[z/OS]

Correlación de identidad distribuida mediante SAF

La característica de correlación de identidad distribuida que utiliza SAF (System Authorization Facility) para z/OS proporciona algunas ventajas principales y constituye una novedad en esta versión de WebSphere Application Server.

Este release de WebSphere Application Server le permite utilizar la seguridad SAF (System Authorization Facility) de z/OS para asociar un ID de usuario SAF con una identidad distribuida. Al utilizar esta función, puede mantener la información de identidad original de un usuario para fines de auditoría y tener menos elementos que deba configurar en WebSphere Application Server.

El producto de seguridad de z/OS debe estar en la versión adecuada que dé soporte a la correlación de identidad distribuida. La versión SAF correcta es 7760 o posterior. Para Resource Access Control Facility (RACF), debe estar al menos en la versión z/OS 1.11 o posterior.

Algunas de las ventajas de utilizar esta característica son:
  • Si utiliza un registro de sistema operativo no local, como Lightweight Directory Access Protocol (LDAP), y utiliza la autorización SAF, la sincronización de identidades de hebra z/OS (SyncToThread) o la opción de identidad de hebra RunAs del gestor de conexiones, puede correlacionar directamente el usuario LDAP con un usuario SAF en el producto de seguridad z/OS con los perfiles SAF RACMAP. No son necesarios los módulos de correlación; por lo tanto, no configure estos módulos en WebSphere Application Server. Los registros de auditoría SMF contienen tanto el nombre de usuario LDAP y el ID de usuario SAF correlacionado.
  • Si utiliza el registro de sistema operativo local y utiliza Kerberos o SPNEGO (Simple and Protected GSS-API Negotiation), puede correlacionar directamente el principal de Kerberos con un usuario SAF en el producto de seguridad z/OS. No son necesarios los módulos de correlación; por lo tanto, no configure estos módulos en WebSphere Application Server. Los registros de auditoría SMF contienen tanto el principal de Kerberos como el ID de usuario SAF correlacionado.
Nota: La característica de correlación de identidad distribuida SAF no está soportada en una célula de versiones mixtas (nodos anteriores a WebSphere Application Server Versión 8.0).

Ventajas de utilizar la correlación de identidad distribuida

La correlación de identidad distribuida en SAF ofrece dos ventajas principales:
  • Cuando se audita un usuario en el sistema operativo z/OS que utiliza SMF, el registro de auditoría contiene tanto la identidad distribuida como el ID de usuario SAF correlacionado. Esto mejora la interoperabilidad entre plataformas y proporciona un valor para entornos de aplicaciones heterogéneas y centradas en host.
  • El administrador de seguridad z/OS maneja la correlación de identidades distribuidas. No es necesario configurar módulos de correlación en la configuración de WebSphere Application Server.

Cuándo utilizar la correlación de identidad distribuida

Los escenarios siguientes describen cómo puede utilizar la nueva característica de correlación de identidad distribuida en SAF.
  • Escenario 1: si tiene un registro de sistema operativo no local configurado con la autorización SAF, la sincronización de identidades de hebra z/OS (SyncToThread) o la opción de identidad de hebra RunAs del gestor de conexiones, puede utilizar esta característica para correlacionar el usuario del registro con un usuario SAF. En releases anteriores, este proceso debía efectuarse con módulos de inicio de sesión JAAS (Java™ Authentication and Authorization Service) que se habían configurado en WebSphere Application Server.

    Las ventajas de utilizar la correlación de identidad distribuida son que los registros de auditoría SMF contendrán tanto el usuario distribuido como el usuario SAF, y que la correlación se controla mediante el administrador de seguridad de z/os .

    Al correlacionar un usuario de registro de sistema operativo no local, el nombre de usuario distribuido es el valor devuelto por la API WSCredential.getUniqueSecurityName() de WebSphere Application Server. El nombre de reino está determinado por la API WSCredential.getRealmName() de WebSphere Application Server.

    Para habilitar la correlación de identidad distribuida para este escenario, no son necesarios más cambios en la configuración de seguridad.

    Nota: En el escenario 1, si utiliza el registro de repositorios federados configurado con el puente UserRegistry, puede igualmente utilizar la característica de correlación de identidad distribuida SAF. Si inicia la sesión con un usuario SAF, no se correlaciona. No obstante, si inicia la sesión con un usuario distribuido, se correlaciona con un usuario SAF.
  • Escenario 2: si tiene un registro de sistema operativo local configurado en la plataforma z/OS con SPNEGO o Kerberos habilitado, puede correlacionar el nombre del principal de Kerberos con un usuario SAF utilizando la característica de correlación de identidad distribuida. En releases anteriores, podía utilizar un módulo de inicio de sesión de correlación JAAS que se había configurado en WebSphere Application Server o el segmento KERB del usuario SAF en el producto de seguridad z/OS.

