O WebSphere Application Server, Network Deployment suporta o gerenciamento centralizado de nós distribuídos e servidores de aplicativos.
Esse suporte traz a complexidade como herança, principalmente quando a segurança é incluída. Como tudo é distribuído, a segurança tem uma função ainda maior para assegurar que as comunicações sejam protegidas corretamente entre servidores de aplicativos e agentes de nós e entre agentes de nós (um gerenciador de configuração específico do nó) e o gerenciador de implementação (um gerenciador de configuração centralizado de todo o domínio).
Antes de Iniciar
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Como os processos são distribuídos,
o mecanismo de autenticação que deve ser utilizado é o LTPA
(Lightweight Third Party Authentication). Os tokens LTPA são criptografados, assinados e encaminháveis aos processos remotos.
No entanto, os tokens têm expirações. O conector SOAP, que é o conector padrão, é utilizado para segurança
administrativa e não possui lógica de nova tentativa para tokens expirados. No entanto, o protocolo não tem preservação de estado, portanto, um novo token é criado para cada pedido se não houver tempo suficiente para executar o pedido com o tempo restante do token. Um conector alternativo é o conector RMI, que tem preservação de estado, e possui alguma lógica de nova tentativa para corrigir tokens expirados, enviando novamente os
pedidos após a detecção do erro. Além disso, como os tokens têm expiração específica por tempo, a sincronização dos
clocks do sistema é crucial para a operação correta da validação baseada em token. Se os clocks estiverem diferentes por um valor muito alto (aproximadamente 10-15 minutos), podem
ocorrer falhas de validação irrecuperáveis que podem ser evitadas mantendo-os
sincronizados. Verifique se a hora, a data e os fusos horários do clock estão iguais entre os sistemas. É
aceitável que os nós estejam em diferentes fusos horários, desde que os horários estejam
corretos dentro dos fusos horários (por exemplo, 17:00h CST = 18:00h EST, e assim por
diante).
Como os processos são distribuídos,
um mecanismo de autenticação que suporta um token de autenticação, como LTPA
(Lightweight Third Party Authentication), deve ser
selecionado. Os tokens são criptografados, assinados e encaminháveis aos processos remotos. Todavia, os tokens possuem prazos de expiração que são definidos no console administrativo do WebSphere Application Server. O conector SOAP que é o conector padrão, é utilizado para segurança
administrativa e não possui lógica de nova tentativa para tokens expirados. No entanto, o protocolo não tem preservação de estado, portanto, um novo token é criado para cada pedido se não houver tempo suficiente para executar o pedido com o tempo restante do token. Um conector alternativo é o conector RMI
(Remote Method Invocation), que tem preservação de estado, e possui alguma lógica
de nova tentativa para corrigir tokens expirados, enviando novamente os pedidos
após a detecção do erro. Além disso, como os tokens têm expiração específica por tempo, a sincronização dos
clocks do sistema é crucial para a operação correta da validação baseada em token. Se os clocks estiverem diferentes por um valor muito alto (aproximadamente 10-15 minutos), podem
ocorrer falhas de validação irrecuperáveis que podem ser evitadas mantendo-os
sincronizados. Verifique se a hora, a data e os fusos horários do clock estão iguais entre os sistemas. É
aceitável que os nós estejam em diferentes fusos horários, desde que os horários estejam
corretos dentro dos fusos horários (por exemplo, 17:00h CST = 18:00h EST, e assim por
diante).
![[z/OS]](../images/ngzos.gif)
Há considerações
adicionais com SSL (Secure Sockets Layer). O
WebSphere Application Server para o z/OS pode utilizar os conjuntos de chaves
Resource Access Control Facility (RACF)
para armazenar as chaves e os armazenamentos confiáveis que são utilizado para SSL, mas diferentes protocolos SSL são utilizados internamente. É necessário ter
certeza para configurá-los:
- Um repertório SSL do sistema para utilização pelo contêiner da Web
- Um repertório SSL do JSSE (Java™ Secure
Sockets Extension) para ser utilizado pelo conector SOAP HTTP
se o conector SOAP for utilizado para pedidos administrativos
Verifique se os armazenamentos de chaves e os armazenamentos de confiança
configurados estão configurados para confiar somente nos servidores com os quais eles se comunicam. Certifique-se de que incluam os certificados signatários necessários desses servidores nos arquivos confiáveis de todos os servidores do domínio. Ao utilizar a autoridade de certificação (CA) para criar certificados pessoais, é mais
fácil assegurar que todos os servidores confiem uns nos outros, tendo o certificado raiz
da CA em todos os assinantes.
A Ferramenta de Gerenciamento de Perfil do WebSphere z/OS ou o comando zpmt
usa a mesma autoridade de certificação para gerar certificados para todos os servidores dentro de uma determinada célula, incluindo aqueles dos agentes do nó e do
gerenciador de implementação.
