[AIX Solaris HP-UX Linux Windows][z/OS]

Interoperatividad con un cliente CORBA (Common Object Request Broker Architecture) C++

WebSphere Application Server da soporte a la seguridad del cliente CORBA C++ para acceder a enterprise beans protegidos. Si se configura, los clientes CORBA C++ pueden acceder a métodos de enterprise bean protegidos utilizando un certificado de cliente para lograr una autenticación mutua en las aplicaciones WebSphere Application Server.

Acerca de esta tarea

[AIX Solaris HP-UX Linux Windows]Utilizando el protocolo de autenticación CSIv2 (Common Secure Interoperability Versión 2) a través de RMI-IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol) puede conseguir la interoperatividad SAS (Security Authentication Service) entre el cliente CORBA (Common Object Request Broker Architecture) C++ y WebSphere Application Server. El protocolo del servicio de seguridad de CSIv2 tiene capas de autenticación, atributos y transporte. Entre las tres capas, la autenticación de transporte es simple conceptualmente, sin embargo, la autenticación de transporte basada en criptografía es la más fuerte. WebSphere Application Server ha implementado la capa de autenticación de transporte para que los clientes CORBA C++ seguros puedan utilizarla de modo eficaz cuando ejecutan conjuntamente clientes CORBA y recursos de enterprise bean protegidos.

[z/OS]La interoperatividad entre clientes CORBA C++ y WebSphere Application Server se puede conseguir utilizando los protocolos CSIv2 (Common Secure Interoperability Versión 2) o z/SAS (z/OS Secure Authentication Service). CSIv2 debe utilizarse, a menos que se necesite la interoperatividad con WebSphere Application Server Versión 4.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.

[z/OS]Para obtener más información, consulte Valores de seguridad global.

Autenticación de seguridad del cliente C++ no basado en Java para enterprise beans. WebSphere Application Server da soporte a la seguridad del cliente CORBA C++ para acceder a enterprise beans protegidos. Si se configura, los clientes CORBA C++ pueden acceder a métodos de enterprise bean protegidos utilizando un certificado de cliente para lograr una autenticación mutua en las aplicaciones de WebSphere Application Server.

Para soportar el cliente C++ CORBA al acceder a los enterprise beans protegidos, efectúe los pasos siguientes:
  • Cree un archivo de entorno para el cliente, como current.env. Establezca las variables que aparecen en la siguiente lista del archivo:
    Tabla 1. Variables de entorno.

    Esta tabla contiene una lista de las variables de entorno que son necesarias para dar soporte al cliente C++ CORBA al acceder a enterprise beans protegidos.

    Valor de seguridad de C++ Descripción
    client_protocol_password Especifica la contraseña del ID de usuario.
    client_protocol_user Especifica el ID de usuario para autenticar en el servidor de destino.
    security_sslKeyring Especifica el nombre del conjunto de claves RACF que va a utilizar el cliente. Debe definirse el conjunto de claves bajo el ID de usuario que emite el mandato para ejecutar el cliente.
  • Apunte al archivo de entorno con el nombre de vía de acceso plenamente cualificado mediante la variable de entorno WAS_CONFIG_FILE. Por ejemplo, en el script del shell de prueba test.sh, exporte:
    /WebSphere/V6R0M0/DeploymentManager/profiles/default/config/cells
      /PLEX1Network/nodes/PLEX1Manager/servers/dmgr
    Algunos de los términos del archivo de entorno se describen a continuación:
    predeterminado
    nombre de perfil
    PLEX1Network
    nombre de célula
    PLEX1Manager
    nombre de nodo
    dmgr
    nombre de servidor
[AIX Solaris HP-UX Linux Windows]

Procedimiento

  1. Obtenga un certificado válido que represente el cliente y exporte el archivo público al servidor de enterprise beans de destino.

    Es necesario un certificado válido para representar el cliente C++. Solicite un certificado de la autoridad certificadora, CA, o cree un certificado autofirmado para fines de comprobación.

    Utilice el programa de utilidad de gestión de claves desde GSKit (Global Security Kit) para extraer la clave pública del certificado personal y guardarla con formato .arm.

