Habilitación de la seguridad

A continuación se proporciona información sobre cómo configurar la seguridad cuando no se ha habilitado la seguridad durante la creación del perfil de WebSphere Application Server.

Antes de empezar

Al instalar WebSphere Application Server, se recomienda que instale con la seguridad habilitada. Según el diseño, esta opción asegura que todo se ha configurado correctamente. Cuando se habilita de la seguridad, se protege al servidor de usuarios no autorizados y se puede proporcionar aislamiento de aplicaciones y requisitos para autenticar usuarios de aplicaciones.

Es útil entender la seguridad desde una perspectiva de infraestructura para comprender las ventajas que proporcionan distintos mecanismos de autenticación, registros de usuario, protocolos de autenticación, etc. Seleccionar los componentes de seguridad correctos que cubran sus necesidades forma parte del proceso de configuración de la seguridad. Los siguientes apartados le ayudarán a tomar estas decisiones.

Una vez que conozca los componentes de seguridad, puede proceder a configurar la seguridad en WebSphere Application Server.

[z/OS]Atención: Existen algunas tareas de personalización de la seguridad que son necesarias para habilitar la seguridad. Estas tareas requieren actualizaciones en el servidor de seguridad como, por ejemplo, RACF (Resource Access Control Facility). Quizá tenga que incluir el administrador de seguridad en este proceso.

Procedimiento

  1. Inicie la consola administrativa de WebSphere Application Server.

    Inicie el gestor de despliegue y, en el navegador, escriba la dirección del servidor WebSphere Application Server, Network Deployment. Por omisión, la consola se encuentra en http://su_sistema_host.su_dominio:9060/ibm/console.

    Si la seguridad está inhabilitada, se le solicita que especifique un ID de usuario. Inicie la sesión con cualquier ID de usuario. Sin embargo, si la seguridad está habilitada, se le solicita que especifique un ID de usuario y una contraseña. Inicie la sesión con un ID de usuario y una contraseña de administrador predefinidos.

  2. Pulse Seguridad > Seguridad global.

    Utilice el asistente de configuración de seguridad, o configure la seguridad manualmente. El orden de la configuración no es importante.

    Avoid trouble Avoid trouble: Debe habilitar la seguridad administrativa y la seguridad de aplicaciones de forma separada. Debido a esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada por omisión. La seguridad de aplicaciones está inhabilitada por omisión. Antes de intentar habilitar la seguridad de aplicaciones en el servidor de destino, verifique que la seguridad administrativa esté habilitada en ese servidor. La seguridad de aplicaciones sólo está vigente cuando la seguridad administrativa está habilitada.gotcha

    Para obtener más información sobre la configuración manual, consulte Autenticación de usuarios.

  3. Configure el repositorio de cuentas de usuario. Para obtener más información, consulte Selección de un registro o repositorio.En el panel Seguridad global, puede configurar repositorios de cuentas de usuario, como repositorios federados, el sistema operativo local, el registro LDAP (Lightweight Directory Access Protocol) autónomo y el registro personalizado autónomo.
    Nota: Puede optar por especificar un ID de servidor y contraseña para interoperatividad o permitir que una instalación de WebSphere Application Server genere automáticamente un ID de servidor interno. Para obtener más información acerca de cómo generar los ID de servidor, consulte el apartado Valores del sistema operativo local.

    Uno de los detalles comunes a todos los registros o repositorios de usuario es el Nombre de usuario administrativo primario. Este ID es un miembro del depósito seleccionado que tiene privilegios especiales en WebSphere Application Server. Los privilegios de este ID y los privilegios asociados con el ID de rol de administración son los mismos. El Nombre de usuario administrativo primario puede acceder a todos los métodos administrativos protegidos.

    [Windows]El ID no puede tener el mismo nombre que el nombre de la máquina del sistema porque el repositorio a veces devuelve información específica de la máquina cuando se realiza una consulta sobre un usuario con el mismo nombre.

    En los registros LDAP autónomos, compruebe que el Nombre de usuario administrativo primario es un miembro del depósito y no únicamente el ID de rol de administración de LDAP. La entrada debe poder buscarse.

