Habilitación del soporte de inicio de sesión de certificado de cliente para un repositorio basado en archivos en los repositorios federados

Puede habilitar el soporte de inicio de sesión de certificado de cliente en un reino configurado con un solo repositorio basado en archivos incorporado o una configuración de varios repositorios que incluye el repositorio basado en archivos y otros repositorios.

Antes de empezar

La configuración de los repositorios federados debe incluir un repositorio basado en archivos. Consulte el tema, Utilización de un solo repositorio incorporado basado en archivos en una nueva configuración bajo Repositorios federados.

Acerca de esta tarea

La configuración predeterminada del repositorio basado en archivos incorporado ignora una solicitud de inicio de sesión de certificado, devuelve un resultado de búsqueda vacía y no muestra ningún error.

Si desea habilitar el inicio de sesión de certificado de cliente para el repositorio basado en archivos incorporado, realice los pasos siguientes para establecer propiedades personalizadas.

Procedimiento

  1. En la consola administrativa, pulse Seguridad > Seguridad global.
  2. En Repositorio de cuentas de usuario, seleccione Repositorios federados en el campo Definiciones de reino disponibles y pulse Configurar. Para configurar un dominio específico en un entorno de dominio de seguridad múltiple, pulse Dominios de seguridad > nombre_dominio. En Atributos de seguridad, expanda Reino de usuario y pulse Personalizar este dominio. Seleccione el tipo de reino como Repositorios federados y pulse Configurar.
  3. En Elementos relacionados, pulse Gestionar repositorios y luego pulse en enlace InternalFileRepository.
  4. Para habilitar el inicio de sesión de certificado para el repositorio basado en archivos, en Propiedades personalizadas, especifique el nombre de la propiedad como certificateMapMode. Especifique uno de los valores siguientes para esta propiedad según sus necesidades:
    Nota: Los nombres de las propiedades son sensibles a las mayúsculas y minúsculas, mientras que sus valores no lo son.
    notSupported
    Se visualiza un error que informa al usuario de que el repositorio basado en archivos no da soporte al inicio de sesión de certificado.
    exactDNMode
    El inicio de sesión se intenta correlacionando el valor de PrincipalName en el certificado X.509 con el nombre distinguido exacto en el repositorio. Si se encuentra una entidad coincidente, el inicio de sesión es satisfactorio. Si no se encuentra entidad coincidente, se muestra un error que indica que la entidad no se ha encontrado.
    filterDescriptorMode
    Se intenta el inicio de sesión utilizando el filtro de certificado para la correlación. Si se encuentra una sola entidad coincidente, el inicio de sesión es satisfactorio. Si se encuentra más de una entidad coincidente, la autenticación falla porque el resultado es una coincidencia ambigua y se muestra un error.

    Si no se especifica un valor válido, se registra un error durante la inicialización del adaptador de archivo y se devuelve un resultado de búsqueda vacío.

  5. Si establece el valor de la propiedad certificateMapMode en filterDescriptorMode, debe añadir otra propiedad personalizada, certificateFilter. La propiedad personalizada certificateFilter especifica el filtro que correlaciona los atributos del certificado de cliente con entradas del repositorio.
    Nota: Este paso no es necesario si se establece el valor de la propiedad certificateMapMode en notSupported o exactDNMode.
    1. En propiedades personalizadas, pulse Nuevo.
    2. En la fila nueva, escriba el nombre de la propiedad como certificateFilter. Especifique la expresión de filtro como valor para esta propiedad.

    La sintaxis o estructura de este filtro es Repositorio de archivos=${Atributo certificado cliente}, por ejemplo, uid='${SubjectCN}'.

