Configuraciones iniciales sobre seguridad
Familiarícese con las tres opciones de seguridad iniciales y los efectos de configuración de cada una.
Durante la instalación, ahora tiene la opción de habilitar la seguridad administrativa durante la personalización inicial de la célula; este procedimiento se conoce como "seguridad directa". De esta forma, se protege a la célula de modificaciones no autorizadas, que se pueden producir si la seguridad no está habilitada.
En este artículo se describen las tres opciones de seguridad iniciales y los efectos de configuración de cada una.
Opción 1: Utilice un producto de seguridad de z/OS para gestionar las identidades de seguridad y la política de autorización
El producto de seguridad del sistema z/OS siempre se utiliza para controlar las identidades de las tareas iniciadas de WebSphere Application Server for z/OS y el certificado digital del daemon de servicio de ubicación (si se selecciona SSL de daemon). Sin embargo, cuando esta opción de seguridad está seleccionada, todos los administradores y grupos administrativos de WebSphere Application Server también se deben definir en SAF. Posteriormente, si se habilita la seguridad de aplicaciones, la base de datos de seguridad SAF mantiene también esas identidades de usuario.
Esta opción es adecuada cuando los servidores o las células vayan a residir completamente en los sistemas z/OS, con SAF como registro de usuarios. Los clientes que tienen previsto implementar un LDAP o un registro de usuarios personalizado, pero que correlacionarán las identidades de WebSphere Application Server con las identidades de SAF y utilizarán los perfiles EJBROLE para la autorización, también deberán seleccionar esta opción para que se realice la configuración inicial de EJBROLE de SAF.
Se crean los perfiles SAF CBIND y se otorgan al grupo de configuración.
Se crean los certificados digitales en el sistema de seguridad SAF para cada controlador de servidor (gestor de despliegue o controlador de servidor de aplicaciones).
Se crean los conjuntos de claves digitales en el sistema de seguridad de SAF para el administrador, controlador, el complemento de región de controlador y los ID de usuario de servidor y se adjuntan los certificados apropiados a estos conjuntos de claves.
Cuando se elige esta opción, se puede especificar un prefijo de perfil SAF; el prefijo de perfil SAF formará parte de los nombres de perfil APPL, CBIND y EJBROLE utilizados en la comprobación de autorizaciones.
Opción 2: Utilice WebSphere Application Server para gestionar identidades de usuario y la política de autorización
El producto de seguridad del sistema z/OS siempre se utiliza para controlar las identidades de las tareas iniciadas de WebSphere Application Server for z/OS y el certificado digital del daemon de servicio de ubicación (si se selecciona SSL de daemon). Sin embargo, cuando esta opción de seguridad está seleccionada, todos los usuarios y grupos de WebSphere Application Server para el acceso administrativo se definen en el registro de usuarios de WebSphere, en lugar de en SAF. Más adelante, si la seguridad de la aplicación está habilitada, el registro de usuarios de WebSphere Application Server también aloja estas identidades de usuario.
Esta opción es apropiada cuando los servidores o las células vayan a residir en una combinación de sistemas z/OS y no z/OS, así como para los clientes que tienen previsto implementar un registro de usuarios LDAP o personalizado para sustituir el registro inicial. (Los clientes que tengan previsto implementar un registro de usuarios personalizado o LDAP con correlación de identidades con SAF deben seleccionar la seguridad gestionada por z/OS durante la personalización; ver más arriba).
Cuando se elige esta opción durante la personalización, se crea un registro de usuarios basado en archivos en el sistema de archivos de configuración.
Se añade un ID de usuario administrador al registro de usuarios basado en archivos.
El ID de usuario administrador se añade a la lista de usuarios de consola autorizados.
En el sistema de archivos de configuración, WebSphere Application Server crea automáticamente los certificados digitales autofirmados para los servidores.
Opción 3: no habilite la seguridad
Si se elige esta opción, no se configura la seguridad administrativa. Cualquiera con acceso al puerto de la consola administrativa puede realizar cambios en la configuración de célula o servidor.