Valores de seguridad global

Utilice esta página para configurar la política de seguridad de aplicaciones predeterminada y de administración. Esta configuración de seguridad se aplica a la política de seguridad para todas las funciones administrativas y se utiliza como una política de seguridad predeterminada para las aplicaciones de usuario. Los dominios de seguridad se pueden definir para alterar temporalmente y personalizar las políticas de seguridad para las aplicaciones de usuario.

Para ver esta página de la consola de administración, pulse Seguridad > Seguridad global.

[AIX Solaris HP-UX Linux Windows][IBM i]La seguridad afecta de algún modo el rendimiento de las aplicaciones. El modo en que afecta el rendimiento varía según las características de la carga de trabajo de las aplicaciones. En primer lugar determine que se ha habilitado el nivel de seguridad necesario para las aplicaciones y, a continuación, mida el impacto de la seguridad en el rendimiento de las aplicaciones.

Una vez configurada la seguridad, se deben validar los cambios en las páginas de mecanismos de autenticación o de registro. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor o validar el ID de administración (si se ha utilizado internalserverID) en el registro de usuario configurado. Si se validan los valores del registro de usuario después de habilitar la seguridad administrativa se evitan problemas cuando se reinicia el servidor por primera vez.

Asistente de configuración de la seguridad

Inicia un asistente que le permite configurar los valores básicos de seguridad administrativa y de aplicaciones. Este proceso limita las tareas administrativas y las aplicaciones a los usuarios autorizados.

Al utilizar este asistente, puede configurar la seguridad de las aplicaciones, de los recursos o la seguridad J2C (Java™ 2 Connector) y un registro de usuarios. Puede configurar un registro existente y habilitar la seguridad administrativa, de aplicaciones y de recursos.

Cuando aplica los cambios realizados utilizando el asistente de configuración de seguridad, de manera predeterminada, se activa la seguridad administrativa.

Informe de configuración de seguridad

Inicia un informe que recopila y visualiza los valores de seguridad actuales del servidor de aplicaciones. Se reúne información sobre los valores de seguridad principal, los usuarios y grupos administrativos, los roles de denominación CORBA y la protección de cookies. Cuando se configuran varios dominios de seguridad, el informe visualiza la configuración de seguridad asociada a cada dominio.

Una limitación actual del informe es que no muestra información de seguridad a nivel de aplicación. El informe tampoco muestra información sobre la seguridad JMS (Java Message Service), la seguridad del bus o Web Services Security.

Habilitar seguridad administrativa

Especifica si se habilita la seguridad administrativa para este dominio de servidor de aplicaciones. La seguridad administrativa requiere que los usuarios se autentiquen antes de obtener el control administrativo del servidor de aplicaciones.

Para más información, consulte los enlaces relacionados de roles administrativos y autenticación administrativa.

Cuando habilite la seguridad, establezca la configuración del mecanismo de autenticación y especifique un ID de usuario y contraseña válidos (o un ID de administración válido si se utiliza la característica internalServerID) en la configuración de registro seleccionada.

Nota: No es lo mismo el ID de usuario, que identifica a los administradores que se encargan de la gestión del entorno, al que generalmente se conoce como ID de administrador, y el ID de servidor, que se utiliza para la comunicación entre servidores. No necesita especificar un ID de servidor y contraseña cuando utiliza la característica de ID de servidor interno. Sin embargo, si lo desea, puede especificar un ID de servidor y una contraseña. Para especificar el ID de servidor y la contraseña, efectúe los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En el Repositorio de cuentas de usuario, seleccione el repositorio y pulse Configurar.
  3. [AIX Solaris HP-UX Linux Windows][IBM i]Especifique el ID de servidor y la contraseña en la sección de identidad de usuario del servidor.

[z/OS]Sólo puede especificar la Tarea iniciada de z/OS cuando el registro de usuario es Sistema operativo local.

Si tiene problemas como, por ejemplo, que el servidor no se inicia después de habilitar la seguridad en el dominio de seguridad, vuelva a sincronizar todos los archivos de la célula con este nodo. Para volver a sincronizar los archivos, ejecute el mandato siguiente desde el nodo: syncNode -username su_ID_usuario -password su_contraseña. Este mandato se conecta con el gestor de despliegue y vuelve a sincronizar todos los archivos.

