Mecanismo de autenticación de señales RSA

El Mecanismo de autenticación de RSA (Rivest scureidShamir Adleman) se utiliza para simplificar el entorno de seguridad para la topología de Gestión flexible. Soporta la posibilidad de registrar de forma segura y fácil servidores nuevos en la topología de Gestión flexible. Con la topología de Gestión flexible, puede someter y gestionar trabajos administrativos, local o remotamente, utilizando un gestor de trabajos que gestiona aplicaciones, realiza el mantenimiento de producto, modifica las configuraciones y controla el tiempo de ejecución de servidor de aplicaciones. El mecanismo de autenticación RSA sólo se utiliza para la autenticación administrativa de servidor a servidor, por ejemplo solicitudes de transferencia de archivos y de conector admin. Para el uso del mecanismo de autenticación RSA no se sustituye LTPA ni Kerberos por aplicaciones.

Nota: El mecanismo de autenticación de señales RSA ayuda al objetivo de gestión flexible a conservar las configuraciones de perfiles base y a aislarlas de una perspectiva de seguridad. Asimismo, permite que los perfiles base gestionados por un agente administrativo tengan distintas claves LTPA (Lightweight Third-Party Authentication), distintos registros de usuarios y distintos usuarios administrativos.
Importante: La señal RSA no está relacionada con la señal SecureId RSA. Tenga en cuenta que el servidor de aplicaciones no proporciona soporte para SecureId.

La autenticación es el proceso de establecer si un cliente es quien dice ser dentro de un contexto determinado. Un cliente puede ser un usuario final, una máquina o una aplicación. Un mecanismo de autenticación en WebSphere Application Server suele colaborar estrechamente con un registro de usuarios. El registro de usuarios es el repositorio de cuentas de grupos y usuarios que el mecanismo de autenticación consulta cuando realiza la autenticación. El mecanismo de autenticación es el responsable de crear una credencial, que es una representación interna del producto de un usuario que se ha autenticado correctamente. No todas las credenciales se crean igualmente. Las posibilidades de la credencial las determina el mecanismo de autenticación configurado.

Proceso de autenticación

El mecanismo de autenticación de señales RSA garantiza que una vez que se haya intercambiado el certificado de firmante de raíz RSA (tiempo de vida de 15 años) entre dos procesos administrativos, no será necesario sincronizar la información de seguridad entre distintos perfiles para solicitudes administrativas. El certificado personal RSA (tiempo de vida de 1 año) se utiliza para realizar operaciones criptográficas en señales RSA y puede ser verificado por la raíz RSA de larga duración. La autenticación de señales RSA es diferente de LTPA donde las claves se comparten y si uno de los lados cambia, deberán cambiar todos los lados. Puesto a que la autenticación de señales RSA se basa en la infraestructura PKI, se beneficia de la escalabilidad y capacidad de gestión de esta tecnología en una topología de gran tamaño.

Una señal RSA dispone de funciones de seguridad más avanzadas que LTPA. Esto incluye un valor nonce que hace que la señal sea de un solo uso, un breve periodo de caducidad (puesto que se trata de una señal de un único uso) y confianza, la cual se establece en el almacén de confianza RSA de destino de los certificados.

La autenticación de señales RSA no utiliza los mismos certificados utilizados por SSL (Secure Sockets Layer). Éste es el motivo por el que RSA dispone de sus propios almacenes de claves. Para aislar la confianza establecida para RSA, el almacén de confianza, el almacén de claves y el almacén de claves de raíz deben ser diferentes de la configuración SSL.
Nota: Los certificados personales SSL concedidos a clientes puros suelen llevar la firma del mismo certificado de raíz SSL utilizado por los servidores; de este modo, un cliente puro puede enviar una señal RSA a un servidor y actuar como administrador. Esto debe evitarse para el mecanismo de autenticación de señales RSA. El mecanismo de autenticación de señales RSA dispone de su propio certificado raíz mediante el cual se firman certificados personales que se utilizan para cifrar y firmar partes de la señal.
Los datos almacenados en una señal RSA se basan en la identidad del asunto del cliente. El asunto del cliente se puede basar en LTPA o Kerberos; sin embargo, la señal RSA no utiliza esta protección para solicitudes administrativas. La señal RSA es más fácil de utilizar a la vez que se mantiene el transporte seguro de la identidad. Los datos de la señal RSA incluyen:
  • Versión
  • Nonce
  • Caducidad
  • Reino
  • Principal
  • ID de acceso
  • Roles (no utilizados actualmente)
  • Grupos
  • Datos personalizados
Los datos personalizados se pueden añadir a WSCredential en el lado de envío (antes de la salida del mismo) mediante la creación de un objeto de propiedades, la adición de atributos personalizados y la adición de dichos elementos a WSCredential del modo siguiente.
import com.ibm.websphere.security.cred.WSCredential;

