Propagando os Atributos de Segurança entre os Servidores de Aplicativos

Use o recurso de propagação do atributo de segurança do WebSphere Application Server para enviar informações do atributo de segurança sobre o login original para outros servidores utilizando um token. Esse tópico ajuda a configurar o WebSphere Application Server para propagar atributos de segurança para outros servidores.

Sobre Esta Tarefa

Para ativar completamente a propagação do atributos de segurança, deve-se configurar os painéis de conexão única (SSO), de entrada de Common Secure Interoperability Version 2 (CSIv2) e painéis de saída de CSIv2 no console administrativo do WebSphere Application Server. É possível ativar apenas as partes da propagação do atributo de segurança relevantes para a configuração. Por exemplo, é possível ativar a propagação da Web, que é a propagação entre os servidores de aplicativos frontend, usando a técnica push (DynaCache) ou a técnica pull (método remoto para o servidor original).

É possível também escolher se deve ativar a propagação de saída e entrada de RMI (Remote Method Invocation), comumente chamada de propagação de recebimento de dados. Geralmente, os tipos de propagação são ativados para qualquer célula determinada. Em alguns casos, é possível que você deseje escolher uma opção diferente para um servidor de aplicativos específico, utilizando o painel de segurança do servidor nas configurações específicas do servidor de aplicativos.

Restrição: Para impedir a propagação dos mesmos atributos de segurança entre servidores de aplicativos várias vezes, o WebSphere Application Server verifica se um token LTPA (Lightweight Third Party Authentication) não existe. Podem ocorrer dois casos. A ausência do token LTPA informa ao Servidor de Aplicativos que a propagação pode continuar. A presença do token LTPA indica se a propagação ocorreu, se o token LTPA tiver sido gerado dentro do cluster. No entanto, no segundo caso, se o token LTPA estiver presente, mas tiver sido gerado por um servidor fora do cluster, como o Tivoli Access Manager, o Lotus Domino ou um cluster do Application Server diferente, os atributos de segurança não serão propagados.

Para acessar o painel de segurança do servidor no console administrativo, clique em Servidores > Servidores de Aplicativos > nome_do_servidor. Em Segurança, clique em Segurança do Servidor.

Conclua as etapas a seguir para configurar o WebSphere Application Server para propagação do atributo de segurança:

Procedimento

  1. Acesse o console administrativo do WebSphere Application Server digitando http://server_name:port_number/ibm/console. O endereço do console administrativo pode diferir se você tiver alterado o número da porta anteriormente.
  2. Clique em Segurança > Segurança Global.
  3. Em segurança da Web, clique em SSO (Conexão Única).
  4. Opcional: Selecione a opção Modo de Interoperabilidade caso tenha que interoperar com servidores que não suportam a propagação do atributo de segurança. Os servidores que não suportam a propagação do atributo de segurança recebem o token LTPA (Lightweight Third Party Authentication) e o token Propagation, mas ignoram as informações do atributo de segurança que não compreendem.
  5. Selecione a opção Propagação do Atributo de Segurança de Entrada da Web. A opção Propagação do Atributo de Segurança de Entrada da Web permite a propagação horizontal, que permite que o token de SSO de recebimento recupere as informações de login do servidor de login original. Se não ativar esta opção, a propagação de recebimento de dados poderá ocorrer se você ativar a opção Propagação do Atributo de Segurança nos painéis de Autenticação de Entrada do CSIv2 e de Autenticação de Saída do CSIv2.