[IBM i][z/OS]Si no se reinicia el servidor después de habilitar la seguridad administrativa, puede inhabilitar la seguridad. Vaya al directorio raíz_servidor_aplicaciones/bin y ejecute el mandato wsadmin -conntype NONE. En el indicador wsadmin>, especifique securityoff y, a continuación, escriba exit para volver a un indicador de mandatos. Reinicie el servidor con la seguridad inhabilitada para comprobar que no haya valores incorrectos en la consola administrativa.

[z/OS]Usuarios de registro de usuarios del sistema operativo local: al seleccionar Sistema operativo local como registro de usuario activo, no es necesario proporcionar una contraseña en la configuración del registro de usuario.

Información Valor
Valor predeterminado: Habilitada

Habilitar seguridad de la aplicación

Habilita la seguridad para estas aplicaciones del entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.

En releases anteriores de WebSphere Application Server, cuando un usuario habilitaba la seguridad global, se habilitaban tanto la seguridad global como la administrativa. En WebSphere Application Server, la noción anterior de seguridad global se ha dividido en seguridad administrativa y seguridad de aplicaciones, que se habilitan separadamente.

Como resultado de esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada por omisión. La seguridad de aplicaciones está inhabilitada por omisión. Para habilitar la seguridad de aplicaciones, debe habilitar la seguridad administrativa. La seguridad de aplicaciones sólo tiene efecto cuando la seguridad administrativa está habilitada.

Información Valor
Valor predeterminado: Inhabilitado

Utilizar la seguridad de Java 2 para restringir a las aplicaciones el acceso a los recursos locales

Especifica si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. De manera predeterminada, el acceso a los recursos locales no está restringido. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad de las aplicaciones está habilitada.

Si está habilitada la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y una aplicación requiere más permisos de seguridad Java 2 de los que se conceden en la política predeterminada, es posible que la aplicación no se ejecute correctamente hasta que se concedan los permisos necesarios en el archivo app.policy o en el archivo was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl. Consulte los enlaces relacionados para obtener más información sobre la seguridad Java 2.

Información Valor
Valor predeterminado: Inhabilitado

Avisar si se otorgan permisos personalizados a las aplicaciones

Especifica que durante el despliegue de aplicación y el inicio de aplicación, el tiempo de ejecución de seguridad emite un aviso si se otorga a las aplicaciones cualquier permiso personalizado. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos API de Java. Los permisos API de Java son permisos en los paquetes java.* y javax.*.

El servidor de aplicaciones da soporte a la gestión de archivos de políticas. Existen varios archivos de política en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un determinado tipo de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no desea que tenga una aplicación según la especificación J2EE 1.4. Para obtener más información sobre permisos, consulte el enlace relacionado sobre los archivos de políticas de seguridad Java 2.

Importante: No puede habilitar esta opción sin habilitar la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales.
Información Valor
Valor predeterminado: Inhabilitado

Restringir el acceso a los datos de autenticación de recursos

Habilite esta opción para restringir a las aplicaciones el acceso a los datos importantes de autenticación de correlaciones JCA (Java Connector Architecture).

Considere habilitar esta opción cuando las dos condiciones siguientes se cumplan:
  • La seguridad de Java 2 se fuerza.
  • Al código de aplicación se le otorga accessRuntimeClasses WebSphereRuntimePermission en el archivo was.policy que se encuentra en el archivo EAR (Enterprise Application Archive). Por ejemplo, se le otorga permiso al código de aplicación cuando la siguiente línea se encuentra en el archivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

La opción Restringir el acceso a los datos de autenticación de recursos añade la comprobación precisa de permisos de seguridad de Java 2 a la correlación de principales por omisión de la implementación WSPrincipalMappingLoginModule. Debe otorgar el permiso explícito a las aplicaciones J2EE (Java 2 Platform, Enterprise Edition) que utilicen la implementación WSPrincipalMappingLoginModule directamente en el inicio de sesión JAAS (Java Authentication and Authorization Service) cuando las opciones Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y Restringir el acceso a los datos de autenticación de recursos estén habilitadas.

Información Valor
Valor predeterminado: Inhabilitado

Definición del reino actual

Especifica el valor actual para el repositorio de usuarios activos.

Este campo es de sólo lectura.

Definiciones del reino disponibles

Especifica los repositorios de cuentas de usuario disponibles.

Las selecciones aparecen en una lista desplegable que contiene:
  • Sistema operativo local
  • Registro LDAP autónomo
  • Registro personalizado autónomo
[AIX Solaris HP-UX Linux Windows][z/OS]

Establecer como actual

Habilita el repositorio de usuarios una vez configurado.