    [AIX Solaris HP-UX Linux Windows][IBM i]El nombre de usuario administrativo primario no ejecuta los procesos de WebSphere Application Server. En su lugar, el ID de proceso ejecuta los procesos de WebSphere Application Server.

    [AIX Solaris HP-UX Linux Windows]El ID de proceso viene determinado por la forma en que se inicia el proceso. Por ejemplo, si utiliza la línea de mandatos para iniciar los procesos, el ID de usuario que está conectado al sistema es el ID de proceso. Por ejemplo, si utiliza la línea de mandatos para iniciar los procesos, el ID de usuario que está conectado al sistema es el ID de proceso. Si se selecciona el registro del sistema operativo local, el ID de proceso requiere privilegios especiales para llamar a las API del sistema operativo. El ID de proceso debe tener los siguientes privilegios específicos de la plataforma:
    • [Windows]Privilegios Actuar como parte del sistema operativo
    • [AIX HP-UX Solaris]Privilegios Raíz

    [IBM i]En la configuración por omisión, los procesos de WebSphere Application Server se ejecutan bajo el perfil de usuario proporcionado por el sistema QEJBSVR.

    [z/OS]Cuando se utiliza el registro del sistema operativo local autónomo en WebSphere Application Server para z/OS, el ID de usuario para el servidor no se establece mediante la consola administrativa, sino mediante la clase STARTED en el sistema operativo z/OS.

  4. Seleccione la opción Establecer como actual después de configurar el repositorio de cuentas de usuario. Cuando se pulsa Aplicar y está establecida la opción Habilitar seguridad administrativa, se verifica si se ha configurado un ID de usuario administrativo y si está presente en el registro de usuarios activo. El ID de usuario administrativo se puede especificar en el panel de registro de usuario activo o en el enlace usuarios de consola. Si no configura un ID administrativo para el registro de usuario activo, no se puede realizar la validación.
    Nota: Cuando cambia de registros de usuario, se deben borrar del archivo admin-authz.xml los ID administrativos y nombres de aplicaciones existentes. Se producirán excepciones en los registros para los ID que existan en el archivo admin-authz.xml pero que no existan en el registro de usuario actual.
  5. [z/OS]Opcional: Puede configurar y cambiar el proveedor de autorizaciones externo por autorización de WebSphere, autorización SAF (System Authorization Facility) o un proveedor de JACC externo. Para obtener más información, consulte Autorización SAF (System Authorization Facility) de z/OS y Habilitación de un proveedor de JACC externo. Para cambiar el proveedor de autorizaciones, pulse Seguridad > Seguridad global.
  6. Configure el mecanismo de autenticación.

    Configure LTPA (Lightweight Third-Party Authentication) o Kerberos, que es nuevo en este release de WebSphere Application Server, en Mecanismos de autenticación y caducidad. Las credenciales LTPA pueden reenviarse a otras máquinas. Por motivos de seguridad, las credenciales caducan; no obstante, puede configurar las fechas de caducidad en la consola. Las credenciales LTPA permiten a los navegadores visitar distintos servidores del producto, lo que significa que no tiene que realizar la autenticación varias veces. Para obtener más información, consulte Configuración del mecanismo LTPA (Lightweight Third Party Authentication)

    [z/OS]Nota: Puede configurar SWAM (Simple WebSphere Authentication Mechanism) como mecanismo de autenticación. Sin embargo, SWAM es una característica en desuso del WebSphere Application Server Versión 9.0 y se eliminará en un release posterior. Las credenciales SWAM no se pueden remitir a otras máquinas y por esa razón no caducan.

    Si desea soporte de SSO (Inicio de sesión único), que permite que los navegadores accedan a distintos servidores de producto sin tener que autenticarse varias veces, consulte Implementación del inicio de sesión único para minimizar las autenticaciones de usuario web. Para el inicio de sesión basado en formulario, debe configurar SSO cuando utilice LTPA.

  7. Opcional: Importe y exporte las claves LTPA para Inicio de sesión único entre células (SSO). Para obtener más información, consulte los artículos siguientes:
    Avoid trouble Avoid trouble: Si una de las células a la que se va a conectar reside en un sistema de la Versión 6.0.x, consulte el tema sobre la configuración de claves LPTA (Lightweight Third Party Authentication) en el centro de información de la Versión 6.0.x para obtener más información.gotcha
  8. Configure el protocolo de autenticación para obtener requisitos especiales de seguridad de clientes Java™, si es necesario.