    Normalmente, ative a opção de propagação de atributo de segurança de entrada da Web se precisar reunir atributos de segurança dinâmicos configurados no servidor de login original que não puderem ser gerados novamente no novo servidor de frontend. Estes atributos incluem os atributos customizados que podem ser definidos no token PropagationToken utilizando as APIs (Interfaces de Programação de Aplicativo) com.ibm.websphere.security.WSSecurityHelper. Você deve determinar se a ativação dessa opção aprimora ou degrada o desempenho do sistema. Enquanto a opção evita algumas chamadas de registro do usuário remotas, a desserialização e a decriptografia de alguns símbolos podem impactar o desempenho. Em alguns casos, a propagação é mais rápida, principalmente se seu registro do usuário for o gargalo de sua topologia. É recomendável calcular o desempenho de seu ambiente usando e não usando essa opção. Ao testar o desempenho, recomenda-se testar no ambiente operacional do ambiente de produção típico com o número típico de usuários exclusivos acessando o sistema simultaneamente.

    Quando a opção Propagação do atributo de segurança de entrada da web é ativada, os atributos de segurança são propagados para servidores de aplicativos de front-end. Quando essa opção é desativada, o token de SSO é usado para efetuar login e recriar o Assunto a partir do registro do usuário.

  6. Clique em Segurança > Segurança Global. Em segurança de RMI/IIOP, clique em Autenticação de Entrada de CSIv2. O campo Configuração de login especifica RMI_INBOUND como a configuração de login do sistema usada para solicitações de entrada. Para incluir módulos de login JAAS (Java™ Authentication and Authorization Service) customizados, execute as seguintes etapas:
    1. Clique em Segurança > Segurança Global. Em Java Authentication and Authorization Service, clique em Logins do sistema. É exibida uma lista de configurações de login do sistema. O WebSphere Application Server fornece as seguintes configurações de login do sistema pré-configuradas: DEFAULT, LTPA, LTPA_WEB, RMI_INBOUND, RMI_OUTBOUND, SWAM, WEB_INBOUND, wssecurity.IDAssertion e wssecurity.Signature. Não exclua essas configurações predefinidas.
      Nota: SWAM está reprovado no WebSphere Application Server Versão 9.0 e será removido em um release futuro.
    2. Clique no nome da configuração de login que deseja modificar.
    3. Em Propriedades Adicionais, clique em Módulos de Login do JAAS. O painel Módulos de Login do JAAS é exibido, listando todos os módulos de login processados na configuração de login. Não exclua os módulos de login do JAAS requeridos. Em vez disso, é possível incluir os módulos de login customizados antes ou depois dos módulos de login requeridos. Se você incluir módulos de login customizados, não inicie seus nomes com com.ibm.ws.security.server.

      É possível especificar a ordem na qual os módulos de login são processados, clicando em Definir Ordem.

