Configuración de varios dominios de seguridad
De manera predeterminada, todas las aplicaciones administrativas y aplicaciones de usuario de WebSphere Application Server utilizan la configuración de seguridad global. Por ejemplo, un registro de usuarios definido en la seguridad global se utiliza para autenticar a los usuarios en cada aplicación de la célula. Este comportamiento es el mismo que el de los releases anteriores de WebSphere Application Server. Puede crear dominios de seguridad WebSphere adicionales si desea especificar distintos atributos de seguridad para algunas de las aplicaciones de usuario, o para todas ellas. En esta sección se describe cómo configurar un dominio de seguridad utilizando la consola administrativa.
Antes de empezar
Consulte Varios dominios de seguridad para comprender mejor el significado de los distintos dominios de seguridad y la forma en que reciben soporte en esta versión de WebSphere Application Server.
Acerca de esta tarea
Los dominios de seguridad le permiten definir varias configuraciones de seguridad para utilizarlas en el entorno. Por ejemplo, puede definir distintas configuraciones de seguridad (como un registro de usuarios distinto) para las aplicaciones de usuario y las aplicaciones administrativas. También puede definir distintas configuraciones de seguridad para las aplicaciones de usuario desplegadas en distintos servidores y clústeres.

Realice los pasos siguientes para configurar un nuevo dominio de seguridad utilizando la consola de administración:
Procedimiento
- Pulse Seguridad > Dominios de seguridad.
- Si va a crear varios dominios de seguridad nuevos, pulse Nuevo. Asigne un nombre exclusivo y una descripción para el dominio y pulse Aplicar. Si desea configurar varios dominios de seguridad existentes, seleccione uno para editarlo. Cuando pulse Aplicar, se mostrará el nombre de dominio y las secciones adicionales. Una sección permite definir los atributos de seguridad para el dominio, y otra sección permite seleccionar los ámbitos a los que se aplica el dominio.
- En Ámbitos asignados, seleccione si desea asignar el dominio de seguridad a toda la
célula o si desea seleccionar los servidores específicos, los clústeres y los buses de
integración de servicios de modo que se incluyan en el dominio de seguridad. La sección Ámbitos asignados tiene dos vistas. La vista por
omisión es una topología de célula. Para asignar el dominio de seguridad
a toda la célula, pulse el recuadro de selección de la célula y después
pulse Aplicar o Aceptar.
El nombre del dominio de seguridad aparece junto al nombre de la célula, lo que indica que el dominio está ahora asignado a la célula. Puede ampliar la topología y asignar el dominio a uno o más servidores y clústeres. Cuando un elemento de la topología ya está asignado a otro dominio de seguridad, el recuadro de selección está inhabilitado y el nombre del dominio asignado aparece junto al nombre de ámbito. Si desea asignar uno de estos ámbitos al dominio, primero debe desasociarlo de su dominio actual.
Seleccione Todos los ámbitos asignados para ver una lista que contiene sólo los recursos que están asignados actualmente al dominio de seguridad.
- Personalice la configuración de seguridad especificando
atributos de seguridad para el nuevo dominio. Los atributos
que no están listados no se pueden personalizar a nivel de dominio. Los
dominios heredan atributos de la configuración de seguridad global.
Existen doce secciones de atributos de seguridad que se configuran individualmente. Puede expandir y contraer cada sección. En el estado contraído, se visualiza el nombre y un valor de resumen para la sección. Adicionalmente, el texto de valor de resumen indica si el atributo está definido en la seguridad global y si el dominio lo reutiliza (como indica el texto gris) o si está personalizado para el dominio (como indica el texto negro que tiene como prefijo la palabra “Personalizado”).
Inicialmente, cada atributo de seguridad se establece para utilizar los valores de seguridad global. Cuando un atributo está establecido para utilizar la seguridad global, no hay ninguna configuración específica de dominio para ese atributo. Las aplicaciones que utilizan el dominio utilizan la configuración global para estos atributos de seguridad.