Sobre Esta Tarefa
Considere os seguintes problemas ao utilizar ou planejar para um ambiente do
WebSphere Application Server, Network Deployment.
Procedimento
- Ao tentar executar comandos de gerenciamento do sistema, como o comando stopNode, especifique explicitamente as credenciais
administrativas para executar a operação. A maioria dos comandos aceitam os parâmetros
–user e –password para especificar o ID do usuário e a senha, respectivamente. Especifique o ID do usuário e a senha de um usuário administrativo; por exemplo, um usuário que seja membro dos usuários do console com privilégios de Operador ou Administrador ou o ID do usuário administrativo configurado
no registro do usuário. Segue um exemplo do comando stopNode:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
stopNode -username user -password pass
stopNode.sh -username user -password pass
- Verifique se a configuração nos agentes do nó está sempre sincronizada com o
gerenciador de implementação antes iniciar ou reiniciar um nó. Para que a configuração
seja sincronizada manualmente, emita o comando syncNode a partir de
cada nó que não esteja sincronizado. Para sincronizar a configuração para agentes
de nós que estão iniciados, clique em Administração do sistema > Nós. Selecione todos os nós iniciados e, em seguida, clique em Sincronizar.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Verifique se os clocks em todos os sistemas estão em sincronismo, incluindo o horário e a data. Se estiverem fora
de sincronização, os tokens expirarão imediatamente quando atingirem o
servidor de destino, devido às diferenças de hora. A Hora Universal Coordenada (UTC) é utiliza por padrão, e todas as outras máquinas devem ter o mesmo horário UTC. Consulte a documentação do seu sistema operacional para obter informações sobre como assegurar isso.
- Verifique se o período de expiração do token LTPA é grande o
suficiente para concluir seu maior pedido de recebimento de dados. Algumas credenciais são armazenadas em cache e, portanto, o tempo limite nem sempre inclui a duração do pedido. Especificamente
para credenciais armazenadas em cache, poderá ser necessário avaliar
suas configurações para o cache de segurança (WSSecureMap)
e tempo limite de LTPA.
- O conector administrativo utilizado por padrão para o gerenciamento do sistema
é SOAP. SOAP é um protocolo HTTP sem informação de estado. Para a maioria das situações, esse conector é suficiente. Se tiver um problema ao utilizar o conector SOAP, pode querer
alterar o conector padrão de todos os servidores de SOAP para RMI. O conector RMI utiliza CSIv2 (Common Secure Interoperability Versão 2), um protocolo com preservação de estado interoperável, e pode ser configurado para utilizar asserção de identidade (delegação de recebimento de dados), autenticação de camada de mensagem (BasicAuth ou Token) e
autenticação do certificado cliente (para isolamento de confiança do servidor). Para alterar o conector padrão em um determinado servidor,
vá para Serviços de Administração em Propriedades
Adicionais para esse servidor.
Pode ocorrer uma mensagem de erro na segurança do subsistema
administrativo. Esse erro indica que o processo de envio não forneceu uma credencial ao processo de recebimento. Em geral, a causa desse problema é que o processo de envio tem a segurança desativada enquanto que o processo de recebimento tem a segurança ativada. Essa configuração geralmente indica que um dos dois processos não
está sincronizado com a célula. Ter a segurança desativada para um
servidor de aplicativos específico não tem nenhum efeito na segurança
administrativa.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Pode ocorrer uma mensagem de erro na segurança do subsistema
administrativo.
Esse erro indica que o processo de envio não forneceu uma credencial ao processo de recebimento. Geralmente,
as causas desse problema são:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Ao obter a mensagem de erro a seguir,
verifique se os clocks estão sincronizados entre todos os servidores dentro da
célula e se as configurações estão sincronizadas entre todos os nós e o
Deployment Manager. Pode ocorrer um erro semelhante ao seguinte: [9/18/02 16:48:22:859 CDT] 3bd06f34 LTPAServerObj E CWSCJ0372E: Validation of
token falhou.
Resultados
O entendimento adequado das interações de segurança entre os servidores
distribuídos reduz muito os problemas encontrados com comunicações seguras. A segurança adiciona complexidade, porque funções adicionais
precisam ser gerenciadas. Para que a segurança funcione corretamente, ela precisa ser considerada em detalhes
durante o planejamento de sua infraestrutura.
O que Fazer Depois
Quanto tiver problemas de segurança relacionados ao ambiente
WebSphere Application Server, Network Deployment, consulte
Resolvendo Problemas de Configurações de Segurança para localizar informações adicionais sobre o problema. Quando o rastreio é necessário para solucionar um problema porque
os servidores são distribuídos, frequentemente é necessário reunir rastreio de todos os
servidores simultaneamente durante a recriação do problema. Esse rastreio pode ser ativado dinâmica ou estaticamente, dependendo do tipo de problema que está ocorrendo.