    La ventaja de utilizar la correlación de identidad distribuida es que los registros SMF contendrán tanto el usuario de Kerberos como el usuario SAF correlacionado.

    Al correlacionar un usuario Kerberos, el nombre de usuario distribuido es el nombre del principal de Kerberos. El nombre de reino es el nombre de reino Kerberos del centro de distribución de claves (KDC) de Kerberos. Para obtener más información sobre la creación de filtros de identidad distribuida en el producto de seguridad z/OS, lea el tema sobre la configuración de filtros de identidad distribuida en la seguridad z/OS.

    Para habilitar la correlación de identidad distribuida para este escenario:
    • Navegue a Seguridad > Seguridad global > Configuración Kerberos.
    • Seleccione el botón radial para Utilizar perfiles RACMAP en el producto SAF para la correlación de identidad distribuida.

    Para realizar este cambio con los scripts wsadmin, establezca la propiedad personalizada de seguridad com.ibm.websphere.security.krb.useRACMAPMappingToSAF=true.

  • Escenario 3: Si tiene configurado un registro de sistema operativo local, puede correlacionar un certificado comprobado o un nombre distinguido comprobado con un usuario SAF.

    En releases anteriores, el primer atributo del nombre DN confirmado se correlacionaba con un usuario SAF. La ventaja de utilizar la correlación de identidad distribuida para un DN confirmado es la flexibilidad añadida para correlacionar usuarios, la correlación está controlada por el administrador de seguridad de z/OS y los registros de auditoría SMF contendrán el nombre DN confirmado y el ID de usuario SAF correlacionado. En releases anteriores, un certificado confirmado se correlacionaba con un usuario SAF utilizando la función RACDCERT MAP en SAF. La ventaja de utilizar la correlación de identidad distribuida es que los registros de auditoría SMF contendrán el nombre DN del certificado y el ID de usuario SAF correlacionado. Además, la base de datos SAF ahorra espacio al no tener que almacenar los certificados digitales.

    Al correlacionar un certificado confirmado o nombre DN en SAF, el usuario distribuido es el nombre DN y el nombre de reino es el reino actual de SAF.

    Al correlacionar un certificado confirmado o nombre DN en SAF, el usuario distribuido es el nombre DN y el nombre de reino es el reino actual de SAF.

    Para habilitar la correlación de identidad distribuida para este escenario:
    • Navegue a Seguridad > Seguridad global > Comunicaciones de entrada CSIv2.
    • Para Valores posteriores de atributo, seleccione Correlacionar certificado y DN utilizando la correlación de identidad distribuida SAF.

    Para realizar este cambio con scripts de wsadmin, establezca la propiedad personalizada de seguridad com.ibm.websphere.security.certdn.useRACMAPMappingToSAF=true

  • [z/OS]Escenario 4: Si tiene configurado un registro de sistema operativo local, puede correlacionar un certificado recibido en la capa de transporte CSIv2 con un usuario SAF.

    En releases anteriores, un certificado se correlacionaba con un usuario SAF utilizando la función RACDCERT MAP en SAF. La ventaja de utilizar la correlación de identidad distribuida es que los registros de auditoría SMF contendrán el nombre DN del certificado y el ID de usuario SAF correlacionado.

    [z/OS]Cuando se correlaciona un certificado recibido en la capa de transporte CSIv2, el usuario distribuido es el nombre DN y el nombre de reino es el reino actual de SAF. Además, la base de datos SAF ahorra espacio al no tener que almacenar los certificados digitales.

    Para habilitar la correlación de identidad distribuida para este escenario:
    • Navegue a Seguridad > Seguridad global > Comunicaciones de entrada CSIv2.
    • Para Valores de capa de transporte, seleccione Correlacionar certificado utilizando correlación de identidad distribuida SAF.

    Para realizar este cambio con los scripts wsadmin, establezca la propiedad personalizada de seguridad com.ibm.websphere.security.certificate.useRACMAPMappingToSAF=true.