Configure únicamente los atributos de seguridad que desea cambiar. Para configurar un atributo de seguridad para un dominio, expanda la sección de atributos de seguridad. Las propiedades clave de la configuración global se muestran debajo de la opción Utilizar seguridad global. Estas propiedades se proporcionan para su comodidad.
Para personalizar la configuración del dominio, seleccione Personalizar para este dominio. Configure la propiedad y pulse Aceptar o Aplicar.Nota: En general, cuando se selecciona Personalizar para este dominio se alteran temporalmente todas las configuraciones de seguridad definidas para esa sección en la seguridad global. Los inicios de sesión de la aplicación, inicios de sesión del sistema y entradas de datos de autenticación de J2C son algunas excepciones. Cuando se definen entradas para un dominio, las aplicaciones de dicho dominio pueden acceder a las entradas globales además de las entradas específicas de dominio.Por ejemplo, es posible que desee utilizar un registro de usuarios diferente para las aplicaciones que utilizan el dominio de seguridad pero que también desee utilizar la configuración de seguridad global para el resto de propiedades de seguridad. En este caso, expanda la sección Reino de usuario y seleccione Personalizar para este dominio. Seleccione un tipo de registro de usuarios, pulse Configurar y proporcione los detalles de configuración adecuados en el siguiente panel.
Puede cambiar los siguientes atributos de seguridad:- Seguridad de la aplicación
- Especifica los valores de seguridad de la aplicación y de la
seguridad de
Java™
2. Puede utilizar los valores de
seguridad global o personalizar los valores de un dominio.
Seleccione Habilitar seguridad de la aplicación para habilitar o inhabilitar esta opción de seguridad para las aplicaciones de usuario. Cuando esta selección está inhabilitada, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Al habilitar esta selección, la seguridad J2EE se aplica a todos los EJB y aplicaciones web del dominio de seguridad. La seguridad J2EE sólo se aplica cuando la seguridad global está habilitada en la configuración de seguridad global; es decir, no se puede habilitar la seguridad de la aplicación sin habilitar primero la seguridad global a nivel global.
- Seguridad de Java 2
- Seleccione Seguridad de Java 2 para habilitar o inhabilitar la seguridad de Java 2 a nivel de dominio. Esta opción habilita o inhabilita la seguridad de Java 2 a nivel de proceso (JVM) de forma que todas las aplicaciones (administrativas y de usuario) puedan habilitar o inhabilitar la seguridad de Java 2.
- Reino de usuario
Esta sección permite configurar el registro de usuarios para el dominio de seguridad. Puede configurar separadamente cualquier registro que se utilice a nivel de dominio. Consulte Varios dominios de seguridad para obtener más información.
- Asociación de confianza
- Cuando se configura el interceptor de asociación de confianza (TAI) a un nivel de dominio, los interceptores configurados a nivel global se copian en el nivel de dominio por comodidad. Puede modificar la lista de interceptores a nivel de dominio para adaptarla a sus necesidades. Configure solamente los interceptores que se utilizarán a nivel de dominio.
- Autenticación Web SPNEGO
- La autenticación web SPNEGO, que permite configurar SPNEGO para la autenticación de recursos web, se
puede configurar a nivel de dominio.Nota: En WebSphere Application Server Versión 6.1, se ha introducido un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar de forma segura y autenticar solicitudes HTTP para los recursos seguros. Esta función quedó en desuso en WebSphere Application Server 7.0. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.
- Seguridad RMI/IIOP
El atributo de seguridad RMI/IIOP hace referencia a las propiedades del protocolo CSIv2 (Common Secure Interoperability Versión 2). Cuando configura estos atributos a nivel de dominio, se copia la configuración de seguridad RMI/IIOP a nivel global para mayor comodidad.
Puede cambiar los atributos que deban ser distintos a nivel de dominio. Los valores de la capa de transporte para las comunicaciones de entrada CSIv2 deben ser los mismos para el nivel global y el nivel de dominio. Si son diferentes, los atributos de nivel de dominio se aplicarán a todas las aplicaciones en el proceso.