  7. Selecione a opção Propagação do Atributo de Segurança no painel de autenticação de entrada do CSIv2. Ao selecionar a Propagação do Atributo de Segurança, o servidor publica para outros servidores de aplicativos que podem receber os atributos de segurança propagados de outro servidor na mesma região sobre o protocolo CSIv2 (Common Secure Interoperability versão 2).
  8. Clique em Segurança > Segurança Global. Em Segurança de RMI/IIOP, clique em Autenticação de Saída de CSIv2. O painel de autenticação de saída do CSIv2 é exibido. O campo Configuração de Login especifica RMI_OUTBOUND como a configuração de login do JAAS utilizada para a configuração de saída. Não é possível alterar essa configuração de login. Em vez disso, é possível customizar essa configuração de login concluindo as subetapas listadas anteriormente para a autenticação de Entrada do CSIv2.
  9. Opcional: Verifique se a opção Propagação do Atributo de Segurança está selecionada se quiser ativar o Assunto de saída e a propagação do token de contexto de segurança para o protocolo RMI (Remote Method Invocation). Quando você seleciona essa opção, o WebSphere Application Server serializa o conteúdo Subject e o conteúdo PropagationToken. Após a serialização do conteúdo, o servidor utiliza o protocolo CSIv2 para enviar o Assunto e o token PropagationToken para os servidores de destino que suportam a propagação do atributo de segurança. Se o servidor de recebimento não suportar tokens de atributo de segurança, o WebSphere Application Server envia apenas o token LTPA (Lightweight Third Party Authentication).
    Importante: O WebSphere Application Server propaga apenas os objetos no Subject que ele pode serializar. O servidor propaga os objetos customizados em uma base melhor possível.
    Quando a Propagação do Atributo de Segurança é ativada, o WebSphere Application Server inclui tokens de marcadores no Subject para possibilitar que o servidor de destino inclua atributos adicionais durante o login de entrada. Durante a fase de consolidação de login, os símbolos do marcador e o Assunto são marcados como de leitura e não podem ser modificados.
    [z/OS]Importante: Quando usar a propagação do atributo de segurança, utilize as mesmas chaves LTPA em todas as configurações de célula.
  10. Opcional: Selecione a opção Mapeamento de Saída Customizado se você limpar a opção Propagação do Atributo de Segurança e quiser usar a configuração de login RMI_OUTBOUND. Se a opção Mapeamento de Saída Customizado e a opção Propagação do Atributo de Segurança não estiverem selecionadas, o WebSphere Application Server não chamará a configuração de login RMI_OUTBOUND. Se for preciso plugar um módulo de login de mapeamento de credenciais, será necessário selecionar a opção Mapeamento Customizado de Saída.
  11. Opcional: Especifique os nomes de regiões de destino confiáveis no campo Regiões de Destino Confiáveis. Especificando estes nomes de regiões, as informações podem ser enviadas para servidores que residem fora da região do servidor de envio para suportar o mapeamento de entrada que está nestes servidores de recebimento de dados. Para desempenhar o mapeamento de saída para uma região diferente da região atual, você deve especificar a região nesse campo para que possa chegar a este ponto sem que o pedido seja rejeitado devido a uma incompatibilidade de regiões. Se você precisar que o WebSphere Application Server propague atributos de segurança para uma outra região quando um pedido for enviado, especifique o nome da região no campo Regiões de Destino Confiáveis. Caso contrário, os atributos de segurança não são propagados para a região não especificada. É possível incluir várias regiões de destino, incluindo um delimitador de canal (|) entre cada entrada.
  12. Opcional: Ativar a propagação para um cliente puro. Para um cliente puro propagar atributos incluídos no Assunto da chamada, deve-se incluir a propriedade a seguir no arquivo sas.client.props: com.ibm.CSI.rmiOutboundPropagationEnabled=true
    Nota: O arquivo sas.client.props está localizado em <WAS-HOME>/profiles/<ProfileName>/properties>.

Resultados

Após concluir estas etapas, você configurou o WebSphere Application Server para propagar atributos de segurança para outros servidores.

O que Fazer Depois

Se você precisar desativar a propagação do atributo de segurança, determine se é necessário desativá-la para o nível do servidor ou o nível da célula.
Atenção: As alterações nas configurações do nível do servidor substituem as configurações da célula.
Atenção: Observe que as configurações podem ser substituídas em um domínio de segurança.
Para desativar a propagação do atributo de segurança no nível do servidor, conclua as seguintes etapas:
  1. Clique em Servidor > Servidores de Aplicativos > nome_do_servidor.
  2. Em Segurança, clique em Segurança do Servidor.
  3. Selecione a opção Segurança RMI/IIOP para Esse Servidor Substitui as Configurações da Célula.
  4. Desative a propagação do atributo de segurança para pedidos de entrada, clicando em Autenticação de Entrada CSI em Propriedades Adicionais e limpando a opção Propagação do Atributo de Segurança.
  5. Desative a propagação do atributo de segurança para pedidos de saída, clicando em Autenticação de Saída CSI em Propriedades Adicionais e limpando a opção Propagação do Atributo de Segurança.

Para desativar a propagação do atributo de segurança no nível da célula, desfaça cada uma das etapas concluídas para ativar a propagação do atributo de segurança nesta tarefa.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_enablesecattprop
Nome do arquivo: tsec_enablesecattprop.html