    Nota: Si el nombre de DN tiene un espacio en blanco entre los atributos, debe aplicar el APAR de RACF OA34258, o la PTF UA59873, y el APAR de SAF OA34259, o la PTF UA59871, para analizar correctamente los espacios en blanco.
Tabla 1. Escenarios de correlación de identidades distribuidas. En la tabla siguiente se resume la configuración para cada uno de los escenarios de correlación de identidades distribuidas.
Escenario Versión de SAF Registro de usuarios SAF authorization=true o SyncToThread=true o runAs=true? ¿Se ha configurado el módulo de correlación JAAS? Kerberos o SPNEGO habilitado
Escenario 1 7760 o posterior (z/OS 1.11 o posterior para RACF) Sistema operativo no local no n/d
Escenario 2 7760 o posterior (z/OS 1.11 o posterior para RACF Sistema operativo local no
Escenario 3 7760 o posterior (z/OS 1.11 o posterior para RACF Sistema operativo local no n/d
[z/OS]Escenario 4 [z/OS]7760 o posterior (z/OS 1.11 o posterior para RACF [z/OS]Sistema operativo local [z/OS] [z/OS]no [z/OS]n/d

Consideraciones que deben tenerse en cuenta al configurar la correlación de identidad distribuida

Cuando se configura la correlación de identidad distribuida, debe realizar las acciones siguientes:

  • Determine la versión de SAF. Primero debe asegurarse de que la versión de la seguridad z/OS sea SAF versión 7760 o posterior. Si utiliza RACF, debe tener la versión de z/OS 1.11 o posterior. Se proporciona una tarea nueva de AdminTask, isSAFVersionValidForIdentityMapping(), para ayudar a determinar la versión. Además, el mensaje informativo, SECJ6233I, se imprime en las anotaciones de trabajo del servidor, que indica la versión actual de SAF.
  • Elimine los módulos de inicio de sesión de JAAS innecesarios. Asegúrese de que no tiene el módulo JAAS de inicio de sesión com.ibm.ws.security.common.auth.module.MapPlatformSubject configurado en la configuración de WebSphere. En los releases anteriores de WebSphere Application Server, así era cómo se completaba la correlación de un usuario distribuido con un usuario SAF. Siempre que tenga este módulo de inicio de sesión configurado, la configuración de seguridad continúa utilizando el método anterior para la correlación de un usuario distribuido con un usuario SAF. Si está configurando una nueva célula de WebSphere Application Server Versión 8.0, este módulo de inicio de sesión JAAS no está configurado de forma predeterminada; por lo tanto, no es necesaria ninguna otra acción. Sin embargo, si ha migrado célula a WebSphere Application Server Versión 8.0, el módulo de inicio de sesión JAAS es probable que exista y se debe eliminar. Puede utilizar la consola administrativa o los scripts de wsadmin para eliminar este módulo de inicio de sesión. También puede utilizar el script Jython proporcionado, removeMapPlatformSubject.py, que busca y elimina este módulo de inicio de sesión de las entradas de inicio de sesión adecuadas. Para obtener más información sobre cómo utilizar este script, lea el tema sobre el script removeMapPlatformSubject.
    Para suprimir el módulo de inicio de sesión JAAS en la consola administrativa, lleve a cabo los pasos siguientes:
    1. Pulse Seguridad > Seguridad global > Java Authentication y Servicio de autenticación > Inicios de sesión del sistema.
    2. Pulse DEFAULT.
    3. Seleccione el recuadro de selección del módulo JAAS de inicio de sesión com.ibm.ws.security.common.auth.module.MapPlatformSubject y a continuación pulse Suprimir.
    4. Pulse Aceptar.
    5. Repita los pasos 2-4 para los inicios de sesión del sistema de WEB_INBOUND, RMI_INBOUND y SWAM_ZOSMAPPING.
  • Correlacione los usuarios SAF en el producto de seguridad z/OS. Utilice el mandato RACMAP en el producto de seguridad z/OS para configurar un filtro de identidad distribuida. Utilice este filtro para correlacionar varios usuarios distribuidos con un usuario SAF, o puede realizar una correlación de uno a uno. El filtro de identidad distribuida consta de dos partes: el nombre de usuario distribuido y el nombre de reino del registro donde existe el usuario distribuido.
    Nota: En algunos casos, los cambios de los filtros RACMAP no entran en vigor inmediatamente en el servidor WebSphere. Consulte la sección "Activación de los cambios de filtros RACMAP para un usuario autenticado” del tema Configuración de filtros de identidad distribuida en la seguridad de z/OS para obtener información detallada.

    Cuando configure la característica de correlación de identidad distribuida SAF en el nivel de dominio de seguridad, tome nota del nombre de reino para dicho dominio. Puede optar por proporcionar un nombre de reino o por utilizar el nombre de reino generado por el sistema. Independientemente de la opción que elija, este es el nombre de reino que debe utilizar cuando defina las correlaciones en el registro SAF.

  • Realice los cambios necesarios en la configuración de seguridad. Consulte los casos de uso 1-4 para determinar los cambios adicionales que es posible que deba realizar en la configuración de seguridad.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_identity_saf
File name: csec_identity_saf.html