- Inicios de sesión de la aplicación JAAS
- Especifica los valores de configuración para los inicios de sesión
de la aplicación JAAS
(Java
Authentication and Authorization Service). Puede utilizar los valores de
seguridad global o personalizar los valores de un dominio. Nota: Los inicios de sesión de la aplicación JAAS, inicios de sesión del sistema JAAS y alias de datos de autenticación JAAS J2C se pueden configurar a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. El tiempo de ejecución de seguridad busca primero los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS en un dominio sólo cuando deba especificar un inicio de sesión que sea utilizado exclusivamente por las aplicaciones del dominio de seguridad.
- Inicios de sesión del sistema JAAS
- Especifica los valores de configuración para los inicios de sesión del sistema JAAS. Puede utilizar los valores de seguridad global o personalizar los valores de configuración de un dominio.
- Autenticación J2C JAAS
- Especifica los valores de configuración para los datos de autenticación J2C JAAS. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.
- Java Authentication SPI (JASPI)
Especifica los valores de configuración de un proveedor de autenticación JASPI (Java Authentication SPI) y los módulos de autenticación asociados. Puede utilizar los valores de seguridad global o personalizar los valores de un dominio. Para configurar los proveedores de autenticación JASPI para un dominio, seleccione Personalizar para este dominio y habilite JASPI. Seleccione Proveedores para definir los proveedores del domino.
Nota: El proveedor de autenticación JASPI se puede habilitar con proveedores configurados a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los proveedores de autenticación JASPI configurados a nivel global. El tiempo de ejecución de seguridad primero comprueba los proveedores de autenticación JASPI a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure proveedores de autenticación JASPI en un dominio sólo cuando el proveedor vaya a ser utilizado exclusivamente por las aplicaciones de ese dominio de seguridad.
- Atributos del mecanismo de autenticación
Especifica los distintos valores de memoria caché que deben aplicarse a nivel de dominio.
Seleccione Valores de memoria caché de autenticación para especificar los valores de memoria caché de autenticación. La configuración especificada en este panel sólo se aplica a este dominio.
Seleccione Tiempo de espera LTPA para configurar un valor de tiempo de espera LTPA diferente a nivel de dominio. El valor de tiempo de espera predeterminado es 120 minutos, que se establece a nivel global. Si se establece el tiempo de espera LTPA a nivel de dominio, cualquier señal que se cree en el dominio de seguridad cuando se acceda a aplicaciones de usuario se creará con este tiempo de caducidad.
Si la opción Utilizar nombres de usuario cualificados para reino está habilitada, los nombres de usuario devueltos por métodos como getUserPrincipal( ) se cualificarán con el reino de seguridad (registro de usuarios) utilizado por las aplicaciones en el dominio de seguridad.
- Proveedor de autorización
Puede configurar a nivel de dominio un proveedor de JACC (Java Authorization Contract for Containers) externo de otra empresa. El proveedor JACC de Tivoli Access Manager sólo se puede configurar a nivel global. Los dominios de seguridad lo podrán seguir utilizando si no alteran temporalmente el proveedor de autorización con otro proveedor de JACC o con la autorización nativa incorporada.
También puede configurar las opciones de autorización SAF a nivel de dominio de seguridad, que son las siguientes:
- El ID de usuario autenticado
- El correlacionador de perfiles SAF
- Posibilidad de habilitar la delegación SAF
- Si se debe utilizar el perfil APPL para restringir el acceso a WebSphere Application Server
- Posibilidad de suprimir los mensajes de error de autenticación
- La estrategia de registro de auditoría SMF
- El prefijo de perfil SAF
Para obtener más información sobre las opciones de autorización SAF, consulte Autorización SAF (System Authorization Facility) de z/OS.
