Configuración de la autenticación CSI (Common Secure Interoperability) mediante scripts
Utilice este tema para utilizar la herramienta wsadmin para configurar las comunicaciones de entrada y salida utilizando el protocolo CSI (Common Secure Interoperability). Common Secure Interoperability Versión 2 (CSIv2) da soporte a una interoperatividad de proveedor mejorada y a características adicionales.
Antes de empezar
- Debe tener el rol de administrador o de nuevo admin.
- Habilite la seguridad global en el entorno.
- Configure varios dominios con dominios de seguridad en el entorno.
Procedimiento
- Configure la autenticación de comunicación de entrada CSI.
La autenticación de entrada hace referencia a la configuración que determina qué tipo de autenticación se acepta para solicitudes de entrada. Esta autenticación se anuncia en la IOR (Interoperable Object Reference) que el cliente recupera del servidor de nombres.
- Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
- Determine los valores que se van a especificar para la comunicación de
entrada CSI. El mandato configureCSIInbound configura los distintos valores para la comunicación de entrada CSI.
Tabla 1. Parámetros del mandato. Revise la siguiente lista de parámetros opcionales para determinar los atributos que se van a establecer en la configuración: Parámetro Descripción -securityDomainName Especifica el nombre de la configuración de seguridad. Si no especifica un nombre de dominio de seguridad, el mandato modifica la configuración de seguridad global. (Serie) -messageLevelAuth Especifica si los clientes que se conectan a este servidor deben especificar un ID de usuario y una contraseña. Especifique NUNCA para inhabilitar el requisito de ID de usuario y contraseña. Especifique Soportado para aceptar un ID de usuario y una contraseña. Especifique Necesario para solicitar un ID de usuario y una contraseña. (Serie) -supportedAuthMechList Especifica el mecanismo de autenticación que se va a utilizar. Especifique KRB5 para la autenticación de Kerberos, LTPA para la autenticación LTPA (Lightweight Third-Party Authentication), BasicAuth para la autenticación básica y custom para utilizar su propia implementación de señal de autenticación. Puede especificar más de una, separada por una barra vertical (|). (Serie) -clientCertAuth Especifica si un cliente debe utilizar un certificado SSL para conectarse al servidor. Especifique Nunca para permitir que los clientes se conecten sin certificados SSL. Especifique Soportado para aceptar que los clientes se conecten con y sin certificados SSL. Especifique Necesario para requerir que los clientes utilicen un certificado SSL. (Serie) -transportLayer Especifica el nivel de soporte de la capa de transporte. Especifique Nunca para inhabilitar el soporte de la capa de transporte. Especifique Soportado para habilitar el soporte de la capa de transporte. Especifique Necesario para solicitar el soporte de la capa de transporte. (Serie) -sslConfiguration Especifica el alias de configuración SSL que debe utilizarse para el transporte entrante. (Serie) -enableIdentityAssertion Especifica si debe habilitarse la aserción de identidad. Al utilizar el método de autenticación de confirmación de identidad, la señal de seguridad generada es un elemento <wsse:UsernameToken> que contiene un elemento <wsse:Username>. Especifique true para el parámetro -enableIdentityAssertion para habilitar la aserción de identidad. (Boolean) -trustedIdentities Especifica una lista de identidades de servidores de confianza, separadas por el carácter de conducto (|). Para especificar un valor nulo, establezca el valor del parámetro -trustedIdentities como una serie vacía (""). (Serie) -statefulSession Especifica si debe habilitarse una sesión con estado. Especifique true para habilitar una sesión con estado. (Boolean) -enableAttributePropagation Especifica si se debe habilitar la propagación de atributos de seguridad. La propagación de atributos de seguridad permite al servidor de aplicaciones transportar contenido de sujetos autenticados e información de contexto de seguridad de un servidor a otro en la configuración. Especifique true para habilitar la propagación de atributos de seguridad. (Booleano) - Configure la autenticación de comunicación de entrada CSI.
