Archivo XML de descriptor de seguridad

Utilice un archivo XML de descriptor de seguridad para configurar una topología de despliegue de eXtreme Scale con la seguridad habilitada. Puede utilizar los elementos de este archivo para configurar distintos aspectos de seguridad.

Elemento securityConfig

El elemento securityConfig es el elemento de nivel superior del archivo XML de seguridad de ObjectGrid. Este elemento configura el espacio de nombres del archivo y la ubicación del esquema. El esquema se define en el archivo objectGridSecurity.xsd.

Elemento security

Utilice el elemento security para definir una seguridad de ObjectGrid.
Atributos
securityEnabled
Habilita la seguridad para la cuadrícula cuando se establece en true. El valor predeterminado es false. Si el valor está establecido en false, la seguridad de nivel de cuadrícula está inhabilitada. Para obtener más información, consulte Seguridad de la cuadrícula de datos. (Opcional)
singleSignOnEnabled
Permite que un cliente se conecte a cualquier servidor una vez que se ha autenticado en uno de los servidores cuando el valor se establece en true. De lo contrario, un cliente debe autenticarse con cada servidor antes de que se pueda conectar el cliente. El valor predeterminado es false. (Opcional)
loginSessionExpirationTime
Especifica la cantidad de tiempo en segundos antes de que caduque el inicio de sesión. Si la sección de inicio de sesión caduca, el cliente debe volver a autenticarse. (Opcional)
adminAuthorizationEnabled
Habilita la autorización administrativa. Si el valor está establecido en true, todas las tareas administrativas necesitan autorización. El mecanismo de autorización que se utiliza se especifica mediante el valor del atributo adminAuthorizationMechanism. El valor predeterminado es false. (Opcional)
adminAuthorizationMechanism
Indica qué mecanismo de autorización utilizar. WebSphere eXtreme Scale soporta dos mecanismos de autorización: la autorización JAAS (Java Authentication and Authorization Service) y la autorización personalizada. El mecanismo de autorización JAAS utiliza el enfoque basado en la política JAAS estándar. Para especificar JAAS como mecanismo de autorización, establezca el valor en AUTHORIZATION_MECHANISM_JAAS. El mecanismo de autorización personalizada utiliza una implementación de AdminAuthorization de plug-in de usuario. Para especificar un mecanismo de autorización personalizada, establezca el valor en AUTHORIZATION_MECHANISM_CUSTOM. Para obtener más información sobre cómo se utilizan estos dos mecanismos, consulte Autorización de cliente de aplicaciones. (Opcional)

El siguiente archivo security.xml es una configuración de ejemplo para habilitar la seguridad de la cuadrícula de datos.

security.xml

<?xml version="1.0" encoding="UTF-8"?>
<securityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://ibm.com/ws/objectgrid/config/security ../objectGridSecurity.xsd"
	xmlns="http://ibm.com/ws/objectgrid/config/security">

    <security securityEnabled="true" singleSignOnEnabled="true" 
        loginSessionExpirationTime="20"
        adminAuthorizationEnabled="true"
        adminAuthorizationMechanism="AUTHORIZATION_MECHANISM_JAAS" >
	
        <authenticator className ="com.ibm.websphere.objectgrid.security.plugins.
						builtins.WSTokenAuthenticator">
        </authenticator>
        
        <systemCredentialGenerator className ="com.ibm.websphere.objectgrid.
        security.plugins.builtins.WSTokenCredentialGenerator">
            <property name="properties" type="java.lang.String" value="runAs"
								description="Using runAs subject" />
        </systemCredentialGenerator>

    </security>
</securityConfig>

Elemento authenticator

Autentica clientes en servidores eXtreme Scale en la cuadrícula de datos. La clase especificada por el atributo className debe implementar la interfaz com.ibm.websphere.objectgrid.security.plugins.Authenticator. El autenticador puede utilizar las propiedades para llamar a métodos en la clase que se especifica mediante el atributo className. Consulte el elemento property para obtener más información sobre la utilización de propiedades.

En el archvio de ejemplo security.xml anterior, la clase com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenAuthenticator se especifica como autenticador. Esta clase implementa la interfaz com.ibm.websphere.objectgrid.security.plugins.Authenticator.

Atributos
className
Especifica una clase que implementa la interfaz com.ibm.websphere.objectgrid.security.plugins.Authenticator. Utilice esta clase para autenticar los clientes en los servidores de la cuadrícula de eXtreme Scale. (Necesario)

Elemento adminAuthorization

Utilice el elemento adminAuthorization para configurar acceso administrativo a la cuadrícula de datos.
Atributos
className
Especifica una clase que implementa la interfaz com.ibm.websphere.objectgrid.security.plugins.AdminAuthorization. (Necesario)

Elemento systemCredentialGenerator

Utilice un elemento systemCredentialGenerator para configurar un generador de credenciales del sistema. Este elemento sólo se aplica a un entorno dinámico. En el modelo de configuración dinámica, el servidor de contenedor dinámico se conecta al servidor de catálogo como un cliente de eXtreme Scale y el servidor de catálogo se puede conectar al servidor de contenedor de eXtreme Scale también como un cliente. Este generador de credenciales del sistema se utiliza para representar una fábrica de la credencial del sistema.
Atributos
className
Especifica una clase que implementa la interfaz com.ibm.websphere.objectgrid.security.plugins.CredentialGenerator. (Necesario)

Consulte el archivo security.xml anterior para ver un ejemplo de cómo utilizar una clase systemCredentialGenerator. En este ejemplo, el generador de credenciales del sistema es una clase com.ibm.websphere.objectgrid.security.plugins.builtins.WSTokenCredentialGenerator, que recupera el objeto de asunto RunAs de la hebra.

Elemento property

Llama a métodos set en el autenticador y clases adminAuthorization. El nombre de la propiedad se corresponde a un método set en el atributo className del autenticador o elemento adminAuthorization.
Atributos
name
Especifica el nombre de la propiedad. El valor que se asigna a este atributo debe corresponder a un método set de la clase que se proporciona como el atributo className de bean que lo contiene. Por ejemplo, si el atributo className del bean se establece en com.ibm.MyPlugin, y el nombre de la propiedad suministrada es size, la clase com.ibm.MyPlugin debe tener un método setSize. (Necesario)
type
Especifica el tipo de la propiedad. El tipo del parámetro se pasa al método set identificado por el atributo name. Los valores válidos son los primitivos Java, sus correspondientes java.lang y java.lang.String. Los atributos de nombre y tipo deben corresponder a una signatura de método del atributo className del bean. Por ejemplo, si el nombre es size y el tipo es int, entonces debe existir un método setSize(int) en la clase que se especifica como el atributo className para el bean. (Necesario)
value
Especifica el valor de la propiedad. Este valor se convierte en el tipo que se especifica mediante el atributo de tipo y se utiliza como un parámetro en la llamada al método set que se identifica mediante los atributos de nombre y tipo. El valor de este atributo no se valida de ningún modo. El implementador del plug-in debe verificar que el valor que se ha pasado es válido. (Necesario)
description
Proporciona una descripción de la propiedad. (Opcional)

Si desea más información, consulte Archivo objectGridSecurity.xsd.