java.util.Properties props = new java.util.Properties();
props.setProperty("myAttribute", "myValue");
WSCredential.put ("customRSAProperties", props);
Una vez que se cree el asunto en el proceso de destino, puede obtener acceso a estos atributos del modo siguiente.
java.util.Properties props = (java.util.Properties) WSCredential.get("customRSAProperties");

Estos datos se colocan en una tabla hash en el lado de destino y la tabla hash se utiliza en un inicio de sesión JAAS (Java™ Authentication and Authorization Service) para obtener un asunto en el destino que contenga los mismos atributos de la señal RSA. Una vez que el destino contenga los mismos atributos que la señal RSA, podrá tener un asunto en el lado de destino que no pertenezca al mismo reino utilizado por el destino. Para que esta autorización se lleve a cabo correctamente, deberá llevar a cabo una correlación entre reinos en la tabla de autorizaciones administrativa a menos que la identidad sea un ID de servidor de confianza.

La figura más adelante en este apartado muestra una visión general del mecanismo de autenticación de señales RSA y describe el proceso que tiene lugar cuando se envía una solicitud desde un servidor como cliente a un servidor de destino. El servidor como cliente tiene un asunto administrativo en la hebra que se utiliza como entrada para crear la señal RSA. El resto de información necesaria es un certificado público RSA del servidor de destino. Este certificado de ser recuperado realizando una solicitud MBean de “rutina de carga” al proceso de destino antes de enviar solicitudes reales. La solicitud de rutina de carga de destino recupera el certificado público del proceso de destino. Al crear una señal RSA, el objetivo principal de obtener el certificado público de destino es cifrar la clave secreta. El destino es el único que puede cifrar la clave secreta, la cual se utiliza para cifrar los datos del usuario.

La figura posterior en esta sección es una visión general del mecanismo de autenticación de señales RSA y describe el proceso que tiene lugar cuando se envía una solicitud de un servidor como cliente a un servidor de destino. El servidor como cliente tiene un sujeto administrativo en la hebra que se utiliza como entrada para crear la señal RSA. La información adicional necesaria es el certificado público RSA del servidor de destino. Este certificado se debe recuperar realizando una solicitud de MBean de “rutina de carga” al proceso de destino antes de enviar cualquier solicitud real. La solicitud de rutina de carga de destino recupera el certificado público de los procesos de destino. Cuando se crea una señal RSA, la finalidad principal de obtener el certificado público del destino es para cifrar la clave secreta. Sólo el destino puede descifrar la clave secreta, que se utiliza para cifrar los datos de usuario.

La clave privada del cliente se utiliza para firmar tanto la clave secreta como los datos del usuario. La clave pública del cliente se incorpora en la señal RSA y se valida en el destino. Si la clave pública del cliente no es de confianza al realizar una llamada a las API CertPath en el destino, la validación de señales RSA no podrá continuar. Si la clave pública del cliente es de confianza, se podrá utilizar para verificar las firmas de la clave secreta y de los datos de usuario.

El objetivo básico es convertir el asunto del cliente en un asunto en el destino mediante la propagación protegida de la información necesaria. Una vez que se haya generado el asunto en el destino, se habrá completado el proceso del mecanismo de autenticación RSA.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_7rsa_token_auth
File name: csec_7rsa_token_auth.html