Habilitación de la seguridad del dominio

Utilice este tema para habilitar la seguridad de IBM® WebSphere Application Server. Debe habilitar la seguridad administrativa para que todos los demás valores de seguridad funcionen.

Acerca de esta tarea

WebSphere Application Server utiliza la criptografía para proteger los datos sensibles y garantizar la confidencialidad e integridad de las comunicaciones entre WebSphere Application Server y otros componentes de la red. La seguridad de los servicios Web también utiliza la criptografía cuando se configuran ciertas restricciones de seguridad para la aplicación de servicios web.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server utiliza bibliotecas JSSE (Java™ Secure Sockets Extension) y JCE (Java Cryptography Extension) en SDK (Software Development Kit) para realizar esta criptografía. SDK proporciona unos archivos de políticas de jurisdicción sólidos pero limitados. Los archivos de políticas sin restricciones proporcionan la capacidad de realizar una criptografía totalmente sólida y mejorar el rendimiento.

[AIX Solaris HP-UX Linux Windows][z/OS]WebSphere Application Server proporciona un SDK 6 que contiene archivos de política de jurisdicción sólidos pero limitados. Puede descargar los archivos de políticas sin restricciones del siguiente sitio web: IBM Developer Kit: Security information.

Avoid trouble Avoid trouble: Los fixpacks que contienen actualizaciones de Software Development Kit (SDK) podrían sobrescribir archivos de políticas sin restricciones y el archivo cacerts. Realice una copia de seguridad de los archivos de políticas sin restricciones y del archivo cacerts antes de aplicar un fixpack y vuelva a aplicar dichos archivos una vez aplicado el fixpack. Estos archivos se encuentran en el directorio {directorio_instalación_was}\java\jre\lib\security.gotcha
Importante: Es posible que su país de origen tenga restricciones sobre la importación, posesión, utilización o reexportación a otro país de software de cifrado. Antes de descargar o bien utilizar los archivos de políticas sin restricciones, debe consultar las leyes de su país, sus regulaciones y las políticas relativas a la importación, posesión, uso y reexportación de software cifrado, para determinar si está permitido.
Efectúe los pasos siguientes para descargar e instalar los nuevos archivos de políticas:
  1. Pulse Java SE 6
  2. Desplácese hacia la parte inferior de la página y pulse IBM SDK Policy files (Archivos de políticas SDK).

    Se muestra el sitio Web de archivos de políticas JCE sin restricciones para SDK 6.

  3. Pulse Sign in (Inicio de sesión) y proporcione su ID y contraseña de IBM.com.
  4. Seleccione Unrestricted JCE Policy files for SDK 6 (Archivos de política JCE sin restricciones para SDK 6) y pulse Continue (Continuar).
  5. Lea la licencia y pulse I Agree (Estoy de acuerdo) para continuar.
  6. Pulse Download Now (Descargar ahora).
  7. Extraiga los archivos de políticas de jurisdicción sin limitaciones que están empaquetados en el archivo comprimido. El archivo comprimido contiene un archivo US_export_policy.jar y un archivo local_policy.jar.
  8. [AIX Solaris HP-UX Linux Windows][IBM i]En la instalación de WebSphere Application Server, vaya al directorio $JAVA_HOME/jre/lib/security y efectúe una copia de seguridad de los archivos US_export_policy.jar y local_policy.jar.
  9. [z/OS]En la instalación de WebSphere Application Server, monte el HFS del producto como lectura/escritura. Vaya al directorio $JAVA_HOME/jre/lib/security y efectúe una copia de seguridad de los archivos US_export_policy.jar y local_policy.jar.
  10. Sustituya los archivos US_export_policy.jar y local_policy.jar por los dos archivos que ha descargado del sitio web de IBM.com.
  11. [z/OS]Vuelva a montar el sistema de archivos jerárquico del producto como de sólo lectura.
[z/OS]El kit de desarrollo de software (SDK) se entrega con los archivos JAR (Java Archive) de política de jurisdicción sin restricciones. Por lo tanto, en lugar de descargar estos archivos del sitio web, puede enlazarlos simbólicamente a los archivos de la forma permitida por las leyes locales. Estos archivos de política sin restricciones se encuentran en el directorio raíz_instalación/java/demo/jce/policy-files/unrestricted/. Los mandatos UNIX siguientes le permiten crear enlaces simbólicos con estos archivos:
# Exportar las vías de acceso. Puede encontrar los valores de las siguientes
# variables en el registro de trabajo buscando was.install.root,
# java.home, etc:
export was.install.root=<was.install.root>
export java.home=<java.home>
# Las vías de acceso anteriores se aplican a las configuraciones de 31 y 64 bits
# de WebSphere Application Server para z/OS. Para una configuración de 64 bits, 
# la vía de acceso java.home apunta a la
# máquina virtual Java (JVM) incorporada de 64 bits.