    [AIX Solaris HP-UX Linux Windows][IBM i]Puede configurar CSIv2 (Common Secure Interoperability Versión 2) mediante enlaces en el panel Seguridad global. Se proporciona el protocolo SAS (Security Authentication Service) a efectos de compatibilidad con releases anteriores del producto, pero está en desuso. Los enlaces con el protocolo SAS aparecen en el panel Seguridad global si el entorno contiene servidores que utilizan versiones anteriores de WebSphere Application Server y soportan el protocolo SAS. Para obtener información detallada sobre cómo configurar CSIv2 o SAS, consulte el apartado Configuración de los valores de comunicación de entrada y salida de Common Secure Interoperability Versión 2 (CSIV2).

    [z/OS]Puede configurar CSIv2 (Common Secure Interoperability Versión 2) mediante enlaces en el panel Seguridad global. Se proporciona el protocolo z/SAS (z/OS Security Authentication Service) a efectos de compatibilidad con releases anteriores del producto, pero está en desuso. Los enlaces con el protocolo z/SAS aparecen en el panel Seguridad global si el entorno contiene servidores que utilizan versiones anteriores de WebSphere Application Server y soportan el protocolo SAS. Para obtener información detallada sobre cómo configurar CSIv2 o z/SAS, consulte el apartado Configuración de los valores de comunicación de entrada y salida de Common Secure Interoperability Versión 2 (CSIV2).
    Importante: z/SAS sólo está soportado entre servidores de la versión 6.0.x y anteriores que se hayan federado en una célula de la Versión 6.1.
    [AIX Solaris HP-UX Linux Windows][IBM i]Atención: IBM® ya no suministra ni da soporte al protocolo de seguridad IIOP de SAS (Secure Authentication Service). Se recomienda que utilice el protocolo CSIv2 (Common Secure Interoperability Versión 2).
    [z/OS]Atención: IBM ya no suministra ni da soporte al protocolo de seguridad IIOP de z/SAS (z/OS Secure Authentication Service). Se recomienda que utilice el protocolo CSIv2 (Common Secure Interoperability Versión 2). CSIv2 interactuará con versiones anteriores de WebSphere Application Server, excepto con el cliente de la versión 4.
  9. [AIX Solaris HP-UX Linux Windows][IBM i]SSL (Secure Socket Layers) se preconfigura por omisión, y los cambios no son necesarios, a menos que tenga requisitos SSL personalizados. Puede modificar o crear una nueva configuración SSL. De este modo se protege la integridad de los mensajes que se envía por Internet. El producto proporciona una ubicación centralizada para especificar configuraciones SSL que las distintas características de WebSphere Application Server que utilizan SSL pueden utilizar, incluido el registro LDAP, el contenedor web y el protocolo de autenticación RMI/IIOP (CSIv2). Para obtener más información, consulte Creación de configuraciones de Capa de sockets seguros. Después de modificar o crear una configuración, especifíquela en el panel Configuraciones SSL. Para acceder al panel Configuraciones SSL, siga estas instrucciones:
    1. Pulse Seguridad > Gestión de claves y certificados SSL.
    2. En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final > nombre_configuración.
    3. En Elementos relacionados para cada ámbito (por ejemplo, nodo, clúster, servidor), seleccione uno de los muchos enlaces de configuración que puede ampliarse al recurso que está visitando.

    Puede editar el archivo DefaultSSLConfig o crear una nueva configuración SSL con un nuevo nombre de alias. Si crea un nuevo nombre de alias para los archivos de almacén de claves y de almacén de confianza, debe cambiar todas las ubicaciones que hacen referencia al alias de configuración SSL DefaultSSLConfig. La lista siguiente especifica las ubicaciones donde se utilizan los alias de repertorio de configuración de SSL en la configuración de WebSphere Application Server.

