Soporte de dominio de seguridad múltiple

En virtual member manager versión 8.0, puede configurar una instancia separada de virtual member manager para cada dominio de seguridad en un entorno de dominio de seguridad múltiple.

Cuando crea un dominio de seguridad en WebSphere Application Server, puede configurar el registro de usuarios de virtual member manager en el nivel de dominio. En los releases anteriores a la versión 8.0, sólo puede tener una instancia de virtual member manager y configurarlo en el nivel global (dominio admin). Para obtener más información, consulte Varios dominios de seguridad en el Information Center de WebSphere Application Server.

Para dar soporte a varias instancias de virtual member manager, se utiliza la información del dominio de seguridad de WebSphere para cargar la configuración y el esquema de modelo de datos aplicables. El nuevo dominio de seguridad se configura con la configuración predeterminada de virtual member manager. La configuración de virtual member manager se almacena y gestiona de forma independiente para cada dominio y no se comparte con el dominio admin o global. Sólo los usuarios asignados al rol de administrador de un dominio concreto pueden configurar virtual member manager en el nivel de dominio correspondiente.

El soporte de dominio de seguridad múltiple para virtual member manager incluye los aspectos que se describen a continuación.

Extensión de esquema

Puede ampliar el esquema definido globalmente del modelo de datos con un esquema específico del dominio. Por lo tanto, en un entorno de dominio de seguridad múltiple, puede tener un modelo de datos de perfil diferente para cada dominio. Puede gestionar los datos del perfil sin que se produzcan conflictos o problemas de ejecución en dominios de seguridad diferentes debido a que se crean instancias separadas de virtual member manager y a que se utilizan vías de acceso de archivo de esquema y de configuración específicos del dominio durante la inicialización.

Cómo evitar el problema: Los dominios de aplicación establecidos para utilizar el esquema global comparten el mismo esquema del dominio admin. Por ello, si amplía el esquema para una aplicación en un dominio, debe tener en cuenta cómo esto puede afectar a las aplicaciones de otros dominios ya que también están enlazadas mediante el mismo esquema. Por ejemplo, el hecho de añadir una propiedad obligatoria para una aplicación podría hacer que fallaran otras aplicaciones.

Para obtener más información, lea sobre Proceso de carga de esquema y extensión de esquema en un entorno de dominio de seguridad múltiple y el mandato wsadmin setIdMgrUseGlobalSchemaForModel en el tema, Grupo de mandatos IdMgrConfig para el objeto AdminTask.

Si la aplicación invoca las API de virtual member manager en modalidad local, debe establecer la siguiente propiedad del sistema en la JVM del cliente:
org.eclipse.emf.ecore.EPackage.Registry.INSTANCE=com.ibm.ws.wim.util.VMMEMFGlobalDelegatorRegistry
Para obtener más información, lea la sección, Obtención del servicio de miembro virtual y otros métodos comunes, en el tema Requisitos previos de programación.

Para obtener información sobre la resolución de problemas relacionados con EMF, lea sobre la habilitación del rastreo para clases EMF en el tema Registros y rastreo, y sobre la resolución de Errores de corrupción de registro o de violación de esquema.

Registros de usuarios

Se crea un registro de usuarios específico del dominio para cada dominio de seguridad, si el depósito de archivos está configurado para dicho dominio.

Puede crear los depósitos de base de datos, de extensión de propiedades y de correlación de entradas en un espacio de nombres especificado para permitir varios de estos depósitos en una única instancia de base de datos. Si no se especifica ningún espacio de nombres, el depósito se configura en el espacio de nombres predeterminado, normalmente el espacio de nombres del usuario de base de datos actual.

Cómo evitar el problema: No utilice el mismo espacio de nombres para los depósitos de base de datos, de extensión de propiedades o de correlación de entradas en dominios diferentes, ya que como resultado de ello podrían obtenerse datos incoherentes.

Para obtener más información, lea sobre Configuración de un depósito de correlación de entradas, un depósito de extensión de propiedades o un depósito de base de datos de registro personalizado utilizando mandatos wsadmin, Grupo de mandatos IdMgrRepositoryConfig para el objeto AdminTask y Configuración manual del depósito de extensión de propiedades para depósitos federados en el Information Center de WebSphere Application Server.

Configuración específica del dominio y gestión de usuarios y grupos

Los mandatos wsadmin proporcionan un parámetro securityDomainName opcional, que puede utilizar para configurar virtual member manager y para gestionar usuarios y grupos en un dominio específico. Si este parámetro no se especifica, de forma predeterminada se utiliza el dominio admin.

Despliegue de virtual member manager mediante EJB

En un entorno de desarrollo de aplicaciones, puede invocar las API de virtual member manager mediante EJB para un dominio específico. Virtual member manager proporciona las API EJB basadas en SDO, que puede utilizar para gestionar entidades de virtual member manager. Estas interfaces EJB se implementan mediante un EJB de sesión sin estado que delega las llamadas al proveedor de servicios de virtual member manager.

Si se necesita acceso remoto para dominios específicos, debe desplegarse la misma implementación de EJB de virtual member manager con descriptores de despliegue diferentes para cada instancia específica del dominio de virtual member manager, como una aplicación de usuario. Siga los pasos que se describen en el tema Instalación de virtual member manager.