Puede configurar valores para uno de los siguientes repositorios de usuario:
Depósitos federados
Especifique este valor para gestionar perfiles en varios repositorios de un solo reino. El reino puede constar de las identidades de:
  • El depósito basado en archivos incorporado en el sistema
  • Uno o más repositorios externos
  • Tanto el depósito incorporado y el depósito basado en archivos y de uno o más depósitos externos
Nota: Sólo un usuario con privilegios de administrador puede ver la configuración de repositorios federados.
Sistema operativo local

[z/OS]Especifique este valor si desea que el servidor de seguridad compatible con RACF (Resource Access Control Facility) o con SAF (System Authorization Facility) que se ha configurado, se utilice como registro de usuarios del servidor de aplicaciones.

[AIX Solaris HP-UX Linux Windows][IBM i]No puede utilizar localOS en varios nodos o cuando ejecuta en una plataforma UNIX como no root.

[AIX Solaris HP-UX Linux Windows]El registro de usuarios del sistema operativo local sólo es válido cuando utiliza un controlador de dominio o la célula de WebSphere Application Server, Network Deployment reside en un única máquina. En este último caso, no puede distribuir varios nodos de una célula en distintas máquinas, ya que esta configuración no es válida, si se utiliza el registro de usuario del Sistema operativo local.

Registro LDAP autónomo

Utilice este valor para utilizar los valores del registro LDAP cuando los usuarios y los grupos residen en un directorio LDAP autónomo. Cuando se habilite la seguridad y se modifique una de estas propiedades, vaya a la página Seguridad > Seguridad global y pulse Aplicar o Aceptar para validar los cambios.

Nota: Dado que se da soporte a varios servidores LDAP, este valor no implica un registro LDAP.
Registro personalizado autónomo
Especifique este valor para implementar su propio registro personalizado autónomo que implementa la interfaz com.ibm.websphere.security.UserRegistry. Cuando se habilite la seguridad y se modifique una de estas propiedades, vaya a la página Seguridad global y pulse Aplicar o Aceptar para validar los cambios.
Información Valor
Valor predeterminado: Inhabilitado

Configurar...

Seleccione esta opción para configurar los valores de seguridad globales.

Seguridad Web y SIP

En Autenticación, expanda Seguridad Web y SIP para ver los enlaces a:

  • Valores generales
  • Inicio de sesión único (SSO)
  • Autenticación web SPNEGO
  • Asociación de confianza

Valores generales

Seleccione esta opción para especificar los valores para la autenticación web.

Inicio de sesión único (SSO)

Seleccione esta opción para especificar los valores de configuración para el inicio de sesión único (SSO).

Con el soporte de SSO, los usuarios web pueden autenticarse una vez cuando acceden tanto a los recursos de WebSphere Application Server como, por ejemplo, HTML, archivos JSP (JavaServer Pages), servlets, enterprise beans y los recursos de Lotus Domino.

Autenticación web SPNEGO

SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) proporciona un método a los clientes y servidores web para negociar el protocolo de autenticación web utilizado para permitir comunicaciones.

Asociación de confianza

Seleccione esta opción para especificar los valores de la asociación de confianza. La asociación de confianza se utiliza para conectar servidores proxy inversos con los servidores de aplicaciones.

Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.

Nota: La utilización de interceptores de asociaciones de confianza (TAI) para la autenticación SPNEGO ahora está en desuso. Las páginas de autenticación Web SPNEGO proporcionan ahora una forma mucho más fácil de configurar SPNEGO.

Seguridad RMI/IIOP

En Autenticación, expanda la seguridad RMI/IIOP para ver los enlaces a:

  • Comunicaciones de entrada CSIv2
  • Comunicaciones de salida CSIv2

Comunicaciones de entrada CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que recibe y envía este servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

Las características de autenticación incluyen tres capas de autenticación que puede utilizar de forma simultánea:
  • Capa de atributos CSIv2. La capa de atributos puede contener una señal de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de identidad tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si un cliente envía las tres, solamente se utilizará la capa de identidad. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la solicitud. El cliente toma la IOR (Interoperable Object Reference) del espacio de nombres y lee los valores del componente con distintivo para determinar qué necesita el servidor en cuanto a seguridad.
  • Capa de transporte CSIv2. La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
  • [IBM i][AIX Solaris HP-UX Linux Windows]Capa de mensajes CSIv2. La capa de mensajes puede contener un ID de usuario y una contraseña o señal autenticada con una caducidad.