# Suprimir los archivos .jar de política originales. Dado que automáticamente
# hay una copia en el sistema de archivos jerárquico (HPS) smpe.home,
# no es necesario realizar una copia de seguridad explícita.
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Emita los siguientes mandatos en líneas separadas para crear
# los enlaces simbólicos a los archivos de política sin restricciones:
ln -s $java.home/demo/jce/policy-files/unrestricted/US_export_po licy.jar US_export_policy.jar
ln -s $java.home/demo/jce/policy-files/unrestricted/local_policy .jar local_policy.jar
Para eliminar del directorio demo los enlaces simbólicos que apuntan a los archivos de política sin restricciones y crear un enlace con los archivos originales, utilice los mandatos UNIX siguientes:
# Exportar las vías de acceso. Puede encontrar los valores de las siguientes
# variables en el registro de trabajo buscando was.install.root,
# java.home, etc:
export was.install.root=<was.install.root>
export java.home=<java.home>
export smpe.install.root=<smpe.install.root>
# Las vías de acceso anteriores se aplican a las configuraciones de 31 y 64 bits
# de WebSphere Application Server para z/OS. Para una configuración de 64 bits, 
# la vía de acceso java.home apunta a la
# máquina virtual Java (JVM) incorporada de 64 bits.

# Suprima los archivos policy .jar actuales. Es posible que desee
# hacer una copia de seguridad de los siguientes archivos:
cd $java.home/lib/security
rm US_export_policy.jar
rm local_policy.jar

# Emita los siguientes mandatos en líneas separadas para crear 
# enlaces simbólicos en el HFS smpe donde los archivos originales 
# se almacenan: 
ln -s $smpe.install.root/java/lib/security/US_export_policy.jar US_export_policy.jar
ln -s $smpe.install.root/java/lib/security/local_policy.jar local_policy.jar

Efectúe los pasos siguientes para habilitar la seguridad para el reino:

Procedimiento

  1. Habilite la seguridad administrativa en WebSphere Application Server.

    Para obtener más información, consulte Habilitación de la seguridad. Es importante pulsar Seguridad > Seguridad global. Seleccione una definición de reino disponible en la lista y luego pulse Establecer como actual. Guarde la configuración en el repositorio. Antes de continuar, compruebe que la validación que se lleva a cabo después de pulsar Aceptar en el panel Seguridad > Seguridad global sea correcta. Si la validación no es satisfactoria y continúa realizando estos pasos, corre el riesgo de que el servidor no se inicie. Redefina los valores de seguridad hasta que la validación se realice satisfactoriamente.

  2. Envíe una copia de la configuración nueva a todos los agentes de nodo en ejecución mediante la consola administrativa. Si un agente de nodo no recibe la configuración con la seguridad habilitada no podrá comunicarse con el gestor de despliegue por falta de acceso. El agente de nodo no se ha habilitado para la seguridad. Para forzar la sincronización de un nodo determinado, efectúe los pasos siguientes desde la consola administrativa:
    1. Pulse Administración del sistema > Nodos y seleccione la opción situada junto a todos los nodos. No es preciso seleccionar el nodo del gestor de despliegue.
    2. Pulse Resincronización completa para verificar que se ha efectuado la sincronización de archivos. Es posible que aparezca un mensaje indicando que los nodos ya están sincronizados. Este mensaje es normal. Una vez iniciada la sincronización, compruebe que todos los nodos están en estado Sincronizado.
  3. Detenga el gestor de despliegue. Reinicie manualmente el gestor de despliegue desde la línea de mandatos o desde el servicio. Para detener el gestor de despliegue, pulse Administración del sistema > Gestor de despliegue y pulse Detener. Esta acción le desconectará de la consola administrativa y detendrá el proceso del gestor de despliegue.
  4. Reinicie el proceso del gestor de despliegue.