- Opciones de seguridad de z/OS
- Puede establecer opciones de seguridad específicas de z/OS a nivel de proceso (JVM) para que todas las aplicaciones (administrativas y de usuario) puedan habilitar o inhabilitar estas opciones. Estas propiedades son:
- Habilitación del servidor de aplicaciones y de la sincronización de identidad de hebra de z/OS
- Habilitación de la identidad de hebra RunAs del gestor de conexiones.
Para obtener más información sobre las opciones de seguridad de z/OS, consulte Opciones de seguridad de z/OS.
- Propiedades personalizadas
- Establezca propiedades personalizadas a nivel de dominio que sean nuevas o distintas de las del nivel global. De manera predeterminada, todas las aplicaciones de la célula pueden acceder a todas las propiedades personalizadas de la configuración de seguridad global. El código de tiempo de ejecución de seguridad busca primero la propiedad personalizada a nivel de dominio. Si no la encuentra, intenta obtenerla de la configuración de seguridad global.
- Una vez que haya configurado los atributos de seguridad y asignado el dominio a uno o más ámbitos, pulse Aplicar o Aceptar.
- Reinicie todos los servidores y clústeres para que los cambios tengan efecto.
Subtopics
Varios dominios de seguridad
Los dominios de seguridad de WebSphere proporcionan la flexibilidad para utilizar diferentes configuraciones de seguridad en WebSphere Application Server. El dominio de seguridad de WebSphere (WSD) también se conoce como varios dominios de seguridad o, simplemente, como dominios de seguridad. Puede configurar diferentes atributos de seguridad, como por ejemplo UserRegistry, para diferentes aplicaciones.Creación de varios dominios de seguridad nuevos
Puede crear varios dominios de seguridad en la configuración. Mediante la creación de varios dominios de seguridad, puede configurar distintos atributos de seguridad para aplicaciones administrativas y de usuario en un entorno de célula.Supresión de varios dominios de seguridad
Puede suprimir varios dominios de seguridad de la configuración. Antes de suprimir los dominios de seguridad, debe eliminar los recursos que tienen asignados. Elimine sólo los dominios de seguridad que no sean necesarios en la configuración de seguridad.Copia de varios dominios de seguridad
Puede copiar varios dominios de seguridad seleccionados de la colección de dominios para crear un nuevo dominio. Esto es útil si desea crear un dominio similar a un dominio anterior. No obstante, es posible que desee realizar algunos ligeros ajustes. Cuando copie un dominio existente, debe asignar un nombre de dominio exclusivo al nuevo dominio.Configuración de reinos de confianza de entrada para varios dominios de seguridad
Puede configurar los reinos a los que otorgar confianza de entrada para varios dominios de seguridad. La relación de confianza entre reinos se utiliza al comunicar con señales LTAP (Lightweight Third-Party Authentication). Una vez que el servidor de recepción descifra una señal LTPA, se comprueba el reino de la señal para ver si es de confianza. Si no lo es, falla la validación de la señal. Un reino representa un registro de usuarios en WebSphere Application Server.Configurar dominios de seguridad
Utilice esta página para configurar los atributos de seguridad de un dominio y para asignar el dominio a los recursos de célula. Para cada atributo de seguridad, puede utilizar los valores de seguridad global o personalizar valores para un dominio.Nombre de reino externo
Utilice esta página para añadir un reino de WebSphere Application Server externo a esta célula. Inicialmente, el reino no es de confianza. Utilice la página Reinos de autenticación de confianza - entrada para establecer la confianza.Confiar en todos los reinos
Utilice esta página para configurar los reinos en los que otorgar confianza de entrada o de salida.Colección de dominios de seguridad
Los dominios de seguridad proporcionan un mecanismo que permite utilizar distintos valores de seguridad para las aplicaciones administrativas y las aplicaciones de usuario. También proporcionan la capacidad de soportar múltiples valores de seguridad para que diferentes servidores de aplicaciones puedan utilizar distintos atributos de seguridad, como registros de usuarios o configuraciones de inicio de sesión.Valores de memoria caché de autenticación
Utilice esta página para especificar los valores de memoria caché de autenticación.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_config
File name: tsec_sec_domains_config.html