    Para los transportes que utilizan las nuevas cadenas de canal de entrada/salida de red, incluidos HTTP y JMS (Java Message Service), puede modificar los alias de repertorio de configuración SSL en las siguientes ubicaciones de cada servidor:
    • Pulse Servidor > Servidor de aplicaciones > nombre_servidor. En Comunicaciones, pulse Puertos. Localice la cadena de transporte donde esté habilitado SSL y pulse Ver transportes asociados. Pulse nombre_canal_transporte. En Canales de transporte, pulse Canal SSL de entrada (SSL_2).
    • Pulse Administración del sistema > Gestor de despliegue. En Propiedades adicionales, pulse Puertos. Localice la cadena de transporte donde esté habilitado SSL y pulse Ver transportes asociados. Pulse nombre_canal_transporte. En Canales de transporte, pulse Canal SSL de entrada (SSL_2).
    • Pulse Administración del sistema > Agentes de nodo > nombre_agente_nodo. En Propiedades adicionales, pulse Puertos. Localice la cadena de transporte donde esté habilitado SSL y pulse Ver transportes asociados. Pulse nombre_canal_transporte. En Canales de transporte, pulse Canal SSL de entrada (SSL_2).
    Para los transportes SSL de ORB (Object Request Broker), puede modificar los alias de repertorio de configuración de SSL en las ubicaciones siguientes. Estas configuraciones son de nivel de servidor para WebSphere Application Server y de nivel de célula para WebSphere Application Server, Network Deployment.
    • Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de entrada CSIv2.
    • Pulse Seguridad > Seguridad global. En Seguridad RMI/IIOP, pulse Comunicaciones de salida CSIv2.

    Para el transporte SSL de LDAP (Lightweight Directory Access Protocol), puede modificar los alias de repertorio de configuración de SSL pulsando Seguridad > Seguridad global. En Repositorio de cuentas de usuario, pulse la lista desplegable Definiciones del reino disponibles y seleccione Registro LDAP autónomo.

  10. [z/OS]Establezca la autorización. Si elige utilizar un producto de seguridad z/OS durante la personalización, se utilizará por omisión la autorización SAF (System Authorization Facility) (perfiles EJBROLE). De lo contrario, el valor predeterminado es la autorización de WebSphere Application Server. De forma opcional, puede establecer una autorización externa JACC (Java Authorization Contract for Containers). Consulte Consideraciones especiales sobre el control del acceso a roles de nombres mediante la autorización SAF o Proveedores de autorización.
  11. [z/OS]Verifique los repertorios SSL (Secure Sockets Layer) que vaya a utilizar WebSphere Application Server. Los trabajos de personalización de ejemplo generados por la herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt generan trabajos de ejemplo para crear conjuntos de claves SSL que se pueden utilizar si RACF es el servidor de seguridad. Estos trabajos crean un certificado único de la autoridad emisora de certificados RACF para la instalación junto con un conjunto de certificados de servidor firmados por esta entidad emisora de certificados. El ID de la tarea iniciada por el controlador del servidor de aplicaciones tiene un conjunto de claves SAF que incluye estos certificados. De forma similar, en un entorno de WebSphere Application Server, Network Deployment se crean conjuntos de claves RACF que son propiedad del ID de usuario del gestor de despliegue y los ID de usuario del agente de nodo.

    Un conjunto de claves RACF se identifica de forma única mediante el nombre del conjunto de claves del repertorio y el ID de usuario de MVS del proceso controlador del servidor. Si distintos procesos controladores de WebSphere Application Server tienen ID de usuario de MVS únicos, debe asegurarse de que se genere un conjunto de claves RACF y una clave privada, aun cuando compartan el mismo repertorio.

    Existen dos tipos de repertorios SSL configurables:
    • El repertorio SSL del sistema (System SSL) lo utilizan los transportes nativos para las comunicaciones HTTPS e IIOP (Internet InterORB Protocol). Si desea utilizar la consola administrativa después de habilitar la seguridad, debe definir y seleccionar un tipo repertorio SSL del sistema para HTTP. Debe definir un repertorio SSL del sistema y seleccionarlo si la seguridad IIOP requiere o da soporte al transporte SSL o si selecciona un conector RMI (Remote Method Invocation) seguro para las solicitudes administrativas.
    • El repertorio JSSE (Java Secure Socket Extension) se utiliza para las comunicaciones SSL basadas en Java.