  2. Prepare un archivo de almacén de confianza para WebSphere Application Server.
    Añada la clave pública del cliente extraído al archivo .arm desde el cliente al archivo de almacén de confianza de claves del servidor. Ahora el servidor puede autenticar al cliente.
    Nota: Esto se lleva a cabo invocando el programa de utilidad de gestión de claves ikeyman.bat o ikeyman.sh desde el directorio de instalación de WebSphere Application Server.
  3. Configure WebSphere Application Server para soportar SSL (Secure Sockets Layer) como mecanismo de autenticación.
    1. Inicie la consola administrativa.
    2. Localice el servidor de aplicaciones que tiene el enterprise bean desplegado y configúrelo de modo que utilice la autenticación de certificados de cliente SSL.
      Si se trata de una instalación base, siga estos pasos:
      1. Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2. Seleccione Soportado para las opciones Autenticación básica y Autenticación de certificado de cliente. Deje el resto de opciones como valores por omisión.
      2. Pulse Aceptar.
      3. Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2 y verifique que la opción Da soporte a SSL está seleccionada en Transporte.
      Si se trata de un valor de WebSphere Application Server, Network Deployment, siga estos pasos:
      1. Pulse Servidores > Servidores de aplicaciones > nombre_servidor_donde_reside_EJB.
      2. En Seguridad, pulse Seguridad de servidor.
      3. Seleccione la opción La seguridad RMI/IIOP de este servidor altera temporalmente los valores de célula.
      4. En Propiedades adicionales, pulse Comunicaciones de entrada CSIv2.
      5. Seleccione Soportado para las opciones Autenticación básica y Autenticación de certificado de cliente. Deje el resto de opciones como valores predeterminados.
      6. Pulse Servidores > Servidores de aplicaciones > nombre_servidor_donde_reside_EJB.
      7. En Seguridad, pulse Seguridad de servidor.
      8. En Propiedades adicionales, pulse Comunicaciones de entrada CSIv2.
      9. Verifique que la opción Da soporte a SSL esté seleccionada.

      Para obtener más información, consulte Configuración de comunicaciones de entrada de Common Secure Interoperability Versión 2 y Configuración de transportes de entrada.

    3. Reinicie el servidor de aplicaciones.

      WebSphere Application Server está preparado para aceptar un cliente de seguridad CORBA C++ y un servidor y un cliente autenticados mutuamente mediante SSL en la capa de transporte.

  4. Configure el cliente C++ CORBA de modo que utilice un certificado para realizar la autenticación mutua.
    Los usuarios de clientes acostumbran a utilizar archivos de propiedades en sus aplicaciones porque son convenientes para especificar los valores de configuración. La lista siguiente incluye valores de seguridad C++ importantes:
    Tabla 2. Propiedades de seguridad de C++.

    Esta tabla lista los valores de seguridad C++ importantes.

    Valor de seguridad de C++ Descripción
    com.ibm.CORBA.bootstrapHostName=ricebella.austin.ibm.com Especifica el nombre del host de destino.
    com.ibm.CORBA.securityEnabled=yes Habilita la seguridad.
    com.ibm.CSI.performTLClientAuthenticationSupported=yes Garantiza que el cliente de soporte a la autenticación mutua mediante certificado
    com.ibm.ssl.keyFile=C:/ricebella/etc/DummyKeyRingFile.KDB Especifica qué archivo de base de datos de claves se ha de utilizar.
    com.ibm.ssl.keyPassword=WebAS Especifica la contraseña para abrir el archivo de claves. WebSphere Application Server da soporte a un programa de utilidad denominado PasswordEncode4cpp para codificar la contraseña plana.
    com.ibm.CORBA.translationEnabled=1 Habilita la conversión valueType.
    Para utilizar archivos de propiedad en un cliente C++ en ejecución, se utiliza una variable de entorno WASPROPS para indicar donde existe un archivo de propiedad o una lista de archivos de propiedad.

    Para el conjunto completo de propiedades de cliente C++, consulte el archivo de propiedad de ejemplo scclient.props, que se entrega con el producto ubicado en el directorio raíz_servidor_apl/profiles/nombre_perfil/etc.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_interoperatec
File name: tsec_interoperatec.html