Con esta configuración puede configurar un transporte distinto para la seguridad de entrada que para la seguridad de salida.
Antes de empezar
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Los
transportes de entrada se refieren a los tipos de puertos de escucha y
sus atributos que se abrirán para recibir solicitudes para este servidor. Tanto
CSIv2 (Common Secure Interoperability Specification, versión 2) como SAS tienen
la capacidad de configurar el transporte.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y
anteriores que se hayan federado en una célula de la Versión 6.1.
![[z/OS]](../images/ngzos.gif)
Los
transportes de entrada se refieren a los tipos de puertos de escucha y
sus atributos que se abrirán para recibir solicitudes para este servidor. Tanto
CSIv2 (Common Secure Interoperability Specification, Versión
2) como z/SAS
(z/OS Secure
Authentication Service) tienen la capacidad de configurar el transporte.
Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y
anteriores que se hayan federado en una célula de la Versión 6.1.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
No obstante, hay las siguientes diferencias entre los dos
protocolos:
- CSIv2 es mucho más flexible que SAS, que requiere SSL (Secure Sockets Layer);
mientras que CSIv2 no.
- SAS no da soporte a la autenticación de certificados de cliente SSL mientras que CSIv2 sí da soporte.
- CSIv2 puede requerir conexiones SSL, mientras que SAS sólo da soporte a conexiones SSL.
- SAS siempre tiene abiertos dos puertos de escucha: TCP/IP y SSL.
- CSIv2 puede tener como mínimo un puerto de escucha y como máximo tres puertos de escucha. Puede abrir un puerto únicamente para TCP/IP o cuando sea necesario SSL. Puede abrir dos puertos cuando tenga soporte de SSL y tres cuando tenga
soporte de SSL y de autenticación de certificados de cliente SSL.
CSIv2 y z/SAS admiten
en su mayoría las mismas funciones. CSIv2 tiene la ventaja de la interoperatividad con otros productos de WebSphere Application Server y otras plataformas que admiten el protocolo CSIv2.
Acerca de esta tarea
Efectúe los pasos siguientes para configurar los paneles de transporte
de entrada en la consola administrativa:
Procedimiento
- Pulse Seguridad > Seguridad global.
- En Seguridad RMI/IIOP, pulse Comunicaciones de entrada
CSIv2.
- En Transporte, seleccione Precisa SSL. Puede elegir utilizar SSL (Secure Sockets Layer), TCP/IP o ambos como transporte de
entrada al que da soporte un servidor. Si especifica TCP/IP, el servidor sólo dará soporte a
TCP/IP y no aceptará conexiones SSL.
Si especifica Da soporte a SSL, este
servidor puede dar soporte a las conexiones TCP/IP o SSL indistintamente. Si
especifica SSL necesario, cualquier servidor que se comunique con éste debe utilizar
SSL.
- Pulse Aplicar.
- Planifique cómo fijar los puertos de escucha que ha
configurado.
Para un servidor de aplicaciones, pulse Servidores > Servidores de aplicaciones
> nombre_servidor. En Comunicaciones,
pulse Puertos.
El panel Puertos aparece para el servidor especificado.
Para un agente de nodo, vaya
a Administración del sistema > Agentes de nodo > nombre_nodo.
En Propiedades adicionales, pulse Puertos. El
panel Puertos del agente de nodo y el gestor de despliegue ya se ha fijado,
aunque es posible que desee volver a asignar los puertos. Para el gestor de
despliegue, pulse Administración del sistema > Gestor de despliegue. En Propiedades adicionales, pulse Puertos.
El ORB
(Object Request Broker) de WebSphere Application Server
utiliza un puerto de escucha para las comunicaciones RMI/IIOP (Remote Method Invocation over the Internet
Inter-ORB Protocol), que se especifica de forma estática con los
diálogos de configuración o durante la migración.
ORB_LISTENER_ADDRESS y BOOTSTRAP_ADDRESS deben especificar el mismo puerto. Si está trabajando con un
cortafuegos, debe especificar un puerto estático para la escucha ORB y
abrir dicho puerto en el cortafuegos para que la comunicación pueda
pasar a través de éste. La propiedad endPoint para establecer el puerto de escucha de ORB es: ORB_LISTENER_ADDRESS.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
En el entorno de
WebSphere Application Server, Network Deployment, el punto final ORB_LISTENER_ADDRESS se especifica en el agente de nodo.
El daemon de
servicio de ubicación reside en el agente de nodo y se monta en el puerto de escucha de ORB, lo que ocasiona que se tenga que arreglar el puerto.
