Creación de varios dominios de seguridad nuevos
Puede crear varios dominios de seguridad en la configuración. Mediante la creación de varios dominios de seguridad, puede configurar distintos atributos de seguridad para aplicaciones administrativas y de usuario en un entorno de célula.
Antes de empezar
Sólo los usuarios asignados al rol de administrador pueden crear varios dominios de seguridad nuevos. Habilite la seguridad global en el entorno antes de crear los nuevos dominios de seguridad.
Consulte Varios dominios de seguridad para comprender mejor el significado de los distintos dominios de seguridad y la forma en que reciben soporte en esta versión de WebSphere Application Server.
Acerca de esta tarea
Los dominios de seguridad proporcionan un mecanismo que permite utilizar distintos valores de seguridad para las aplicaciones administrativas y las aplicaciones de usuario. También proporcionan la capacidad de soportar varios valores de seguridad para que distintas aplicaciones puedan utilizar distintos atributos de seguridad, como el registro de usuarios o las configuraciones de inicio de sesión.
- Configure atributos de seguridad distintos para aplicaciones administrativas y de usuario en un célula.
- Para consolidar las configuraciones de servidor gestione distintas configuraciones de seguridad en la célula.
- Restringir el acceso entre aplicaciones con distintos registros de usuarios o configurar relaciones de confianza entre las aplicaciones para permitir la comunicación entre registros
Procedimiento
- Pulse Seguridad > Dominios de seguridad.
- En la página de colección Dominios de seguridad, pulse Nuevo.
- Especifique un nombre exclusivo para el dominio. Un nombre de dominio debe ser exclusivo en una célula y no puede contener ningún carácter no válido. Este campo es necesario.
- Especifique una descripción exclusiva para el dominio. Después de pulsar Aplicar, volverá a la página de detalles Dominios de seguridad.
- En Ámbitos asignados, asigne el dominio de seguridad a toda la célula o seleccione los servidores, clústeres y buses de integración de servicios específicos para incluirlos en el dominio de seguridad.
- Personalice la configuración de seguridad especificando
atributos de seguridad para el nuevo dominio y asignándolo a los
recursos de célula. Puede cambiar los siguientes atributos de seguridad:
- Seguridad de la aplicación
- Especifica los valores de seguridad de la aplicación y de la
seguridad de
Java™
2. Puede utilizar los valores de
seguridad global o personalizar los valores de un dominio.
Seleccione Habilitar seguridad de la aplicación para habilitar o inhabilitar esta opción de seguridad para las aplicaciones de usuario. Cuando esta selección está inhabilitada, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Al habilitar esta selección, la seguridad J2EE se aplica a todos los EJB y aplicaciones web del dominio de seguridad. La seguridad J2EE sólo se aplica cuando la seguridad global está habilitada en la configuración de seguridad global; es decir, no se puede habilitar la seguridad de la aplicación sin habilitar primero la seguridad global a nivel global.
- Seguridad de Java 2
- Seleccione Seguridad de Java 2 para habilitar o inhabilitar la seguridad de Java 2 a nivel de dominio. Esta opción habilita o inhabilita la seguridad de Java 2 a nivel de proceso (JVM) de forma que todas las aplicaciones (administrativas y de usuario) puedan habilitar o inhabilitar la seguridad de Java 2.
- Reino de usuario
Esta sección permite configurar el registro de usuarios para el dominio de seguridad. Puede configurar separadamente cualquier registro que se utilice a nivel de dominio. Para obtener más información, consulte Varios dominios de seguridad.
- Asociación de confianza
- Cuando se configura el interceptor de asociación de confianza (TAI) a un nivel de dominio, los interceptores configurados a nivel global se copian en el nivel de dominio por comodidad. Puede modificar la lista de interceptores a nivel de dominio para adaptarla a sus necesidades. Configure solamente los interceptores que se utilizarán a nivel de dominio.
- Autenticación Web SPNEGO
- La autenticación web SPNEGO, que permite configurar SPNEGO para la
autenticación de recursos web, se puede configurar a nivel de dominio.Nota: En WebSphere Application Server Versión 6.1, se ha introducido un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar de forma segura y autenticar solicitudes HTTP para los recursos seguros. Esta función quedó en desuso en WebSphere Application Server versión 7.0. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.
- Seguridad RMI/IIOP
El atributo de seguridad RMI/IIOP hace referencia a las propiedades del protocolo CSIv2 (Common Secure Interoperability Versión 2). Cuando configura estos atributos a nivel de dominio, se copia la configuración de seguridad RMI/IIOP a nivel global para mayor comodidad.
Puede cambiar los atributos que deban ser distintos a nivel de dominio. Los valores de la capa de transporte para las comunicaciones de entrada CSIv2 deben ser los mismos para el nivel global y el nivel de dominio. Si son diferentes, los atributos de nivel de dominio se aplicarán a todas las aplicaciones en el proceso.
- Inicios de sesión de la aplicación JAAS
- Especifica los valores de configuración para los inicios de sesión
de la aplicación JAAS
(Java
Authentication and Authorization Service). Puede utilizar los valores de seguridad global
o personalizar los valores de un dominio.
Los inicios de sesión de aplicación JAAS, los inicios de sesión del sistema JAAS y los alias de datos de autenticación J2C de JAAS pueden configurarse a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. El tiempo de ejecución de seguridad busca primero los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS en un dominio sólo cuando deba especificar un inicio de sesión que sea utilizado exclusivamente por las aplicaciones del dominio de seguridad.
