Selección de un registro o repositorio
La información sobre los usuarios y los grupos reside en un registro de usuarios. En WebSphere Application Server, un registro de usuarios autentica un usuario y recupera información sobre los usuarios y grupos, para ejecutar funciones relacionadas con la seguridad, incluidas la autenticación y la autorización.
Antes de empezar
Antes de configurar el repositorio o el registro de usuario, debe decidir qué registro de usuario o repositorio desea utilizar. Puede configurar un registro por omisión activo para la célula.
Acerca de esta tarea
WebSphere Application Server proporciona implementaciones que dan soporte a varios tipos de registros y repositorios que incluyen el registro del sistema operativo local, un registro LDAP (Lightweight Directory Access Protocol) autónomo, un registro personalizado autónomo y repositorios federados.
Con WebSphere Application Server, un repositorio o un registro de usuario, como un repositorio federado, autentica al usuario y recupera información sobre los usuarios y los grupos para realizar funciones relacionadas con la seguridad, como la autenticación y la autorización.
- Autenticar un usuario utilizando la autenticación básica, la aserción de identidad o los certificados de cliente
- Recuperar información sobre usuarios y grupos, para ejecutar funciones administrativas relacionadas con la seguridad como, por ejemplo, correlacionar usuarios y grupos con roles de seguridad.
WebSphere Application Server está diseñado con la posibilidad de dar soporte a
varios sistemas operativos o registros de usuarios basados en un entorno
operativo, como el registro SAF de
z/OS
y la mayoría de los principales registros basados en LDAP (Lightweight
Directory Access Protocol). Puede utilizar la característica LDAP personalizada para
dar soporte a cualquier servidor LDAP, estableciendo la configuración correcta, como filtros de usuarios y de grupos. No obstante, el soporte no se amplía a estos servidores LDAP personalizados, ya que hay muchas posibilidades
que no se pueden probar.
La configuración del registro o repositorio correcto es
un requisito previo para asignar usuarios y grupos a roles para las aplicaciones. De manera predeterminada, cuando no se configura un repositorio o un registro de
usuarios, se utiliza el registro de usuarios de sistema operativo local
basado en SAF. Si su
opción de repositorio o registro de usuario no es el sistema operativo local, debe
configurar primero el repositorio o el registro de usuario. La configuración del
repositorio o el registro de usuario normalmente se realiza como parte del proceso de
habilitar la seguridad administrativa, reiniciar los servidores y después asignar
usuarios y grupos a roles para todas las aplicaciones.
Además del sistema operativo local, de LDAP y de los registros de repositorio federados, WebSphere Application Server también proporciona un plug-in para soportar cualquier registro utilizando la característica de registro personalizado. La característica de registro de usuarios personalizado permite configurar cualquier registro de usuarios que no esté disponible mediante los paneles de configuración de seguridad de WebSphere Application Server.
La configuración del registro o repositorio correcto es un requisito previo para asignar usuarios y grupos a roles para las aplicaciones. Cuando no está configurado un repositorio o un registro de usuario, por omisión se utiliza el registro del sistema operativo local. Si la opción de registro de usuario no es el registro del sistema operativo local, primero es necesario configurar el registro o el repositorio, lo que habitualmente se realiza como parte del proceso de habilitar la seguridad, reiniciar los servidores y después asignar usuarios y grupos a roles para todas las aplicaciones.
- Repositorio federado
- Sistema operativo local como, por ejemplo,
basado en SAF
Restricción: Realizar la configuración de un servidor LDAP transparente en el registro del sistema operativo local y la autenticación de usuario a través de dicho sistema operativo local utilizando LDAP no está soportado. - Registro LDAP (Lightweight Directory Access Protocol) autónomo
- Registro personalizado autónomo
// Recupera InitialContext por omisión para este servidor.
javax.naming.InitialContext ctx = new javax.naming.InitialContext();
// Recupera el objeto UserRegistry local.
com.ibm.websphere.security.UserRegistry reg =
(com.ibm.websphere.security.UserRegistry) ctx.lookup("UserRegistry");
// Recupera el uniqueID de registro basado en el userName especificado
// en NameCallback.
