Propagación de políticas JACC
Al instalar o desplegar una aplicación en WebSphere Application Server, la información de políticas de seguridad de la aplicación se propaga al proveedor cuando se guarda la configuración. El ID de contexto para la aplicación se guarda en el archivo application.xml que se ha utilizado para propagar la política para el proveedor JACC (Java™ Authorization Contract for Containers) y también para las decisiones de acceso de los recursos Java Platform, Enterprise Edition (Java EE).
Al desinstalar una aplicación, la información de políticas de seguridad de la aplicación se elimina del proveedor cuando se guarda la configuración.
Si el proveedor ha implementado la interfaz RoleConfiguration, la información de políticas propagada al proveedor de políticas también contiene la información de tabla de autorización. Consulte Interfaces que dan soporte a JACC para obtener más información sobre esta interfaz.
Si una aplicación no contiene información de políticas de seguridad, los objetos PolicyConfiguration (y RoleConfiguration, si se ha implementado) no contienen ninguna información. La existencia de objetos PolicyConfiguration y RoleConfiguration vacíos indican que no existe la información de políticas de seguridad para el módulo.
Después de que la aplicación se ha instalado, puede actualizarse sin que antes sea necesario desinstalarla y volver a instalarla. Por ejemplo, se puede añadir un nuevo módulo a una aplicación existente o se puede modificar un módulo existente. Es esta caso, la información de los módulos afectados se propaga al servidor por omisión. Un módulo se ve afectado cuando el descriptor de despliegue del módulo se modifica como parte de la actualización. Si el proveedor da soporte a las interfaces RoleConfiguration, la tabla de autorizaciones completa de dicha aplicación se propaga al proveedor.
Si la información de seguridad no la propaga el proveedor durante las actualizaciones de la aplicación, puede establecer la propiedad de la JVM (Java Virtual Machine) com.ibm.websphere.security.jacc.propagateonappupdate en false en el gestor de despliegue, en un entorno de Network Deployment o en el servidor de aplicaciones base no gestionado. Si esta propiedad se establece en false, las actualizaciones de una aplicación existente en el servidor no se propagarán al proveedor. También puede establecer esta propiedad por cada aplicación mediante las propiedades personalizadas de una aplicación. La herramienta wsadmin se puede utilizar para establecer la propiedad personalizada de una aplicación. Si esta propiedad se establece a nivel de la aplicación, cualquier actualización de esa aplicación no se propaga al proveedor. Si la actualización de una aplicación es una actualización completa, por ejemplo, se utiliza un archivo EAR (Enterprise Archive) de aplicación nuevo para sustituir uno existente y se renueva el proveedor con toda la información de política de seguridad de la aplicación.
Cuando se instala y guarda una aplicación, la información de la política de seguridad de dicha aplicación se actualiza en el proveedor desde el gestor de despliegue. La aplicación no se propaga a los nodos respectivos hasta que se emite y se completa el mandato de sincronización. Asimismo, cuando se desinstala una aplicación y se guarda en el gestor de despliegue, la política para dicha aplicación se suprime del proveedor JACC.
No obstante, a menos que se emita y se complete el mandato de sincronización desde el gestor de despliegue a los nodos que alberguen la aplicación, las aplicaciones se seguirán ejecutado en los nodos respectivos. En este caso, no debe denegarse acceso a esta aplicación porque el proveedor JACC no contiene la información necesaria para tomar la decisión de acceso para dicha aplicación. Como se ha descrito anteriormente, las actualizaciones de la aplicación ya instalada también se propagan al proveedor desde el gestor de despliegue. Los cambios realizados en el proveedor no se sincronizan con las aplicaciones de los nodos hasta que se complete la sincronización.
Como se ha mencionado antes, la información sobre políticas de seguridad se propaga al proveedor JACC durante la operación de guardar. El archivo SystemOut.log indica si la propagación al proveedor se ha realizado correctamente o no. Después de la instalación, consulte el archivo de registro cronológico para asegurarse de que la propagación se ha realizado sin problemas. Si ha ocurrido algún problema durante la propagación, no se podrá acceder a la aplicación cuando se utiliza Tivoli Access Manager como proveedor de JACC.
Si la información sobre políticas de seguridad para la aplicación se ha propagado correctamente, aparecerán sentencias de auditoría con la clave de mensaje SECJ0415I. No obstante, si se ha producido un problema durante la propagación de la información sobre políticas de seguridad al proveedor (por ejemplo, si se han producido problemas en la red o si el proveedor JACC no estaba disponible), el archivo SystemOut.log contiene el mensaje de error con la clave de mensaje SECJ0396E, durante la instalación, o con la clave de mensaje SECJ0398E, durante la modificación. La instalación de la aplicación no se detiene debido a un error de propagación de la política de seguridad al proveedor JACC. Asimismo, en el caso de que se produzca un error, no aparecen mensajes de error ni de excepción durante la operación de guardar. Cuando se soluciona el problema que ha ocasionado este error, ejecute la herramienta propagatePolicyToJaccProvider para propagar la información de políticas de seguridad al proveedor sin volver a instalar la aplicación. Para obtener más información, consulte el apartado Propagación de la política de seguridad de las aplicaciones instaladas en un proveedor de JACC con el script wsadmin.