Asimismo, debe añadir ORB_LISTENER_ADDRESS a los
demás servidores de aplicaciones para establecer el puerto de escucha de ORB. Cada ORB tiene un puerto de escucha distinto. En
WebSphere Application Server, Network Deployment, debe especificar un puerto de escucha distinto. Por ejemplo, podría especificar los puertos siguientes:
- Agente de nodo: ORB_LISTENER_ADDRESS=9000
- Servidor1: ORB_LISTENER_ADDRESS=9811
- Servidor2: ORB_LISTENER_ADDRESS=9812
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Se pueden ejecutar los
servidores federados sin ejecutar el agente de nodo. Cuando ORB_LISTENER_ADDRESS
está establecido en 0 (cero) o un valor mayor, el servidor no depende del daemon de
servicio de ubicación para redirigir las conexiones al servidor.
Cuando establece ORB_LISTENER_ADDRESS, todas las
referencias de objeto en el espacio de nombres especificarán la conexión con el
servidor, no el daemon de servicio de ubicación.
Si el servidor se está
ejecutando sin el agente de nodo, se debe acceder a todas las aplicaciones
mediante el servidor de nombres que se ejecuta en el servidor de aplicaciones. El
cliente debe cambiar la referencia JNDI (Java™ Naming
Directory Interface) para utilizar el host y el puerto del
servidor de aplicaciones.
Tabla 1. ORB_LISTENER_ADDRESS. En esta tabla se describe ORB_LISTENER_ADDRESS.ORB_LISTENER_ADDRESS |
|
valor = 0 |
Se inicia el servidor en el puerto que esté disponible y no utiliza el daemon de servicio de ubicación. |
valor > 0 |
Se inicia el servidor en el puerto especificado por el valor indicado. No se utiliza el daemon de servicio de ubicación. |
Nota: Quizá no funcione la gestión de carga de trabajo sin el
agente de nodo en ejecución.
Realice los pasos siguientes mediante la consola de
administración para especificar el puerto o puertos de ORB_LISTENER_ADDRESS.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Realice los siguientes pasos para el agente de nodo y el gestor de
despliegue.
- Pulse Servidores > Servidores de aplicaciones >
nombre_servidor .
En Comunicaciones, pulse Puertos > Nuevo.
- Seleccione ORB_LISTENER_ADDRESS en del campo Nombre de puerto en el panel Configuración.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Especifique la dirección IP, el nombre de host DNS plenamente cualificado o sólo el nombre de host DNS en el campo Host. Por ejemplo, si el nombre de host es host, el nombre DNS
plenamente cualificado puede ser host.miempresa.com y la dirección IP puede ser
155.123.88.201.
Especifique la dirección IP o "*" en el campo Host. Por ejemplo, la dirección IP puede ser 155.123.88.201.
Importante: Los nombres de host DNS no están soportadas para el valor
ORB_LISTENER_ADDRESS.
- Escriba el número de puerto en el campo Puerto. El número de puerto especifica el puerto con el que se configura
el servicio para que acepte las solicitudes de cliente. El valor de puerto se
utiliza con el nombre de host. Utilizando el ejemplo anterior, el número de puerto podría
ser 9000.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2. Seleccione
los valores SSL que se utilizan para las solicitudes de entrada de
los clientes CSIv2 y, a continuación, pulse Aplicar. El protocolo CSIv2 se utiliza para interoperar con releases anteriores.
Al configurar los archivos de almacén de claves y de almacén de confianza en la
configuración SSL, estos archivos incluyen la información correcta para
funcionar conjuntamente con releases anteriores de WebSphere Application Server.
Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse
Autenticación z/SAS para seleccionar los valores de SSL que se utilizan para
las solicitudes de entrada de los clientes z/SAS.
Resultados
La configuración de transporte de entrada ha finalizado. Con esta configuración puede configurar un transporte distinto para la seguridad de entrada que para la seguridad de salida. Por ejemplo, si el servidor de aplicaciones es el primer servidor que utilizan
los usuarios, la configuración de seguridad puede ser más segura. Cuando las solicitudes se dirigen hacia los servidores de
enterprise bean del programa de fondo, puede disminuir la seguridad por
razones de rendimiento en operaciones de salida. Esta flexibilidad le permite
diseñar la infraestructura de transporte adecuada para satisfacer sus necesidades.
Qué hacer a continuación
Después de configurar la seguridad, realice los siguientes pasos
para guardar, sincronizar y reiniciar los servidores:
- Pulse Guardar en la consola administrativa para guardar todas las modificaciones realizadas en la configuración.
Sincronice la configuración con todos los agentes de nodo.
- Detenga y reinicie todos los servidores, una vez sincronizados.