    [AIX Solaris HP-UX Linux Windows]Para reiniciar el proceso del gestor de despliegue, localice el directorio raíz_servidor_aplic/bin y escriba startManager.bat o startManager.sh. Una vez completada la inicialización del gestor de despliegue, regrese a la consola administrativa para completar esta tarea. Recuerde que la seguridad sólo está habilitada ahora en el gestor de despliegue. Si ha habilitado SSO (inicio único de sesión), especifique el nombre de dominio plenamente cualificado de la dirección Web, por ejemplo, http://mihost.dominio:número_puerto/ibm/console. Cuando se le solicite un ID de usuario y una contraseña, especifique el que ha especificado como ID de administrador en el registro de usuarios configurado.

    [z/OS]Para reiniciar el proceso del gestor de despliegue, entre el mandato siguiente:
    START dmgr_proc_name,JOBNAME=server_short_name,
    ENV=nombre_abreviado_célula.nombre_abreviado_nodo.nombre_abreviado_servidor
    Debe escribir este mandato en una sola línea. Aquí se ha dividido para mostrarlo mejor (consulte los siguientes enlaces relacionados para obtener más información sobre el uso de mandatos del sistema z/OS MVS). Una vez completada la inicialización del gestor de despliegue, vuelva a la consola administrativa para completar esta tarea. La seguridad se habilita solamente en el gestor de despliegue. Si ha habilitado SSO (Single Sign-on), especifique el nombre de dominio totalmente calificado de la dirección web, por ejemplo, http://mihost.dominio:número_puerto/ibm/console. Cuando se le solicite un ID de usuario y una contraseña, especifique lo que ha especificado como ID de administrador en el registro de usuarios configurado.
  5. [IBM i]Reinicie el proceso del gestor de despliegue. Para reiniciar el proceso del gestor de despliegue, abra el entorno de Qshell y localice el directorio raíz_servidor_aplic/bin. La variable raíz_servidor_aplic hace referencia al directorio por omisión raíz_servidor_aplicaciones/bin/. En la línea de mandatos de Qshell, escriba startManager.

    Una vez completada la inicialización del gestor de despliegue, vuelva a la consola administrativa para completar esta tarea. Recuerde que la seguridad sólo está habilitada ahora en el gestor de despliegue. Si ha habilitado SSO (inicio único de sesión), especifique el nombre de dominio plenamente cualificado de la dirección Web, por ejemplo, http://mihost.dominio:número_puerto/ibm/console. Cuando se le solicite un ID de usuario y una contraseña, especifique el que ha especificado como ID de administrador en el registro de usuarios configurado.

  6. Si el gestor de despliegue no se inicia después de habilitar la seguridad, inhabilite la seguridad utilizando un script y reinicie. Inhabilite la seguridad emitiendo el siguiente mandato desde el directorioDeploymentManager/bin:
    ./wsadmin.sh -conntype NONE
    En el indicador de mandatos, escriba securityoff.
  7. Reinicie todos los agentes de nodos para que tengan la seguridad habilitada. Antes de completar este paso, debe haber reiniciado el gestor de despliegue en un paso anterior. Si se ha habilitado la seguridad del agente de nodo antes de habilitarla en el gestor de despliegue, éste no podrá consultar el estado del agente de nodo ni enviarle mandatos. Para detener todos los agentes de nodos, efectúe los pasos siguientes:
    1. Vaya a Administración del sistema > Agentes de nodos y seleccione la opción para todos los agentes de nodos. Pulse Reiniciar. Aparecerá un mensaje parecido al siguiente ejemplo: El agente de nodo del nodo NOMBRE_NODO se ha reiniciado satisfactoriamente..
    2. Como alternativa, si no ha detenido anteriormente los servidores de aplicaciones, puede reiniciar todos los servidores de cualquier nodo que desee pulsando Administración del sistema > Agentes de nodos y los agentes de nodos en los que desea reiniciar todos los servidores. Pulse Reiniciar todos los servidores del nodo. Esta acción reiniciará el agente de nodo y todos los servidores de aplicaciones iniciados.
  8. Si alguno de los nodos de agente no puede reiniciarse, deberá realizar una resincronización manual de la configuración. En este paso consiste en ir al nodo físico y ejecutar el mandato syncNode de cliente. Este cliente se conecta al gestor de despliegue y copia todos los archivos de configuración en el agente de nodo. Así se asegurará que la configuración tenga la seguridad habilitada. Si se ha iniciado el agente de nodo pero no se comunica con el gestor de despliegue, detenga el agente de nodo emitiendo el mandato stopServer.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_egs
File name: tsec_egs.html