Servidor y la seguridad administrativa

El término seguridad administrativa hace referencia a proporcionar la autenticación de los usuarios que utilizan las funciones administrativas de WebSphere, el uso de SSL (Secure Sockets Layer) y la opción del repositorio de cuentas de usuario.

[z/OS]Al configurar un registro de usuarios del sistema operativo local, éste utiliza la base de datos de usuarios RACF (Resource Access Control Facility) o una que sea compatible con SAF (System Authorization Facility). La selección del registro de usuarios de Local OS como registro activo permite aprovechar las ventajas de las funciones SAF (System Authorization Facility) de z/OS directamente utilizando los principales de WebSphere Application Server:
  • Compartir identidades con otros servicios de conector de z/OS
  • Utilizar la delegación SAF, que minimiza la necesidad de almacenar ID de usuario y contraseñas en muchas ubicaciones de la configuración
  • Utilizar funciones adicionales de auditoría
Estas funciones están disponibles utilizando otros registros, pero necesitan la correlación la identidades mediante modificaciones en la configuración de inicio de sesión del sistema WebSphere Application Server y los módulos de inicio de sesión JAAS (Java™ Authentication and Authorization Service). Para obtener más información, consulte la documentación en Actualización de las configuraciones de inicio de sesión del sistema para realizar una correlación de usuarios de identidad de SAF (System Authorization Facility).

[AIX Solaris HP-UX Linux Windows][IBM i]En algunos casos, el reino puede ser el nombre de la máquina de un registro de usuarios de Local OS. En este caso, todos los servidores de aplicaciones deben residir en la misma máquina física. En otros casos, el reino puede ser el nombre de la máquina de un registro de usuarios de LDAP (Lightweight Directory Access Protocol). Como LDAP es un registro de usuarios distribuido, esto permite tener una configuración de varios nodos en un entorno de WebSphere Application Server, Network Deployment. El requisito básico de un dominio de seguridad es que el ID de acceso devuelto por el registro desde un servidor dentro del dominio de seguridad sea el mismo ID de acceso que se devuelve desde el registro en otro servidor dentro del mismo dominio de seguridad. El ID de acceso es la única identificación de un usuario, y se utiliza durante la autorización para determinar si se permite el acceso al recurso.

La configuración de la seguridad administrativa de un dominio de seguridad consiste en configurar el registro de usuarios común, el mecanismo de autenticación y otra información de seguridad que define el comportamiento de un dominio de seguridad. La otra información de seguridad que se configura incluye los siguientes componentes:
  • Java 2 Security Manager
  • Java Authentication and Authorization Service (JAAS)
  • Entradas de datos de autenticación del conector Java 2
  • [AIX Solaris HP-UX Linux Windows][IBM i]El protocolo de autenticación CSIv2 (Common Secure Interoperability Versión 2) y SAS (Secure Authentication Service) (Seguridad RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol))
  • [z/OS]El protocolo de autenticación CSiv2 (Common Secure Interoperability Versión 2) y z/OS Secure Authentication Service (z/SAS) (Seguridad RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol))
  • Otros atributos varios.

[AIX Solaris HP-UX Linux Windows][IBM i]Algunas partes de la configuración se pueden alterar temporalmente a nivel de servidor.

[AIX Solaris HP-UX Linux Windows][IBM i]Siempre que sea posible tener varios nodos y varios servidores dentro de un nodo, se pueden configurar algunos atributos a nivel de servidor. Los atributos que se pueden configurar a nivel de servidor son la habilitación de la seguridad para el servidor, la habilitación del gestor de seguridad de Java 2 y el protocolo de autenticación CSIv2/SAS (seguridad RMI/IIOP). Se puede inhabilitar la seguridad en servidores de aplicaciones individuales mientras está habilitada la seguridad administrativa, aunque no se puede habilitar la seguridad en un servidor de aplicaciones individual mientras esté inhabilitada la seguridad administrativa.

[z/OS]Siempre que sea posible tener varios nodos y varios servidores dentro de un nodo, se pueden configurar algunos atributos a nivel de servidor. Los atributos que se pueden configurar a nivel de servidor son la habilitación de la seguridad para el servidor, la habilitación del gestor de seguridad de Java 2 y el protocolo de autenticación CSIv2 y z/SAS (seguridad RMI/IIOP). Se puede inhabilitar la seguridad en servidores de aplicaciones individuales mientras está habilitada la seguridad administrativa, aunque no se puede habilitar la seguridad en un servidor de aplicaciones individual mientras esté inhabilitada la seguridad administrativa.

Aunque la seguridad del servidor de aplicaciones esté inhabilitada para las peticiones de usuario, la seguridad de administración y de nombres continúa habilitada para ese servidor de aplicaciones, por lo que la infraestructura de administración y de nombres permanece segura. Si está habilitada la seguridad de célula, pero está inhabilitada la seguridad de los servidores individuales, las aplicaciones Java Platform Enterprise Edition no se autentican ni autorizan. No obstante, la seguridad de administración y denominación continúa aplicada. Por lo tanto, como se puede llamar a los servicios de denominación desde las aplicaciones de usuario, otorgue el acceso Everyone a las funciones de denominación necesarias, para que puedan aceptar peticiones no autenticadas. El código de usuario no accede directamente a la seguridad de administración, excepto con las herramientas de script soportadas.

[z/OS]Si utiliza la autorización SAF (System Authorization Facility), asegúrese de que el campo UACC del perfil EJBROLE de CosNamingRead está establecido en READ y que el identificador sin autenticar tiene acceso de lectura a este perfil.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_globalserver
File name: csec_globalserver.html