    Los usuarios deben configurar un repertorio SSL del sistema para utilizar protocolos HTTP o IIOP, y también se debe configurar un conector JMX (Java Management Extensions) para utilizar SSL. Si se elige un conector HTTP SOAP, debe seleccionarse un repertorio JSSE para el subsistema administrativo. En un entorno WebSphere Application Server, Network Deployment, pulse Administración del sistema > Gestor de despliegue > Servicios de administración > Conectores JMX > Conector SOAP > Propiedades personalizadas > sslConfig.

    Los conjuntos de repertorios SSL se configuran mediante los diálogos de instalación de z/OS. Estos diálogos se configuran para hacer referencia a conjuntos de claves SAF y a archivos que se rellenan mediante el proceso de personalización al generar mandatos RACF.
    Tabla 1. Los repositorios SSL que configuran los diálogos instalación de z/OS.

    En esta tabla se muestran los repertorios SSL que se configuran mediante los diálogos de instalación de z/OS.

    Nombre de repertorio Tipo Uso por omisión
    [z/OS]NodeDefaultSSLSettings [z/OS]JSSE [z/OS](Sólo base) Configuración para conector JMX SOAP, cliente SOAP, transporte HTTP del contenedor web
    [z/OS]CellDefaultSSLSettings [z/OS]JSSE [z/OS](Sólo Network Deployment) Configuración para conector JMX SOAP, cliente SOAP, transporte HTTP del contenedor web
    [z/OS]DefaultIIOPSSL [z/OS]SSSL [z/OS]Se utiliza sólo si está habilitado DAEMON SSL

    No es necesaria ninguna acción adicional si estos valores son suficientes para sus necesidades. Si desea crear o modificar estos valores, debe asegurarse de que se han creado los archivos de almacén de claves a los que hacen referencia.

  12. Pulse Seguridad > Seguridad global para configurar el resto de los valores de seguridad y habilitar la seguridad. Para obtener información sobre estos valores, consulte Valores de seguridad global.

    Para obtener información adicional, consulte Servidor y la seguridad administrativa.

  13. Valide la configuración de seguridad completada pulsando Aceptar o Aplicar. Si se han producen problemas, se muestran en rojo.
  14. Si no hay ningún problema de validación, pulse Guardar para guardar los valores en un archivo que el servidor utiliza cuando se reinicia. La acción de guardar graba los valores en el repositorio de configuración.
    Importante: Si no pulsa Aplicar ni Aceptar en el panel Seguridad global antes de pulsar Guardar, los cambios no se grabarán en el repositorio. Al iniciar la consola administrativa, debe reiniciarse el servidor para que los cambios tengan efecto.

    La acción de guardar permite al gestor de despliegue utilizar los valores modificados una vez que se reinicia WebSphere Application Server. Para obtener más información, consulte el apartado Habilitación de la seguridad del dominio. La configuración de un gestor de despliegue difiere de un servidor de aplicaciones base autónomo. La configuración se almacena temporalmente en el gestor de despliegue hasta que se sincroniza con todos los agentes de nodo.

    Además, asegúrese de que todos los agentes de nodo están activos y en funcionamiento en el dominio. Detenga todos los servidores de aplicaciones durante este proceso. Si por cualquier razón alguno de los agentes de nodo estuviera inactivo, será necesario ejecutar manualmente el programa de utilidad de sincronización de archivos desde la máquina agente de nodo para sincronizar la configuración de seguridad desde el gestor de despliegue. De lo contrario, el agente de nodo inactivo no se comunicará con el gestor de despliegue después de habilitar la seguridad en dicho gestor.

  15. Inicie la consola administrativa de WebSphere Application Server.

    Inicie el gestor de despliegue y, en el navegador, escriba la dirección del servidor WebSphere Application Server, Network Deployment. Por omisión, la consola se encuentra en http://su_sistema_host.su_dominio:9060/ibm/console.

    Si la seguridad está inhabilitada actualmente, inicie la sesión con cualquier ID de usuario. Si actualmente está habilitada la seguridad, inicie la sesión con un ID y una contraseña de administrador previamente definidos. Este ID es normalmente el ID de usuario de servidor especificado al configurar el registro de usuario.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_csec2
File name: tsec_csec2.html