Configuración de transportes de entrada

Con esta configuración puede configurar un transporte distinto para la seguridad de entrada que para la seguridad de salida.

Antes de empezar

[AIX Solaris HP-UX Linux Windows][IBM i]Los transportes de entrada se refieren a los tipos de puertos de escucha y sus atributos que se abrirán para recibir solicitudes para este servidor. Tanto CSIv2 (Common Secure Interoperability Specification, versión 2) como SAS tienen la capacidad de configurar el transporte.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
[z/OS]Los transportes de entrada se refieren a los tipos de puertos de escucha y sus atributos que se abrirán para recibir solicitudes para este servidor. Tanto CSIv2 (Common Secure Interoperability Specification, Versión 2) como z/SAS (z/OS Secure Authentication Service) tienen la capacidad de configurar el transporte.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
[AIX Solaris HP-UX Linux Windows][IBM i]No obstante, hay las siguientes diferencias entre los dos protocolos:
  • CSIv2 es mucho más flexible que SAS, que requiere SSL (Secure Sockets Layer); mientras que CSIv2 no.
  • SAS no da soporte a la autenticación de certificados de cliente SSL mientras que CSIv2 sí da soporte.
  • CSIv2 puede requerir conexiones SSL, mientras que SAS sólo da soporte a conexiones SSL.
  • SAS siempre tiene abiertos dos puertos de escucha: TCP/IP y SSL.
  • CSIv2 puede tener como mínimo un puerto de escucha y como máximo tres puertos de escucha. Puede abrir un puerto únicamente para TCP/IP o cuando sea necesario SSL. Puede abrir dos puertos cuando tenga soporte de SSL y tres cuando tenga soporte de SSL y de autenticación de certificados de cliente SSL.

[z/OS]CSIv2 y z/SAS admiten en su mayoría las mismas funciones. CSIv2 tiene la ventaja de la interoperatividad con otros productos de WebSphere Application Server y otras plataformas que admiten el protocolo CSIv2.

Acerca de esta tarea

Efectúe los pasos siguientes para configurar los paneles de transporte de entrada en la consola administrativa:

Procedimiento

  1. Pulse Seguridad > Seguridad global.
  2. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2.
  3. En Transporte, seleccione Precisa SSL. Puede elegir utilizar SSL (Secure Sockets Layer), TCP/IP o ambos como transporte de entrada al que da soporte un servidor. Si especifica TCP/IP, el servidor sólo dará soporte a TCP/IP y no aceptará conexiones SSL. Si especifica Da soporte a SSL, este servidor puede dar soporte a las conexiones TCP/IP o SSL indistintamente. Si especifica SSL necesario, cualquier servidor que se comunique con éste debe utilizar SSL.
  4. Pulse Aplicar.
  5. Planifique cómo fijar los puertos de escucha que ha configurado.
    Esto se lleva a cabo en otro panel, pero es el momento adecuado para hablar de ello. La mayoría de los puntos finales se gestionan en una única ubicación, razón por la cual no aparecen en los paneles Transporte de entrada. Si gestiona los puntos finales en una única ubicación, le permitirá reducir el número de conflictos en la configuración cuando asigne los mismos. La ubicación de los puntos finales SSL está en cada servidor. Los siguientes nombres de puertos se definen en el panel Puntos finales y se utilizan para la seguridad de ORB (Object Request Broker):
    • [AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS - Puerto SSL de autenticación de cliente CSIv2
    • [AIX Solaris HP-UX Linux Windows][IBM i]CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS - Puerto SSL de CSIv2
    • [AIX Solaris HP-UX Linux Windows][IBM i]SAS_SSL_SERVERAUTH_LISTENER_ADDRESS - Puerto SSL de SAS
    • [z/OS]ORB_SSL_LISTENER_ADDRESS - Puerto SSL
    • [AIX Solaris HP-UX Linux Windows][IBM i]ORB_LISTENER_PORT - Puerto TCP/IP
    • [z/OS] ORB_LISTENER_ADDRESS - Puerto IIOP

    Para un servidor de aplicaciones, pulse Servidores > Servidores de aplicaciones > nombre_servidor. En Comunicaciones, pulse Puertos. El panel Puertos aparece para el servidor especificado.

    [AIX Solaris HP-UX Linux Windows]Para un agente de nodo, vaya a Administración del sistema > Agentes de nodo > nombre_nodo. En Propiedades adicionales, pulse Puertos. El panel Puertos del agente de nodo y el gestor de despliegue ya se ha fijado, aunque es posible que desee volver a asignar los puertos. Para el gestor de despliegue, pulse Administración del sistema > Gestor de despliegue. En Propiedades adicionales, pulse Puertos.

    El ORB (Object Request Broker) de WebSphere Application Server utiliza un puerto de escucha para las comunicaciones RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol), que se especifica de forma estática con los diálogos de configuración o durante la migración. [z/OS] ORB_LISTENER_ADDRESS y BOOTSTRAP_ADDRESS deben especificar el mismo puerto. Si está trabajando con un cortafuegos, debe especificar un puerto estático para la escucha ORB y abrir dicho puerto en el cortafuegos para que la comunicación pueda pasar a través de éste. La propiedad endPoint para establecer el puerto de escucha de ORB es: ORB_LISTENER_ADDRESS.