El mandato configureCSIInbound configura la autenticación de entrada CSIv2 en un dominio de seguridad o en la configuración de seguridad global. Cuando se configura la entrada CSI en un dominio de seguridad por primera vez, los objetos CSI se copian desde la seguridad global. A continuación, se aplican los cambios a la configuración.
Utilice el mandato configureCSIInbound para configurar la autenticación de entrada CSI de un dominio de seguridad o la configuración de seguridad global, tal como se muestra en el siguiente ejemplo Jython:AdminTask.configureCSIInbound('-securityDomainName dominioPrueba -messageLevelAuth Soportado -supportedAuthMechList KRB5|LTPA -clientCertAuth Soportado -statefulSession true')
- Guarde los cambios de configuración. Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
AdminConfig.save()
- Configure la autenticación de comunicación de salida CSI.
La autenticación de salida hace referencia a la configuración que determina el tipo de autenticación que se realiza en las solicitudes de salida para servidores en sentido descendente.
- Inicie la herramienta de scripts wsadmin.
- Determine los valores que se van a especificar para la comunicación de
salida CSI. El mandato configureCSIOutbound configura los distintos valores para la comunicación de salida CSI.
Tabla 2. Parámetros del mandato. Revise la siguiente lista de parámetros opcionales para determinar los atributos que se van a establecer en la configuración: Parámetro Descripción -securityDomainName Especifica el nombre de la configuración de seguridad. Si no especifica un nombre de dominio de seguridad, el mandato modifica la configuración de seguridad global. (Serie) -enableAttributePropagation Especifica si se debe habilitar la propagación de atributos de seguridad. La propagación de atributos de seguridad permite al servidor de aplicaciones transportar contenido de sujetos autenticados e información de contexto de seguridad de un servidor a otro en la configuración. Especifique true para habilitar la propagación de atributos de seguridad. (Booleano) -enableIdentityAssertion Especifica si debe habilitarse la aserción de identidad. Al utilizar el método de autenticación de confirmación de identidad, la señal de seguridad generada es un elemento <wsse:UsernameToken> que contiene un elemento <wsse:Username>. Especifique true para el parámetro -enableIdentityAssertion para habilitar la aserción de identidad. (Boolean) -useServerIdentity Especifica si se debe utilizar la identidad del servidor para establecer la confianza con el servidor de destino. Especifique true para utilizar la identidad del servidor. (Booleano) -trustedId Especifica la identidad de confianza que utiliza el servidor de aplicaciones para establecer la confianza con el servidor de destino. (Serie) -trustedIdentityPassword Especifica la contraseña de la identidad del servidor de confianza. (Serie) -messageLevelAuth Especifica si los clientes que se conectan a este servidor deben especificar un ID de usuario y una contraseña. Especifique NUNCA para inhabilitar el requisito de ID de usuario y contraseña. Especifique Soportado para aceptar un ID de usuario y una contraseña. Especifique Necesario para solicitar un ID de usuario y una contraseña. (Serie) -supportedAuthMechList Especifica el mecanismo de autenticación que se va a utilizar. Especifique KRB5 para la autenticación de Kerberos, LTPA para la autenticación LTPA (Lightweight Third-Party Authentication), BasicAuth para la autenticación básica y custom para utilizar su propia implementación de señal de autenticación. Puede especificar más de una, separada por una barra vertical (|). (Serie) -clientCertAuth Especifica si un cliente debe utilizar un certificado SSL para conectarse al servidor. Especifique Nunca para permitir que los clientes se conecten sin certificados SSL. Especifique Soportado para aceptar que los clientes se conecten con y sin certificados SSL. Especifique Necesario para requerir que los clientes utilicen un certificado SSL. (Serie) -transportLayer Especifica el nivel de soporte de la capa de transporte. Especifique Nunca para inhabilitar el soporte de la capa de transporte. Especifique Soportado para habilitar el soporte de la capa de