Limitación: Si se despliega un EJB de virtual member manager en un nodo gestionado, se produce como resultado una anomalía en las operaciones de actualización del registro de archivos o del esquema de configuración.

Migración y compatibilidad con versiones anteriores

No es necesario ejecutar ninguna actualización en las aplicaciones existentes de virtual member manager en un entorno de dominio de seguridad múltiple.

WebSphere Application Server da soporte a la actualización desde las versiones 6.1 y 7.0 a la versión 8.0, y virtual member manager proporciona el mismo soporte. Durante la actualización, se conserva la extensión del modelo de datos y configuración existentes. En un entorno de dominio de seguridad múltiple, se proporciona soporte a la configuración para virtual member manager como el registro de usuarios para los dominios existentes que se crearon en WebSphere Application Server versión 7.0. Durante la actualización, los archivos de configuración y de esquema nuevos y actualizados se copian en sus ubicaciones correspondientes.

Archivos de configuración de virtual member manager en un entorno de dominio de seguridad múltiple

Cuando crea un dominio de seguridad en WebSphere Application Server 8.0, todos los archivos de configuración de virtual member manager se crean para dicho dominio, independientemente de si virtual member manager está configurado como el registro de usuarios activo.

WebSphere Application Server proporciona una opción para crear un dominio copiando un dominio seleccionado de una colección de dominios. Según las opciones que se especifican cuando se crea un dominio, los archivos de virtual member manager se copian desde el dominio seleccionado, el dominio de seguridad admin o la ubicación de la plantilla de perfil predeterminada. Esto también puede incluir la copia del depósito de archivos si existe en el dominio de origen. Para obtener más información lea Creación de nuevos dominios de seguridad múltiple, Configuración de dominios de seguridad múltiple y Configuración de dominios de seguridad múltiple utilizando scripts en el Information Center de WebSphere Application Server.

Los archivos de virtual member manager específicos del dominio se encuentran en el directorio raíz_servidor_apl/profiles/$ProfileName/config/waspolicies/$PolicyName/securitydomains/$DomainName.

Los archivos relacionados con la configuración de virtual member manager y el esquema de modelo de datos se indican en la tabla siguiente.

En la tabla se utilizan los convenios de directorio siguientes:

Tabla 1. Archivos de configuración de virtual member manager
Descripción Nivel Directorio Nombre de archivo
Archivo del esquema de configuración de virtual member manager Una copia global para todo el sistema raíz_servidor_apl/etc/wim/schema/config wimconfig.xsd
Archivo de configuración de virtual member manager Nivel global raíz_vmm_celda/config wimconfig.xml
Nivel de dominio raíz_vmm_dominio/config
Archivos Argus Nivel global raíz_vmm_celda/config/authz  
Nivel de dominio raíz_vmm_dominio/config/authz
Registro de archivos que contiene los usuarios y grupos para el depósito de archivos predeterminado Nivel global raíz_perfil/config/cells/$CellName fileRegistry.xml
Nota: El archivo fileRegistry.xml se copia para un dominio nuevo sólo si el dominio de origen contiene este archivo.
  Nivel de dominio raíz_perfil/config/waspolicies/$PolicyName/securitydomains/$DomainName
Archivos del esquema de modelo de datos predeterminado de virtual member manager. Una copia global para todo el sistema raíz_servidor_apl/etc/wim/schema/model
Nota: Los mismos archivos también se copian en raíz_vmm_celda/model puesto que son necesarios para fines de migración.

wimdatagraph.xsd
wimdomain.xsd
wimschema.xsd
xml.xsd

Archivos de extensión del modelo de datos de virtual member manager Nivel global raíz_vmm_celda/model

wimxmlextension.xml
custom xsd

Nivel de dominio raíz_vmm_dominio/model

wimxmlextension.xml
custom xsd

Configuración de virtual member manager en un dominio de seguridad múltiple

Para configurar virtual member manager en un dominio de seguridad múltiple, siga los pasos que se describen a continuación.

  1. Cree un dominio de seguridad utilizando los pasos que se describen en el tema Creación de nuevos dominios de seguridad múltiple o Copia de dominios de seguridad múltiple.
  2. Utilice los mandatos configureAdminWIMUserRegistry, configureAppWIMUserRegistry o unconfigureUserRegistry para configurar virtual member manager como el registro de usuarios para el dominio. Durante la configuración, también puede especificar un nuevo nombre de esfera para el dominio. Este nombre de esfera se establece en el archivo wimconfig.xml específico del dominio y es único en una instancia de virtual member manager.
    Ejemplo:
    $AdminTask configureAppWIMUserRegistry {–securityDomainName dominio_prueba –realmName esfera_prueba}
  3. Si el depósito de archivos está configurado y el archivo fileRegistry.xml no existe, cree el archivo fileRegistry.xml con un usuario y especifique el nombre de dominio utilizando el parámetro securityDomainName. Si el archivo fileRegistry.xml existe, este paso añade el usuario al registro.
    $AdminTask addFileRegistryAccount {-userId nombre_usuario -password mi_contraseña –securityDomainName dominio_prueba}
  4. Guarde los cambios realizados en la configuración.
    $AdminConfig save


Condiciones de uso | Comentarios