Considerações de Segurança Quando Estiver em um Ambiente Multinós do WebSphere Application Server, Network Deployment do WebSphere Application Server

O WebSphere Application Server, Network Deployment suporta o gerenciamento centralizado de nós distribuídos e servidores de aplicativos. Esse suporte traz a complexidade como herança, principalmente quando a segurança é incluída. Como tudo é distribuído, a segurança tem uma função ainda maior para assegurar que as comunicações sejam protegidas corretamente entre servidores de aplicativos e agentes de nós e entre agentes de nós (um gerenciador de configuração específico do nó) e o gerenciador de implementação (um gerenciador de configuração centralizado de todo o domínio).

Antes de Iniciar

[AIX Solaris HP-UX Linux Windows][IBM i]Como os processos são distribuídos, o mecanismo de autenticação que deve ser utilizado é o LTPA (Lightweight Third Party Authentication). Os tokens LTPA são criptografados, assinados e encaminháveis aos processos remotos. No entanto, os tokens têm expirações. O conector SOAP, que é o conector padrão, é utilizado para segurança administrativa e não possui lógica de nova tentativa para tokens expirados. No entanto, o protocolo não tem preservação de estado, portanto, um novo token é criado para cada pedido se não houver tempo suficiente para executar o pedido com o tempo restante do token. Um conector alternativo é o conector RMI, que tem preservação de estado, e possui alguma lógica de nova tentativa para corrigir tokens expirados, enviando novamente os pedidos após a detecção do erro. Além disso, como os tokens têm expiração específica por tempo, a sincronização dos clocks do sistema é crucial para a operação correta da validação baseada em token. Se os clocks estiverem diferentes por um valor muito alto (aproximadamente 10-15 minutos), podem ocorrer falhas de validação irrecuperáveis que podem ser evitadas mantendo-os sincronizados. Verifique se a hora, a data e os fusos horários do clock estão iguais entre os sistemas. É aceitável que os nós estejam em diferentes fusos horários, desde que os horários estejam corretos dentro dos fusos horários (por exemplo, 17:00h CST = 18:00h EST, e assim por diante).

[z/OS]Como os processos são distribuídos, um mecanismo de autenticação que suporta um token de autenticação, como LTPA (Lightweight Third Party Authentication), deve ser selecionado. Os tokens são criptografados, assinados e encaminháveis aos processos remotos. Todavia, os tokens possuem prazos de expiração que são definidos no console administrativo do WebSphere Application Server. O conector SOAP que é o conector padrão, é utilizado para segurança administrativa e não possui lógica de nova tentativa para tokens expirados. No entanto, o protocolo não tem preservação de estado, portanto, um novo token é criado para cada pedido se não houver tempo suficiente para executar o pedido com o tempo restante do token. Um conector alternativo é o conector RMI (Remote Method Invocation), que tem preservação de estado, e possui alguma lógica de nova tentativa para corrigir tokens expirados, enviando novamente os pedidos após a detecção do erro. Além disso, como os tokens têm expiração específica por tempo, a sincronização dos clocks do sistema é crucial para a operação correta da validação baseada em token. Se os clocks estiverem diferentes por um valor muito alto (aproximadamente 10-15 minutos), podem ocorrer falhas de validação irrecuperáveis que podem ser evitadas mantendo-os sincronizados. Verifique se a hora, a data e os fusos horários do clock estão iguais entre os sistemas. É aceitável que os nós estejam em diferentes fusos horários, desde que os horários estejam corretos dentro dos fusos horários (por exemplo, 17:00h CST = 18:00h EST, e assim por diante).

[z/OS]Há considerações adicionais com SSL (Secure Sockets Layer). O WebSphere Application Server para o z/OS pode utilizar os conjuntos de chaves Resource Access Control Facility (RACF) para armazenar as chaves e os armazenamentos confiáveis que são utilizado para SSL, mas diferentes protocolos SSL são utilizados internamente. É necessário ter certeza para configurá-los:
  • Um repertório SSL do sistema para utilização pelo contêiner da Web
  • Um repertório SSL do JSSE (Java™ Secure Sockets Extension) para ser utilizado pelo conector SOAP HTTP se o conector SOAP for utilizado para pedidos administrativos
Verifique se os armazenamentos de chaves e os armazenamentos de confiança configurados estão configurados para confiar somente nos servidores com os quais eles se comunicam. Certifique-se de que incluam os certificados signatários necessários desses servidores nos arquivos confiáveis de todos os servidores do domínio. Ao utilizar a autoridade de certificação (CA) para criar certificados pessoais, é mais fácil assegurar que todos os servidores confiem uns nos outros, tendo o certificado raiz da CA em todos os assinantes.

[z/OS]A Ferramenta de Gerenciamento de Perfil do WebSphere z/OS ou o comando zpmt usa a mesma autoridade de certificação para gerar certificados para todos os servidores dentro de uma determinada célula, incluindo aqueles dos agentes do nó e do gerenciador de implementação.

Sobre Esta Tarefa

Considere os seguintes problemas ao utilizar ou planejar para um ambiente do WebSphere Application Server, Network Deployment.

Procedimento

Resultados

O entendimento adequado das interações de segurança entre os servidores distribuídos reduz muito os problemas encontrados com comunicações seguras. A segurança adiciona complexidade, porque funções adicionais precisam ser gerenciadas. Para que a segurança funcione corretamente, ela precisa ser considerada em detalhes durante o planejamento de sua infraestrutura.

O que Fazer Depois

Quanto tiver problemas de segurança relacionados ao ambiente WebSphere Application Server, Network Deployment, consulte Resolvendo Problemas de Configurações de Segurança para localizar informações adicionais sobre o problema. Quando o rastreio é necessário para solucionar um problema porque os servidores são distribuídos, frequentemente é necessário reunir rastreio de todos os servidores simultaneamente durante a recriação do problema. Esse rastreio pode ser ativado dinâmica ou estaticamente, dependendo do tipo de problema que está ocorrendo.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_esecarun
Nome do arquivo: tsec_esecarun.html