![[z/OS]](../images/ngzos.gif)
Seguridad de WebSphere Application Server for z/OS
WebSphere Application Server para z/OS da soporte al acceso de los clientes y los servidores a los recursos en una red distribuida. Determine cómo puede controlar el acceso a estos recursos e impedir la destrucción accidental o indebida del sistema o los datos.
Estas son las partes de la red distribuida que se tienen que tener en cuenta:
- Debe autorizar servidores en estos servicios de sistema operativo base
en z/OS. Estos servicios pueden ser la seguridad SAF (System Authorization Facility), la gestión de bases de datos y
al gestión de transacciones.
- En los clústeres de servidores, debe distinguir entre controladores y sirvientes. Los controladores ejecutan código del sistema autorizado, por lo que son de confianza. Los sirvientes ejecutan código de aplicaciones y tienen acceso a los recursos, por lo que debe otorgar autorizaciones a los sirvientes con precaución.
- También debe distinguir entre el nivel de autorización que tienen los servidores de tiempo de ejecución y sus propios servidores de aplicaciones. Por ejemplo, el nodo necesita autorización para iniciar otros clústeres, mientras que sus propios clústeres de aplicaciones no necesitan esta autorización.
- Debe autorizar a los clientes (usuarios) para acceder a los servidores y los
objetos que hay dentro de los servidores. Las características de cada cliente
necesitan consideraciones especiales:
- ¿El cliente está en el sistema local o es un cliente remoto? La seguridad de la red es un problema si los clientes son remotos.
- ¿Desea permitir que clientes no identificados (no autenticados) accedan al sistema? Algunos recursos del sistema están especialmente indicados para el acceso público, mientras que otros se tienen que proteger. Para acceder a los recursos protegidos, los clientes deben establecer su identidad y tener autorización para utilizar esos recursos.
- La autenticación es el proceso de establecer la identidad de un cliente
dentro de un contexto determinado. Un cliente puede ser un usuario final, una
máquina o una aplicación. El término mecanismo de autenticación en
WebSphere
Application Server en z/OS hace referencia más específicamente
al recurso en el que WebSphere identifica una identidad autenticada,
utilizando recursos HTTP y JMX (Java™ Management Extensions). Cuando se configura una célula, se debe seleccionar un mecanismo de
autenticación. El mecanismo de autenticación puede ser:
- SWAM (Simple WebSphere Authorization Mechanism): sólo para Application Server
base; no está disponible en la configuración de Network DeploymentNota: SWAM está en desuso en WebSphere Application Server Versión 9.0 y se eliminará de releases futuros.
- Lightweight Third Party Authentication (LTPA)
- Kerberos
- SWAM (Simple WebSphere Authorization Mechanism): sólo para Application Server
base; no está disponible en la configuración de Network Deployment
- La información sobre los usuarios y los grupos reside en un registro de usuarios. En WebSphere Application Server, un
registro de usuarios autentica un
usuario y recupera información sobre usuarios y grupos para
realizar funciones relacionadas con la seguridad, incluidas la
autenticación y la autorización. Se proporciona una
implementación para dar soporte a varios registros de usuarios basados en sistemas
operativos o entornos operativos. Cuando se configura una célula, se debe
seleccionar un único registro de usuarios. El registro de usuarios puede ser local
o remoto. El registro de usuarios puede ser:
- Registro local basado en SAF (de forma predeterminada cuando se selecciona un producto de seguridad z/OS para la seguridad administrativa durante la personalización)
- LDAP (Lightweight Directory Access Protocol) autónomo: LDAP puede ser un registro de usuarios local o remoto
- Registro de usuarios personalizado autónomo: el registro de usuarios personalizado se configura para adaptarse a unas necesidades de registro exclusivas. WebSphere Application Server proporciona un ejemplo de registro de usuarios sencillo denominado FileBasedRegistrySample.
- Repositorios federados (por omisión cuando se selecciona WebSphere Application Server para la seguridad administrativa durante la personalización)
Si tiene que proteger recursos, es importante identificar quién tiene acceso a
esos recursos. Por lo tanto, todo sistema de seguridad necesita la identificación
del cliente (usuario), también conocida como autenticación. En una red distribuida
soportada por WebSphere Application
Server for z/OS, los clientes pueden acceder a
los recursos desde:
- El mismo sistema que el servidor
- El mismo sysplex que el servidor
- Sistemas z/OS remotos
- Sistemas heterogéneos como, por ejemplo, WebSphere Application Server en plataformas distribuidas, CICS (Customer Information Control System) u otros sistemas compatibles con Java Platform, Enterprise Edition.
Asimismo, los clientes pueden solicitar un servicio que requiera que un servidor envíe la solicitud a otro clúster. En tales casos, el sistema debe manejar la delegación, esto es, la disponibilidad de la identidad de cliente que utilizan los clústeres intermedios y los clústeres de destino.
Por último, en una red distribuida, ¿cómo se comprueba que los mensajes que
se pasan son confidenciales y no se han manipulado? ¿Cómo se comprueba que los
clientes son quienes dicen? ¿Cómo se correlacionan identidades de red con
identidades de z/OS? Estos problemas se solucionan con el siguiente soporte
de WebSphere Application Server para z/OS:
- Utilización de Secure Sockets Layer (SSL) y certificados digitales
- Kerberos
- Common Secure Interoperability, Versión 2 (CSIv2)
- SPNEGO (Simple and Protected GSS-API Negotiation Mechanism)
- Característica de correlación de identidad distribuida en SAF