Configuración del conjunto de políticas de señales Kerberos para las aplicaciones JAX-WS

Utilice este tema para habilitar el conjunto de políticas de señales Kerberos para las aplicaciones JAX-WS.

Antes de empezar

Antes de empezar esta tarea, debe especificar la información de configuración de Kerberos para IBM® WebSphere Application Server. Para obtener más información, consulte el soporte del mecanismo de autenticación Kerberos (KRB5) para la seguridad.

El modelo de configuración para la señal Kerberos permite realizar una selección entre las infraestructuras de WebSphere Application Server existentes:
  • Para aplicaciones JAX-RPC, se utilizan el descriptor de despliegue y los enlaces en la configuración. La aplicación JAX-RPC incluye el descriptor de despliegue de una señal Kerberos personalizada, que se configura con señales de autenticación.
  • Para aplicaciones JAX-WS, la configuración utiliza un conjunto de políticas y enlaces. La aplicación JAX-WS está asociada a una política personalizada con la señal Kerberos configurada con señales de autenticación, señales de protección de mensajes o ambas cosas.
Nota: Los fixpack que incluyen actualizaciones de Software Development Kit (SDK) pueden sobrescribir archivos de política sin restricciones. Realice una copia de seguridad de los archivos de políticas sin restricciones antes de aplicar un fixpack y vuelva a utilizar estos archivos después de aplicar el fixpack.

Acerca de esta tarea

Complete los pasos siguientes para configurar el conjunto de políticas de señales Kerberos para las aplicaciones JAX-WS que utilizan la consola administrativa para WebSphere Application Server. En estos pasos, el panel de configuración de la política principal hace referencia al panel de la consola administrativa que se encuentra disponible una vez se completados los primeros cinco pasos.

Procedimiento

  1. Expanda Servicios > Conjuntos de políticas y pulse Conjuntos de políticas de aplicaciones > Nuevo para crear un nuevo conjunto de políticas.
  2. Especifique un nombre y una breve descripción para el nuevo conjunto de políticas y pulse Aplicar.
  3. En la cabecera políticas, pulse Añadir y, a continuación, seleccione el tipo de política de seguridad WS-Security.
  4. Pulse Aceptar y Guardar para guardar la nueva configuración directamente en la configuración maestra.
  5. En el campo Políticas, pulse WS-Security y Política principal en el panel WS-Security para configurar la política principal para el conjunto de políticas de señales Kerberos.
  6. En la cabecera Simetría de claves, seleccione Utilizar señales simétricas para la protección de mensajes.
  7. Pulse Políticas simétricas de cifrado y firma para configurar el tipo de señal personalizada de Kerberos o desmarque el recuadro de selección Protección a nivel de mensaje si está configurando sólo una señal de autenticación.
    Importante: No es necesario configurar la política de señales de solicitud si está utilizando la señal Kerberos para la protección de mensajes. Si va a configurar sólo la señal de autenticación y, continúe con el siguiente paso. Si no va a configurar la política de señales de solicitud para la señal de autenticación, omita el siguiente paso.
  8. En el panel de configuración Política principal, configure la política de la señal de solicitud si está configurando la señal de autenticación.
    1. En la cabecera Detalles de política, pulse Políticas de señal de solicitud.
    2. Pulse Añadir tipo de señal y seleccione Personalizada.
    3. Especifique el nombre de la señal personalizada en el campo Nombre de señal personalizada.
    4. Especifique el valor de la parte local en el campo Parte local. Para permitir la interoperatividad con otras tecnologías de servicios web, especifique la parte local siguiente: http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ. Si no le preocupa la interoperatividad, puede especificar uno de los siguientes valores de nombre local:
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
      • http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

      Estos valores alternativos dependen del nivel de especificación para la señal AP-REQ de Kerberos generada por KDC (Centro de distribución de claves) de Kerberos). Para obtener más información sobre cuándo utilizar estos valores, consulte Valores del tipo de señal.

    5. No especifique un valor para el campo URI de espacio de nombres si está generando una señal Kerberos.
    6. Pulse Aceptar y Guardar para guardar la configuración directamente en la configuración maestra.
    Este paso completa el proceso de configuración para configurar la política de señales de solicitud para la señal de autenticación. No es necesario que complete los dos pasos siguientes. Complete los pasos siguientes para configurar las políticas simétricas de firma y cifrado.
  9. Vuelva al panel de configuración de la política principal del conjunto de políticas de la aplicación y pulse Políticas simétricas de cifrado y firma para configurar las políticas simétricas de cifrado y firma.
    1. En la cabecera Integridad de mensajes, pulse la lista de menú Acción correspondiente al campo Tipo de señal para firmar y validar mensajes y seleccione Personalizada.
    2. En la cabecera Confidencialidad de mensajes, seleccione la opción Utilizar la misma señal para la confidencialidad que para la integridad.
    3. Pulse Aceptar y Guardar para guardar los cambios de la configuración.
    4. En la cabecera Integridad de mensajes, pulse la lista de menú Acción correspondiente al campo Tipo de señal para firmar y validar mensajes y seleccione Editar política de tipo seleccionado.
    5. Edite el tipo de señal personalizado para la firma y el cifrado especificando la parte local de la señal Kerberos personalizada.