    Las condiciones siguientes se aplican a la sintaxis del filtro de certificado para los repositorios de archivos:
    • La parte de la especificación de filtro que precede al signo igual (=) debe ser una propiedad válida para PersonAccount en el repositorio basado en archivos.
    • La parte de la especificación de filtro que sigue al signo igual (=) es uno de los atributos públicos del certificado de cliente. Debe comenzar con un signo de dólar ($) y un corchete de apertura ({) y acabar con un corchete de cierre (}).
    • Debe incluir los datos de todas las propiedades de serie del repositorio federado entre comillas simples ('). Por ejemplo, la propiedad del repositorio federado cn es una serie; de modo que un filtro de certificado que utiliza esta propiedad se especifica como cn='${IssuerCN}'.
    Puede utilizar los valores de atributo de certificado siguientes en la parte de la especificación del filtro que viene después del signo igual (=). Es importante la distinción entre mayúsculas y minúsculas de las series.
    • ${UniqueKey}
    • {PublicKey}
    • {PublicKey}
    • {Issuer<xx>} donde <xx> se sustituye por los caracteres que representan cualquier componente válido del nombre distinguido de emisor. Por ejemplo, puede utilizar ${IssuerCN} para el nombre común de emisor.
    • ${NotAfter}
    • ${NotBefore}
    • ${SerialNumber}
    • ${SigAlgName}
    • ${SigAlgOID}
    • ${SigAlgParams}
    • ${Subject<xx>} donde <xx> se sustituye por los caracteres que representan cualquier componente válido del nombre distinguido de asunto. Por ejemplo, puede utilizar ${SubjectCN} como nombre común de asunto.
    • ${Version}
    Los ejemplos siguientes son filtros de certificados complejos para el repositorio de archivos:
    • ((cn='${IssuerCN}') and (mobile=${SerialNumber}) and (seeAlso='${SubjectDN}'))
    • ((employeeNumber=${SerialNumber}) or (seeAlso='${SubjectDN}')

    Existen varias diferencias entre la sintaxis utilizada para especificar filtros de certificados para el repositorio LDAP y el repositorio de archivos, tal como se muestra en la tabla siguiente.

    Tabla 1. Descripción de las diferencias entre la sintaxis del filtro de certificado para LDAP y repositorios de archivos
    Filtros de certificado de repositorio de archivos Filtros de certificado de repositorio LDAP
    Utilizar notaciones de infijo. Utilizar notaciones de prefijo.
    Utilizar los operadores lógicos and y or. Utilizar los operadores lógicos ampersand (&) y barra vertical (|)
    Se deben incluir los datos de todas las propiedades de serie del repositorio federado entre comillas simples ('), No es necesario incluir los datos de las propiedades de serie del repositorio federado entre comillas simples (').
    Ejemplo:
    cn='${Issuer	CN}' and mobile=${SerialNumber})
    Ejemplo:
    (& (cn=${IssuerCN}) (mobile=${SerialNumber})) 
  6. Guarde los cambios de configuración y reinicie WebSphere Application Server para que los cambios entren en vigor.

Adición de propiedades personalizadas utilizando mandatos de wsadmin

Como alternativa, también puede utilizar mandatos de wsadmin para añadir las propiedades personalizadas, tal como se muestra en los pasos siguientes.

Procedure

  1. Entre el mandato siguiente para iniciar la herramienta wsadmin.
    wsadmin –conntype none
  2. Utilice el mandato setIdMgrCustomProperty para añadir propiedades personalizadas.
    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateMapMode -value modalidad}
    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value expresión_filtro}

    Por ejemplo, el mandato siguiente busca un usuario cuyo CN tiene el valor especificado por la propiedad IssureCN del certificado:

    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value “cn='${IssuerCN}'”}

    El mandato siguiente busca un usuario cuyo CN tiene el valor especificado por la propiedad IssuerCN del certificado y cuyo móvil coincide con la propiedad SerialNumber del certificado.

    $AdminTask setIdMgrCustomProperty { -id InternalFileRepository -name certificateFilter -value “cn='${IssuerCN}' and mobile=${SerialNumber}”}
  3. Guarde los cambios de configuración.
    $AdminConfig save
  4. Reinicie el WebSphere Application Server para que los cambios entren en vigor.

Results

Después de completar estos pasos, el soporte para inicio de sesión de certificado de repositorio basado en archivos queda habilitado en los repositorios federados tal como se muestra en las entradas siguientes de la configuración del adaptador de archivos:
<config:CustomProperties name="certificateMapMode" value="modalidad"/>
<config:CustomProperties name="certificateFilter" value="expresión_filtro"/>

Si se satisface la solicitud de inicio de sesión de certificado, el inicio de sesión es satisfactorio. Si se rechaza la solicitud de inicio de sesión de certificado, se muestra un error.

