final, una máquina o una aplicación. Un mecanismo de autenticación en WebSphere Application Server suele colaborar estrechamente con un registro de usuarios. El registro de usuarios es el repositorio de cuentas de grupos y usuarios que el mecanismo de autenticación consulta cuando realiza la autenticación. El mecanismo de autenticación es el responsable de crear una credencial, que es una representación interna del producto de un usuario que se ha autenticado correctamente. No todas las credenciales se crean igualmente. Las posibilidades de la credencial las determina el mecanismo de autenticación configurado.
Proceso de autenticación
El mecanismo de autenticación de señales RSA garantiza que una vez que se haya intercambiado el certificado de firmante de raíz RSA (tiempo de vida de 15 años) entre dos procesos administrativos, no será necesario sincronizar la información de seguridad entre distintos perfiles para solicitudes administrativas. El certificado personal RSA (tiempo de vida de 1 año) se utiliza para realizar operaciones criptográficas en señales RSA y puede ser verificado por la raíz RSA de larga duración. La autenticación de señales RSA es diferente de LTPA donde las claves se comparten y si uno de los lados cambia, deberán cambiar todos los lados. Puesto a que la autenticación de señales RSA se basa en la infraestructura PKI, se beneficia de la escalabilidad y capacidad de gestión de esta tecnología en una topología de gran tamaño.
Una señal RSA dispone de funciones de seguridad más avanzadas que LTPA. Esto incluye un valor nonce que hace que la señal sea de un solo uso, un breve periodo de caducidad (puesto que se trata de una señal de un único uso) y confianza, la cual se establece en el almacén de confianza RSA de destino de los certificados.
- Versión
- Nonce
- Caducidad
- Reino
- Principal
- ID de acceso
- Roles (no utilizados actualmente)
- Grupos
- Datos personalizados
import com.ibm.websphere.security.cred.WSCredential;
java.util.Properties props = new java.util.Properties();
props.setProperty("myAttribute", "myValue");
WSCredential.put ("customRSAProperties", props);
Una vez que se cree el asunto en el proceso de destino, puede obtener acceso a estos atributos del modo siguiente.java.util.Properties props = (java.util.Properties) WSCredential.get("customRSAProperties");
Estos datos se colocan en una tabla hash en el lado de destino y la tabla hash se utiliza en un inicio de sesión JAAS (Java™ Authentication and Authorization Service) para obtener un asunto en el destino que contenga los mismos atributos de la señal RSA. Una vez que el destino contenga los mismos atributos que la señal RSA, podrá tener un asunto en el lado de destino que no pertenezca al mismo reino utilizado por el destino. Para que esta autorización se lleve a cabo correctamente, deberá llevar a cabo una correlación entre reinos en la tabla de autorizaciones administrativa a menos que la identidad sea un ID de servidor de confianza.
La figura más adelante en este apartado muestra una visión general del mecanismo de autenticación de señales RSA y describe el proceso que tiene lugar cuando se envía una solicitud desde un servidor como cliente a un servidor de destino. El servidor como cliente tiene un asunto administrativo en la hebra que se utiliza como entrada para crear la señal RSA. El resto de información necesaria es un certificado público RSA del servidor de destino. Este certificado de ser recuperado realizando una solicitud MBean de “rutina de carga” al proceso de destino antes de enviar solicitudes reales. La solicitud de rutina de carga de destino recupera el certificado público del proceso de destino. Al crear una señal RSA, el objetivo principal de obtener el certificado público de destino es cifrar la clave secreta. El destino es el único que puede cifrar la clave secreta, la cual se utiliza para cifrar los datos del usuario.

La clave privada del cliente se utiliza para firmar tanto la clave secreta como los datos del usuario. La clave pública del cliente se incorpora en la señal RSA y se valida en el destino. Si la clave pública del cliente no es de confianza al realizar una llamada a las API CertPath en el destino, la validación de señales RSA no podrá continuar. Si la clave pública del cliente es de confianza, se podrá utilizar para verificar las firmas de la clave secreta y de los datos de usuario.
El objetivo básico es convertir el asunto del cliente en un asunto en el destino mediante la propagación protegida de la información necesaria. Una vez que se haya generado el asunto en el destino, se habrá completado el proceso del mecanismo de autenticación RSA.