      Por ejemplo, especifique http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ para el valor de la parte local. No especifique un valor para el URI de espacio de nombres.

    6. Pulse Aceptar y, a continuación, pulse Guardar para guardar los cambios de la configuración.
  10. Vuelva al panel de configuración de la política principal del conjunto de políticas de la aplicación y pulse Algoritmos para señales simétricas para configurar el algoritmo de señales simétricas.
    1. Seleccione una suite de algoritmos que utilizar para las señales simétricas en la lista de menú Suite de algoritmos. Seleccione los algoritmos del cifrado AES (Advanced Encryption Standard) para la señal Kerberos compatible con RFC-4120.
      Entre los algoritmos de la envoltura de claves simétricas, o la criptografía de claves privadas, se incluye los siguientes:
      • Envoltura de claves DES triple: http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • Envoltura de claves AES (aes128): http://www.w3.org/2001/04/xmlenc#kw-aes128
      • Envoltura de claves AES (aes256): http://www.w3.org/2001/04/xmlenc#kw-aes256
      Restricción: Para utilizar el algoritmo de cifrado AES de 256 bits, debe aplicar los archivos de política de jurisdicción ilimitados. Para mantener la conformidad, consulte las Recomendaciones para el cumplimiento del perfil de seguridad básico.

      [AIX Solaris HP-UX Linux Windows]Antes de descargar estos archivos de políticas, monte el sistema de archivos jerárquico del producto como de lectura/escritura. Haga una copia de seguridad de los archivos de políticas exisstentes antes de sobrescribirlos, en el supuesto de que desee restaurar los archivos originales más adelante. Los archivos de política existentes, local_policy.jar y US_export_policy.jar, se encuentran en el directorio WAS_HOME/java/jre/lib/security/.

      [z/OS]Antes de descargar estos archivos de políticas, monte el sistema de archivos jerárquico del producto como de lectura/escritura. Haga una copia de seguridad de los archivos de políticas exisstentes antes de sobrescribirlos, en el supuesto de que desee restaurar los archivos originales más adelante. Los archivos de política existentes, local_policy.jar y US_export_policy.jar, se encuentran en el directorio WAS_HOME/java/lib/security/.

      Importante: Es posible que su país de origen tenga restricciones sobre la importación, posesión, utilización o reexportación a otro país de software de cifrado. Antes de descargar o bien utilizar los archivos de políticas sin restricciones, debe consultar las leyes de su país, sus regulaciones y las políticas relativas a la importación, posesión, uso y reexportación de software cifrado, para determinar si está permitido.
      En las plataformas de servidores de aplicaciones que utilizan IBM Developer Kit, Java™ Technology Edition, Versión 5, puede obtener archivos de política de jurisdicción ilimitada realizando los pasos siguientes:
      1. Visite el sitio web IBM developerWorks: Información de seguridad.
      2. Pulse Java 5.
      3. Pulse IBM SDK Policy files (Archivos de políticas de IBM SDK).

        Se muestra el sitio web de archivos de políticas JCE sin restricciones para SDK 5.

      4. Entre el ID de usuario y la contraseña, o regístrese en IBM para descargar los archivos de políticas. Los archivos de políticas se descargan en la estación de trabajo.
      5. Vuelva a montar el sistema de archivos jerárquico del producto como de sólo lectura.

      Para obtener más información sobre los componentes de la suite de algoritmos, consulte Valores de algoritmos.

    2. Seleccione el valor Canonicalización exclusiva o Canonicalización inclusiva en la lista de menú Algoritmo de canonicalización. Para obtener más información, consulte la firma digital XML.
    3. Especifique la versión XPath 1.0 o XPathfilter 2.0 para utilizarla desde la lista de menú Versión de XPath.

Qué hacer a continuación

Configure los enlaces para la protección de mensajes para Kerberos para las aplicaciones JAX-WS. Para obtener más información, consulte Configuración de enlaces para la protección de mensajes para Kerberos.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confkerbprofilejaxws
File name: twbs_confkerbprofilejaxws.html