Si solo se configura el repositorio de archivos bajo los repositorios federados, los resultados de la solicitud de inicio de sesión de certificado son tal como se describe en la tabla siguiente.

Table 2. Resultados del inicio de sesión de certificado en una configuración de repositorios federados que incluye únicamente un repositorio de archivos
Repositorio de archivos Resultados previstos
Comportamiento predeterminado (no se añade la propiedad personalizadacertificateMapMode) Se ignora la solicitud de inicio de sesión de certificado, se devuelve un resultado vacío y no se muestra ningún error
El inicio de sesión de certificado no está soportado (el valor de la propiedad personalizada certificateMapMode es notSupported) Se produce una CertificateMapNotSupportedException
El inicio de sesión de certificado está soportado (el valor de la propiedad personalizada certificateMapMode es exactDNMode o filterDescriptorMode) y el usuario no se encuentra Se produce una EntityNotFoundException
El inicio de sesión de certificado está soportado (el valor de la propiedad personalizada certificateMapMode es exactDNMode) y se encuentra una entidad con un nombre distinguido que coincide con el nombre principal (PrincipalName) en el certificado El inicio de sesión de certificado es satisfactorio
El inicio de sesión de certificado está soportado (el valor de la propiedad personalizada certificateMapMode es filterDescriptorMode) y se encuentra una sola entidad coincidente El inicio de sesión de certificado es satisfactorio
El inicio de sesión de certificado está soportado (el valor de la propiedad personalizada certificateMapMode es filterDescriptorMode) y se encuentra más de una entidad coincidente Se produce una CertificateMapFailedException y se muestra el mensaje de error “Multiple principals found”

Si se configuran varios repositorios bajo repositorios federados, el resultado del inicio de sesión final depende del comportamiento y los resultados devueltos desde los otros repositorios. Las tablas siguientes contienen ejemplos de errores que se muestran en diversos escenarios de configuración.

Table 3. Resultados del inicio de sesión de certificado en una configuración de repositorios federados que incluye un archivo y un repositorio LDAP
Repositorio de archivos Repositorio LDAP Resultados previstos
Comportamiento predeterminado El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado es satisfactorio
Comportamiento predeterminado El inicio de sesión de certificado está soportado y no se encuentra el usuario Se produce una PasswordCheckFailedException
El inicio de sesión de certificado no está soportado El inicio de sesión de certificado está soportado y se encuentra el usuario Se produce una CertificateMapFailedException
El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado está soportado y se encuentra el usuario Se produce una DuplicateLogonIdException
El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado es satisfactorio
El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado es satisfactorio
El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado está soportado y no se encuentra el usuario Se produce una PasswordCheckFailedException
Table 4. Resultados del inicio de sesión de certificado en una configuración de repositorios federados que incluye un archivo y un repositorio del sistema operativo
Repositorio de archivos Repositorio del sistema operativo local Resultados previstos
Comportamiento predeterminado El inicio de sesión de certificado no está soportado Se produce una CertificateMapFailedException
El inicio de sesión de certificado no está soportado El inicio de sesión de certificado no está soportado Se produce una CertificateMapNotSupportedException
El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado no está soportado Se produce una CertificateMapFailedException
El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado no está soportado Se produce una CertificateMapFailedException
Comportamiento predeterminado El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado es satisfactorio
Comportamiento predeterminado El inicio de sesión de certificado está soportado y no se encuentra el usuario Se produce una PasswordCheckFailedException
El inicio de sesión de certificado no está soportado El inicio de sesión de certificado está soportado y se encuentra el usuario Se produce una CertificateMapFailedException
El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado está soportado y se encuentra el usuario Se produce una DuplicateLogonIdException
El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado es satisfactorio
El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado está soportado y se encuentra el usuario El inicio de sesión de certificado es satisfactorio
El inicio de sesión de certificado está soportado y no se encuentra el usuario El inicio de sesión de certificado está soportado y no se encuentra el usuario Se produce una PasswordCheckFailedException

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twim_filebased_cert_login
File name: twim_filebased_cert_login.html