- Inicios de sesión del sistema JAAS
- Especifica los valores de configuración para los inicios de
sesión del sistema JAAS.
Puede utilizar los valores de seguridad global
o personalizar los valores de configuración de un dominio.
Los inicios de sesión de la aplicación JAAS, inicios de sesión del sistema JAAS y alias de datos de autenticación JAAS J2C se pueden configurar a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. El tiempo de ejecución de seguridad busca primero los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS en un dominio sólo cuando deba especificar un inicio de sesión que sea utilizado exclusivamente por las aplicaciones del dominio de seguridad.
Nota: Para los inicios de sesión de la aplicación JAAS y los inicios de sesión del sistema JAAS, las colecciones no se llenan hasta que no se crea una primero. Para hacerlo, seleccione personalizar para este dominio en los inicios de sesión de la aplicación JAAS o los inicios de sesión del sistema JAAS y, a continuación, seleccione Aplicar o Aceptar.
- Autenticación J2C JAAS
- Especifica los valores de configuración para los datos de
autenticación J2C JAAS. Puede utilizar los valores de
seguridad global o personalizar los valores de un dominio.
Los inicios de sesión de la aplicación JAAS, inicios de sesión del sistema JAAS y alias de datos de autenticación JAAS J2C se pueden configurar a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. El tiempo de ejecución de seguridad busca primero los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS en un dominio sólo cuando deba especificar un inicio de sesión que sea utilizado exclusivamente por las aplicaciones del dominio de seguridad.
- Java Authentication SPI (JASPI)
Especifica los valores de configuración de un proveedor de autenticación JASPI (Java Authentication SPI). Puede utilizar los valores de seguridad global o personalizar los valores de un dominio. Para configurar los proveedores de autenticación JASPI para un dominio, seleccione Personalizar para este dominio y luego habilite JASPI. Seleccione Proveedores para definir proveedores para el dominio.
Nota: El proveedor de autenticación JASPI se puede habilitar con proveedores configurados a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los proveedores de autenticación JASPI configurados a nivel global. El tiempo de ejecución de seguridad primero comprueba los proveedores de autenticación JASPI a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure los proveedores de autenticación JASPI en un dominio sólo cuando el proveedor se va a utilizar exclusivamente por las aplicaciones en dicho dominio de seguridad.
- Atributos del mecanismo de autenticación
Especifica los distintos valores de memoria caché que deben aplicarse a nivel de dominio.
Seleccione Valores de memoria caché de autenticación para especificar los valores de memoria caché de autenticación. La configuración especificada en este panel sólo se aplica a este dominio.
Seleccione Tiempo de espera LTPA para configurar un valor de tiempo de espera LTPA diferente a nivel de dominio. El valor de tiempo de espera predeterminado es 120 minutos, que se establece a nivel global. Si se establece el tiempo de espera LTPA a nivel de dominio, cualquier señal que se cree en el dominio de seguridad cuando se acceda a aplicaciones de usuario se creará con este tiempo de caducidad.
Si la opción Utilizar nombres de usuario cualificados para reino está habilitada, los nombres de usuario devueltos por métodos como getUserPrincipal( ) se cualificarán con el reino de seguridad (registro de usuarios) utilizado por las aplicaciones en el dominio de seguridad.
- Proveedor de autorización
Puede configurar a nivel de dominio un proveedor de JACC (Java Authorization Contract for Containers) externo de otra empresa. El proveedor JACC de Tivoli Access Manager sólo se puede configurar a nivel global. Los dominios de seguridad lo podrán seguir utilizando si no alteran temporalmente el proveedor de autorización con otro proveedor de JACC o con la autorización nativa incorporada.
También puede configurar las opciones de autorización SAF a nivel de dominio de seguridad, que son las siguientes:
- El ID de usuario autenticado
- El correlacionador de perfiles SAF
- Posibilidad de habilitar la delegación SAF
- Si se debe utilizar el perfil APPL para restringir el acceso a WebSphere Application Server
- Posibilidad de suprimir los mensajes de error de autenticación
- La estrategia de registro de auditoría SMF
- El prefijo de perfil SAF
Para obtener más información sobre las opciones de autorización SAF, consulte Autorización SAF (System Authorization Facility) de z/OS.
- Opciones de seguridad de z/OS
- Puede establecer opciones de seguridad específicas de z/OS a nivel de proceso (JVM) para que todas las aplicaciones (administrativas y de usuario) puedan habilitar o inhabilitar estas opciones. Estas propiedades son:
- Habilitación del servidor de aplicaciones y de la sincronización de identidad de hebra de z/OS
- Habilitación de la identidad de hebra RunAs del gestor de conexiones.
Para obtener más información sobre las opciones de seguridad de z/OS, consulte Opciones de seguridad de z/OS.
- Propiedades personalizadas
- Establezca propiedades personalizadas a nivel de dominio que sean nuevas o distintas de las del nivel global. De manera predeterminada, todas las aplicaciones de la célula pueden acceder a todas las propiedades personalizadas de la configuración de seguridad global. El código de tiempo de ejecución de seguridad busca primero la propiedad personalizada a nivel de dominio. Si no la encuentra, intenta obtenerla de la configuración de seguridad global.
- Pulse Aplicar.
- Una vez que haya guardado los cambios de configuración, reinicie el servidor para que los cambios tengan efecto.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sec_domains_new
File name: tsec_sec_domains_new.html