LTPA (Lightweight Third Party Authentication)

LTPA (Lightweight Third Party Authentication) se ha diseñado para entornos distribuidos de varias máquinas y servidores de aplicaciones. LTPA da soporte a las credenciales dirigibles y al inicio de sesión único (SSO). LTPA puede dar soporte a la seguridad en un entorno distribuido mediante la criptografía. Este soporte permite a LTPA cifrar, firmar digitalmente y transmitir de forma segura los datos relacionados con la autenticación y, posteriormente, descifrar y comprobar la firma.

Los servidores de aplicaciones distribuidos en varios nodos y células se pueden comunicar de forma segura utilizando el protocolo LTPA. También proporciona la característica de inicio de sesión único (SSO), donde el usuario sólo necesita autenticarse una vez en un dominio DNS (Sistema de nombre de dominio) y tiene acceso a los recursos de otras células de WebSphere Application Server sin necesidad de autenticarse otra vez. Los nombres de reino de cada sistema del dominio DNS son sensibles a las mayúsculas y minúsculas y deben ser idénticos.

[IBM i][AIX HP-UX Solaris]Para el sistema operativo local, el nombre de reino es el mismo que el nombre de host.

[Windows]Para el sistema operativo local, el nombre de reino es el nombre de dominio, si el dominio está en uso, o el nombre de la máquina.

Para LDAP (Lightweight Directory Access Protocol), el nombre de reino es el valor host:puerto del servidor LDAP.

El protocolo LTPA utiliza claves criptográficas para cifrar y descifrar los datos de usuario que se pasan entre los servidores. Estas claves se deben compartir entre las distintas células para que los recursos de una célula puedan acceder a los recursos de otras, suponiendo que todas las células implicadas utilizan el mismo registro LDAP o personalizado.

Cuando se utiliza LTPA, se crea una señal con la información de usuario y una fecha de caducidad, firmado por las claves. La señal de LTPA es sensible a la hora. Todos los servidores del producto que participan en un dominio de protección deben tener la hora y la fecha sincronizadas. Si no, las señales de LTPA aparecen caducadas prematuramente y provocan errores de autenticación o validación. De forma predeterminada se utiliza UTC (Coordinated Universal Time) y todas las demás máquinas deben tener la misma hora UTC. Consulte la documentación del sistema operativo para obtener más información sobre cómo asegurarse de ello.

Esta señal pasa a otros servidores, en la misma célula o en otras, utilizando cookies para los recursos web cuando está habilitado SSO o a través de la capa de protocolo de autenticación para los enterprise beans.

Si los servidores receptores comparten las mismas claves que el servidor original, la señal se puede descifrar para obtener la información de usuario, que se valida a continuación para garantizar que no ha caducado y que la información de usuario la señal es válida en su registro. Si la validación es satisfactoria, se puede acceder a los recursos en los servidores receptores después de la comprobación de autorización.

Cada servidor debe tener credenciales válidas. Cuando caducan las credenciales, es necesario que el servidor se comunique con el registro de usuarios para autenticarse. Las interrupciones del registro de usuarios pueden causar que los procesos de servidor queden colgados, lo que requiere que sean reiniciados para recuperarse. Al ampliar el tiempo que la señal LTPA permanece en la memoria caché, se reduce este riesgo, pero presenta un aumento leve en el riesgo de seguridad cuando se definen las políticas de seguridad.

Todos los procesos de WebSphere Application Server en una célula(gestor de despliegue, nodos, servidores de aplicaciones) comparten el mismo conjunto de claves. Si se necesita el compartimiento de claves entre células diferentes, expórtelas desde una célula e impórtelas a la otra. A efectos de seguridad, las claves exportadas se cifran con una contraseña generada de forma aleatoria o definida por el usuario para proteger las claves. Esta es la misma contraseña que se necesitará cuando se importen las claves a otra célula. La contraseña sólo se utiliza para proteger las claves y no para generarlas.

WebSphere Application Server da soporte a los protocolos LTPA y Kerberos.

Cuando se habilita la seguridad durante el tiempo de creación de perfiles, LTPA se configura por omisión.

LTPA requiere que el registro de usuarios configurado sea un repositorio compartido centralmente como, por ejemplo, LDAP o un registro del tipo de dominio Windows, para que los usuarios y los grupos sean los mismos, independientemente de la máquina.

[IBM i]El uso de LTPA con el registro de usuarios del sistema operativo local sólo se puede aplicar a aquellas configuraciones en las que todos los servidores residan en el mismo sistema.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ltpa
File name: csec_ltpa.html