transporte. Especifique Necesario para solicitar el soporte de la capa de transporte. (Serie) -sslConfiguration Especifica el alias de configuración SSL que debe utilizarse para el transporte entrante. (Serie) -statefulSession Especifica si debe habilitarse una sesión con estado. Especifique true para habilitar una sesión con estado. (Boolean) -enableCacheLimit Especifica si se debe limitar el tamaño de la memoria caché de la sesión CSIv2. Si especifica un valor true, se añade un límite al tamaño de la memoria caché. El valor del límite se determina por los valores que se establecen con los parámetros -maxCacheSize y -idleSessionTimeout. Un valor false, que es el valor predeterminado, no limita el tamaño de la memoria caché. Añada un valor true para este parámetro si el entorno utiliza la autenticación Kerberos y el desfase horario del KDC (centro de distribución de claves) es pequeño. Un desfase horario pequeño es aquel que es menor de 20 minutos. Este parámetro se aplica cuando se establece el parámetro -statefulSession en true. (Booleano) -maxCacheSize Especifica el tamaño máximo de la memoria caché de la sesión superado el cual se suprimen las sesiones caducadas de la memoria caché. Las sesiones caducadas son sesiones que están desocupadas más tiempo del valor que se especifica en el parámetro -idleSessionTimeout. Considere la especificación de un valor para este parámetro si el entorno utiliza la autenticación Kerberos y el desfase horario del KDC (centro de distribución de claves) es pequeño. Un desfase horario pequeño es aquel que es menor de 20 minutos. Considere aumentar el valor de este parámetro si el tamaño pequeño de la memoria caché hace que la recogida de basura se ejecute con tanta frecuencia que afecta al rendimiento del servidor de aplicaciones. Este parámetro se aplica al establecer los parámetros -statefulSession y -enableCacheLimit en true y establecer un valor para el parámetro -idleSessionTimeout. El intervalo de valores válidos para este parámetro es de 100 a 1000. (Integer) -idleSessionTimeout Especifica el tiempo, en milisegundos, que una sesión CSIv2 puede permanecer desocupada antes de que se suprima. La sesión se suprime si establece el parámetro -enableCacheLimit en true y si se supera el valor del parámetro -maxCacheSize. Considere reducir el valor de este parámetro si el entorno utiliza la autenticación Kerberos y el desfase horario del KDC es pequeño. Un pequeño desfase horario puede producir un gran número de sesiones CSIv2 rechazadas. Sin embargo, con un valor más pequeño para este parámetro, el servidor de aplicaciones puede borrar las sesiones rechazadas con más frecuencia y reducir la posibilidad de una escasez de recursos. El intervalo de valores válidos para este parámetro es de 60.000 a 86.400.000 milisegundos. (Integer) -enableOutboundMapping Especifica si debe habilitarse la correlación de identidades salientes. Especifique true para habilitar la correlación de identidades de salida personalizada. (Boolean) -trustedTargetRealms Especifica una lista de dominios de destino con los que se debe confiar. Separe cada nombre de dominio con el carácter de conducto (|). (Serie) - Configure la autenticación de comunicación de salida CSI.
El mandato configureCSIOutbound configura la autenticación de salida CSIv2 en un dominio de seguridad o en la configuración de seguridad global. Cuando se configura la salida CSI en un dominio de seguridad por primera vez, el servidor de aplicaciones copia los objetos CSI desde la seguridad global. A continuación, el servidor de aplicaciones aplica los cambios a dicha configuración.
Utilice el mandato configureCSIOutbound para configurar la autenticación de salida CSI de un dominio de seguridad o la configuración de seguridad global, tal como se muestra en el siguiente ejemplo Jython:AdminTask.configureCSIOutbound('-securityDomainName dominioPrueba -enableIdentityAssertion true -trustedId myID -trustedIdentityPassword myPassword123 -messageLevelAuth Necesario -trustedTargetRealms realm1|realm2|realm3')
- Guarde los cambios de configuración. Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
AdminConfig.save()


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7configcsi
File name: txml_7configcsi.html