String uniqueid = reg.getUniqueUserId(userName);
// Quita el nombre de reino y obtiene el uniqueID real
String uid = com.ibm.wsspi.security.token.WSSecurityPropagationHelper.getUserFromUniqueID (uniqueID);
// Recupera el nombre de seguridad del registro de usuario basado en el uniqueID.
String securityName = reg.getUserSecurityName(uid);
Puede utilizar SPI (Service Provider Interface) para este análisis de funciones. $AdminApp deleteUserAndGroupEntries NombreAplicación
donde NombreAplicación es el nombre de la aplicación. Antes de realizar esta operación se aconseja hacer una copia de seguridad de la aplicación antigua. No obstante, si las dos condiciones siguientes se cumplen, es posible que
pueda conmutar los registros sin necesidad de suprimir la información de
usuarios y grupos: - Todos los nombres de usuarios y grupos ,incluida la contraseña de los usuarios de roles RunAs, de todas las aplicaciones coinciden en ambos registros de usuario.
- El archivo de enlaces de las aplicaciones no contiene los ID de acceso, que son exclusivos para cada registro de usuario, incluso para el mismo nombre de usuario o grupo.
Por omisión, una aplicación no contiene los ID de acceso en el archivo de enlaces. Estos ID se generan cuando se inician las aplicaciones. Sin embargo, si ha migrado una aplicación existente de un release anterior o si ha utilizado el script wsadmin para añadir los ID de acceso para las aplicaciones para mejorar el rendimiento, deberá suprimir la información de usuarios y grupos existente y añadirla después de configurar el nuevo registro de usuario.
Para obtener más información sobre la actualización de ID de acceso, consulte los ID de updateAccess en el artículo Mandatos para el objeto AdminApp.
![[AIX]](../images/aixlogo.gif)
- #
- =
- \
- :
- "
- ,
- /
- ?
- '
- Un carácter de espacio
Para obtener una lista exhaustiva de los caracteres no alfanuméricos que no reciben soporte, consulte la documentación del sistema operativo AIX de IBM.
![[HP-UX]](../images/hpux.gif)
- :
- "
- /
- Un carácter de espacio
Realice uno de los pasos siguientes para configurar el registro de usuario:
Procedimiento
- Configuración de registros del sistema operativo local
- Configuración de los registros de usuario de LDAP (Lightweight Directory Access Protocol)
- Configuración de registros personalizados autónomos.
- Gestión de reinos de configuraciones de repositorios federados
Qué hacer a continuación
- Si está habilitando la seguridad, lleve a cabo los pasos restantes. Verifique que el repositorio de cuentas de usuario en el panel Seguridad global esté establecido en el repositorio o el registro adecuado. Como paso final, valide el ID de usuario y la contraseña pulsando Aplicar en el panel Seguridad global. Guarde, detenga y reinicie todos los servidores WebSphere Application Server.
- Para que los cambios realizados en los paneles de registro de usuario
entren en vigor, debe validar los cambios pulsando
Aplicar en el panel Seguridad global. Después de la validación, guarde la configuración y detenga y
reinicie todos los servidores WebSphere Application Server, incluidos las células, los nodos y todos los servidores de
aplicaciones. Para evitar incoherencias entre los procesos de
WebSphere Application Server, asegúrese de que todos
los cambios realizados en el repositorio o el registro se llevan a cabo cuando todos los procesos estén en
ejecución. Si hay algún proceso que no está en ejecución, es necesario
forzar una sincronización para asegurarse de que el proceso pueda
iniciarse más adelante.
Si el servidor se inicia sin sufrir ninguna anomalía, significa que la configuración es correcta.
Si se selecciona SAF (System Authorization Facility) a través del sistema operativo local como repositorio o registro, se ignoran los valores de los enlaces con la excepción del ID de usuario y la contraseña (o expresión de contraseña) para los usuarios cuyo rol es RunAs.