Comunicaciones de salida CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que se envían y los valores de transporte para conexiones iniciadas por el servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

Las características de autenticación incluyen tres capas de autenticación que puede utilizar de forma simultánea:
  • Capa de atributos CSIv2. La capa de atributos puede contener una señal de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de identidad tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si un cliente envía las tres, solamente se utilizará la capa de identidad. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la solicitud. El cliente toma la IOR (Interoperable Object Reference) del espacio de nombres y lee los valores del componente con distintivo para determinar qué necesita el servidor en cuanto a seguridad.
  • Capa de transporte CSIv2. La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
  • [IBM i][AIX Solaris HP-UX Linux Windows]Capa de mensajes CSIv2. La capa de mensajes puede contener un ID de usuario y una contraseña o señal autenticada con una caducidad.

Java Authentication and Authorization Service

En Autenticación, expanda el servicio de autenticación y autorización de Java para ver los enlaces a:

  • Inicios de sesión de aplicación
  • Inicios de sesión de sistema
  • Datos de autenticación J2C

Inicios de sesión de aplicación

Seleccione esta opción para definir configuraciones de inicio de sesión utilizadas por JAAS.

No elimine las configuraciones de inicio de sesión ClientContainer, DefaultPrincipalMapping y WSLogin puesto que otras aplicaciones las pueden estar utilizando. Si se eliminan estas configuraciones, podría causar anomalías en otras aplicaciones.

Inicios de sesión de sistema

Seleccione esta opción para definir las configuraciones de inicio de sesión JAAS que son utilizadas por los recursos del sistema, incluidos los mecanismos de autenticación, la correlación de principales y la correlación de credenciales.

Datos de autenticación J2C

Seleccione esta opción para especificar los valores para los datos de autenticación de Java Authentication and Authorization Service (JAAS) Java 2 Connector (J2C).

Puede utilizar los valores de seguridad global o personalizar los valores de un dominio.

LTPA

Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.

El cifrado de la información de autenticación que se intercambia entre los servidores implica el mecanismo LTPA (Lightweight Third-Party Authentication).

Kerberos y LTPA

Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.

El cifrado de la información de autenticación que se intercambia entre los servidores implica el mecanismo Kerberos.
Nota: Antes de seleccionar Kerberos debe estar configurado.

Configuración de Kerberos

Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.

El cifrado de la información de autenticación que se intercambia entre los servidores incluye el mecanismo KRB5 de LTPA.

Valores de memoria caché de autenticación

Seleccione esta opción para establecer los valores de la memoria caché de autenticación.

Cómo habilitar JASPI (Java Autenticación SPI)

Seleccione habilitar el uso de la autenticación mediante Java Authentication SPI (JASPI).

A continuación, puede pulsar Proveedores para crear o editar un proveedor de autenticación JASPI y los módulos de autenticación asociados en la configuración de seguridad global.

Utilizar nombres de usuario calificados por reino

Especifica que los nombres de usuario devueltos por métodos, como el método getUserPrincipal(), se cualifican con el reino de seguridad en donde residen.

Dominios de seguridad

Utilice el enlace de dominio de seguridad para crear configuraciones de seguridad adicionales para aplicaciones de usuario.

Por ejemplo, si para un conjunto de aplicaciones de usuario desea utilizar un registro de usuario diferente del que se utiliza a nivel global, puede crear una configuración de seguridad con dicho registro de usuario y asociarla con el conjunto de aplicaciones. Estas configuraciones de seguridad adicionales se pueden asociar con varios ámbitos (célula, clústeres/servidores, SIBuses). Una vez se han asociado las configuraciones de seguridad con un ámbito, todas las aplicaciones de usuario de ese ámbito utilizan esta configuración de seguridad. Para obtener más información, consulte Varios dominios de seguridad.

Para cada atributo de seguridad, puede utilizar los valores de seguridad global o personalizar valores para un dominio.

Proveedores de autorización externos

Seleccione esta opción para especificar si se debe utilizar la configuración de autorización predeterminada o un proveedor de autorización externo.

Los proveedores externos deben basarse en la especificación JACC (Java Authorization Contract for Containers) para manejar la autorización Java EE (Java Platform, Enterprise Edition). No modifique ningún valor en las páginas del proveedor de autorización a no ser que haya configurado un proveedor de seguridad externo como proveedor de autorización JACC.

Propiedades personalizadas

Seleccione esta opción para especificar pares de datos de nombre-valor, en los que el nombre es una clave de propiedad y el valor es una serie.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_secureadminappinfra
File name: usec_secureadminappinfra.html