    [AIX Solaris HP-UX Linux Windows][IBM i]En el entorno de WebSphere Application Server, Network Deployment, el punto final ORB_LISTENER_ADDRESS se especifica en el agente de nodo. El daemon de servicio de ubicación reside en el agente de nodo y se monta en el puerto de escucha de ORB, lo que ocasiona que se tenga que arreglar el puerto. Asimismo, debe añadir ORB_LISTENER_ADDRESS a los demás servidores de aplicaciones para establecer el puerto de escucha de ORB. Cada ORB tiene un puerto de escucha distinto. En WebSphere Application Server, Network Deployment, debe especificar un puerto de escucha distinto. Por ejemplo, podría especificar los puertos siguientes:
    • Agente de nodo: ORB_LISTENER_ADDRESS=9000
    • Servidor1: ORB_LISTENER_ADDRESS=9811
    • Servidor2: ORB_LISTENER_ADDRESS=9812
    [AIX Solaris HP-UX Linux Windows][IBM i]Se pueden ejecutar los servidores federados sin ejecutar el agente de nodo. Cuando ORB_LISTENER_ADDRESS está establecido en 0 (cero) o un valor mayor, el servidor no depende del daemon de servicio de ubicación para redirigir las conexiones al servidor. Cuando establece ORB_LISTENER_ADDRESS, todas las referencias de objeto en el espacio de nombres especificarán la conexión con el servidor, no el daemon de servicio de ubicación. Si el servidor se está ejecutando sin el agente de nodo, se debe acceder a todas las aplicaciones mediante el servidor de nombres que se ejecuta en el servidor de aplicaciones. El cliente debe cambiar la referencia JNDI (Java™ Naming Directory Interface) para utilizar el host y el puerto del servidor de aplicaciones.
    Tabla 1. ORB_LISTENER_ADDRESS. En esta tabla se describe ORB_LISTENER_ADDRESS.
    ORB_LISTENER_ADDRESS  
    valor = 0 Se inicia el servidor en el puerto que esté disponible y no utiliza el daemon de servicio de ubicación.
    valor > 0 Se inicia el servidor en el puerto especificado por el valor indicado. No se utiliza el daemon de servicio de ubicación.
    Nota: Quizá no funcione la gestión de carga de trabajo sin el agente de nodo en ejecución.

    [z/OS]Realice los pasos siguientes mediante la consola de administración para especificar el puerto o puertos de ORB_LISTENER_ADDRESS.

    [AIX Solaris HP-UX Linux Windows][IBM i]Realice los siguientes pasos para el agente de nodo y el gestor de despliegue.

    1. Pulse Servidores > Servidores de aplicaciones > nombre_servidor . En Comunicaciones, pulse Puertos > Nuevo.
    2. Seleccione ORB_LISTENER_ADDRESS en del campo Nombre de puerto en el panel Configuración.
    3. [AIX Solaris HP-UX Linux Windows][IBM i]Especifique la dirección IP, el nombre de host DNS plenamente cualificado o sólo el nombre de host DNS en el campo Host. Por ejemplo, si el nombre de host es host, el nombre DNS plenamente cualificado puede ser host.miempresa.com y la dirección IP puede ser 155.123.88.201.
    4. [z/OS]Especifique la dirección IP o "*" en el campo Host. Por ejemplo, la dirección IP puede ser 155.123.88.201.
      Importante: Los nombres de host DNS no están soportadas para el valor ORB_LISTENER_ADDRESS.
    5. Escriba el número de puerto en el campo Puerto. El número de puerto especifica el puerto con el que se configura el servicio para que acepte las solicitudes de cliente. El valor de puerto se utiliza con el nombre de host. Utilizando el ejemplo anterior, el número de puerto podría ser 9000.
  6. [AIX Solaris HP-UX Linux Windows][IBM i]Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2. Seleccione los valores SSL que se utilizan para las solicitudes de entrada de los clientes CSIv2 y, a continuación, pulse Aplicar. El protocolo CSIv2 se utiliza para interoperar con releases anteriores. Al configurar los archivos de almacén de claves y de almacén de confianza en la configuración SSL, estos archivos incluyen la información correcta para funcionar conjuntamente con releases anteriores de WebSphere Application Server.
  7. [z/OS]Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Autenticación z/SAS para seleccionar los valores de SSL que se utilizan para las solicitudes de entrada de los clientes z/SAS.

Resultados

La configuración de transporte de entrada ha finalizado. Con esta configuración puede configurar un transporte distinto para la seguridad de entrada que para la seguridad de salida. Por ejemplo, si el servidor de aplicaciones es el primer servidor que utilizan los usuarios, la configuración de seguridad puede ser más segura. Cuando las solicitudes se dirigen hacia los servidores de enterprise bean del programa de fondo, puede disminuir la seguridad por razones de rendimiento en operaciones de salida. Esta flexibilidad le permite diseñar la infraestructura de transporte adecuada para satisfacer sus necesidades.

Qué hacer a continuación

Después de configurar la seguridad, realice los siguientes pasos para guardar, sincronizar y reiniciar los servidores:
  1. Pulse Guardar en la consola administrativa para guardar todas las modificaciones realizadas en la configuración.
  2. [AIX Solaris HP-UX Linux Windows]Sincronice la configuración con todos los agentes de nodo.
  3. Detenga y reinicie todos los servidores, una vez sincronizados.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_inboundtransport
File name: tsec_inboundtransport.html