Configuraciones iniciales sobre seguridad

Familiarícese con las tres opciones de seguridad iniciales y los efectos de configuración de cada una.

Durante la instalación, ahora tiene la opción de habilitar la seguridad administrativa durante la personalización inicial de la célula; este procedimiento se conoce como "seguridad directa". De esta forma, se protege a la célula de modificaciones no autorizadas, que se pueden producir si la seguridad no está habilitada.

Cuando se crea un nuevo servidor de aplicaciones autónomo o una nueva célula de Network Deployment, existen tres opciones de seguridad iniciales en WebSphere Application Server for z/OS:
  • Utilice un producto de seguridad z/OS para gestionar las identidades de usuario y la política de autorización
  • Utilice WebSphere Application Server para gestionar las identidades de usuario y la política de autorización
  • No habilite la seguridad

En este artículo se describen las tres opciones de seguridad iniciales y los efectos de configuración de cada una.

Recuerde que WebSphere Application Server for z/OS siempre requiere la presencia de un sistema de seguridad compatible con SAF para proporcionar la seguridad del sistema operativo. Independientemente de la opción de seguridad elegida:
  • Los ID de usuario SAF para las tareas iniciadas de WebSphere Application Server siempre se crean durante la personalización.
  • Los grupos SAF se crean para la configuración; los grupos de usuarios locales y sirvientes se crean durante la personalización, y se otorgan los permisos necesarios.
  • Los perfiles SAF SERVER se utilizan para controlar el acceso del sirviente a las regiones de controlador.
  • Si se selecciona el SSL del daemon durante la personalización, en SAF se crean un conjunto de claves y un certificado digital para el daemon.
Nota: Cada una de las configuraciones de seguridad iniciales es básica, por lo que se necesitan menos opciones durante la personalización; una vez finalizada la configuración, normalmente se necesita un trabajo adicional para que las políticas de seguridad de célula coincidan con las necesidades de la empresa. Consulte el apartado Seguridad del Centro de información para obtener más información.

Opción 1: Utilice un producto de seguridad de z/OS para gestionar las identidades de seguridad y la política de autorización

Si se elige esta opción durante la personalización:
  1. Cada identidad de grupo y usuario de WebSphere Application Server corresponde a un grupo o un ID de usuario en el sistema de seguridad compatible con SAF del sistema z/OS (RACF de IBM, o un producto equivalente).
  2. El acceso a los roles de WebSphere Application Server se controla mediante el uso del perfil EJBROLE de SAF.
  3. Los certificados digitales de la comunicación SSL se almacenan en el producto de seguridad de z/OS.

El producto de seguridad del sistema z/OS siempre se utiliza para controlar las identidades de las tareas iniciadas de WebSphere Application Server for z/OS y el certificado digital del daemon de servicio de ubicación (si se selecciona SSL de daemon). Sin embargo, cuando esta opción de seguridad está seleccionada, todos los administradores y grupos administrativos de WebSphere Application Server también se deben definir en SAF. Posteriormente, si se habilita la seguridad de aplicaciones, la base de datos de seguridad SAF mantiene también esas identidades de usuario.

Esta opción es adecuada cuando los servidores o las células vayan a residir completamente en los sistemas z/OS, con SAF como registro de usuarios. Los clientes que tienen previsto implementar un LDAP o un registro de usuarios personalizado, pero que correlacionarán las identidades de WebSphere Application Server con las identidades de SAF y utilizarán los perfiles EJBROLE para la autorización, también deberán seleccionar esta opción para que se realice la configuración inicial de EJBROLE de SAF.

Cuando se elige esta opción durante la personalización, se crean los siguientes ID de usuario SAF:
  • ID de usuario administrador
  • Un ID de usuario no autorizado, para representar las identidades de WebSphere Application Server que no se han autenticado
Se crean los perfiles SAF EJBROLE de los roles administrativos (administrador, configuración, desplegador, supervisor y operador) y se otorga el rol de administrador al ID de usuario administrador.

Se crean los perfiles SAF CBIND y se otorgan al grupo de configuración.

Se crean los certificados digitales en el sistema de seguridad SAF para cada controlador de servidor (gestor de despliegue o controlador de servidor de aplicaciones).

Se crean los conjuntos de claves digitales en el sistema de seguridad de SAF para el administrador, controlador, el complemento de región de controlador y los ID de usuario de servidor y se adjuntan los certificados apropiados a estos conjuntos de claves.

Cuando se elige esta opción, se puede especificar un prefijo de perfil SAF; el prefijo de perfil SAF formará parte de los nombres de perfil APPL, CBIND y EJBROLE utilizados en la comprobación de autorizaciones.

Opción 2: Utilice WebSphere Application Server para gestionar identidades de usuario y la política de autorización

Si se elige esta opción durante la personalización:
  1. Cada identidad de grupo y usuario de WebSphere Application Server corresponde a una entrada en un registro de usuarios de WebSphere Application Server. El registro de usuarios inicial es simplemente un registro de usuarios basado en archivos, creado durante la personalización, que reside en el sistema de archivos de configuración.
  2. El acceso a los roles de WebSphere Application Server se controla mediante el uso de los enlaces de roles de WebSphere Application Server. En concreto, los roles administrativos se controlan utilizando los valores de usuarios y grupos de consola en la consola administrativa.
  3. Los certificados digitales de la comunicación SSL se almacenan en el sistema de archivos de configuración.

El producto de seguridad del sistema z/OS siempre se utiliza para controlar las identidades de las tareas iniciadas de WebSphere Application Server for z/OS y el certificado digital del daemon de servicio de ubicación (si se selecciona SSL de daemon). Sin embargo, cuando esta opción de seguridad está seleccionada, todos los usuarios y grupos de WebSphere Application Server para el acceso administrativo se definen en el registro de usuarios de WebSphere, en lugar de en SAF. Más adelante, si la seguridad de la aplicación está habilitada, el registro de usuarios de WebSphere Application Server también aloja estas identidades de usuario.

Esta opción es apropiada cuando los servidores o las células vayan a residir en una combinación de sistemas z/OS y no z/OS, así como para los clientes que tienen previsto implementar un registro de usuarios LDAP o personalizado para sustituir el registro inicial. (Los clientes que tengan previsto implementar un registro de usuarios personalizado o LDAP con correlación de identidades con SAF deben seleccionar la seguridad gestionada por z/OS durante la personalización; ver más arriba).

Cuando se elige esta opción durante la personalización, se crea un registro de usuarios basado en archivos en el sistema de archivos de configuración.

Se añade un ID de usuario administrador al registro de usuarios basado en archivos.

El ID de usuario administrador se añade a la lista de usuarios de consola autorizados.

En el sistema de archivos de configuración, WebSphere Application Server crea automáticamente los certificados digitales autofirmados para los servidores.

Opción 3: no habilite la seguridad

Si se elige esta opción, no se configura la seguridad administrativa. Cualquiera con acceso al puerto de la consola administrativa puede realizar cambios en la configuración de célula o servidor.

Se recomienda una configuración de seguridad posterior a la personalización

Las opciones de configuración de seguridad inicial en WebSphere Application Server son muy básicas y sólo están diseñadas para proporcionar la seguridad administrativa inicial. Un vez se active y se ejecute el servidor o la célula, si lo desea, puede:
  • Conmutar a otro registro de usuario. Puede utilizar un registro de usuarios personalizado o LDAP en lugar de la base de datos de seguridad SAF o el registro basado en archivos.
  • Definir administradores adicionales o distribuir roles administrativos
  • Implementar la seguridad de la aplicación

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-zos&topic=rins_initsec
File name: rins_initsec.html