Configurar dominios de seguridad

Utilice esta página para configurar los atributos de seguridad de un dominio y para asignar el dominio a los recursos de célula. Para cada atributo de seguridad puede utilizar los valores de seguridad globales o personalizar los valores para el dominio.

Para ver esta página de la consola administrativa, pulse Seguridad > Dominios de seguridad. En la página Colección de dominios de seguridad, seleccione el dominio existente que desee configurar, crear uno nuevo o copiar un dominio existente.

Consulte Multiple security domains para comprender mejor lo que son los múltiples dominios de seguridad y cómo se soportan en esta versión de WebSphere Application Server.

Pestaña Configuración

Nombre

Especifica un nombre exclusivo para el dominio. Este nombre no se puede modificar una vez se ha enviado el formulario.

Un nombre de dominio debe ser exclusivo dentro de una célula y no puede contener caracteres no válidos.

Descripción

Especifica una descripción para el dominio.

Ámbitos asignados

Seleccione esta opción para visualizar la topología de la célula. Puede asignar el dominio de seguridad a toda la célula o seleccionar los clústeres, nodos y buses de integración de servicios específicos que desea incluir en el dominio de seguridad.

Si selecciona Todos los recursos, se visualiza toda la topología de la célula.

Si selecciona Todos los recursos asignados, se visualiza la topología de célula cuyos servidores y clústeres estén asignados al dominio actual.

El nombre del dominio asignado explícitamente se muestra junto a los recursos. Los recuadros de selección indican los recursos actualmente asignados al dominio. También puede seleccionar otros recursos y pulsar Aplicar o Aceptar para asignarlos al dominio actual.

Un recurso que no esté marcado (inhabilitado) indica que no está asignado al dominio actual y que debe eliminarse de otro dominio para poderlo habilitar en el dominio actual.

Si un recurso no tiene un dominio explícitamente asignado, utiliza el dominio asignado a la célula. Si no existe ningún dominio asignado a la célula, el recurso utiliza valores globales.

Los miembros de clúster no se pueden asignar individualmente a los dominios; todo el clúster utiliza el mismo dominio.

Seguridad de aplicación:

Seleccione Habilitar seguridad de aplicación para habilitar o inhabilitar la seguridad de las aplicaciones de usuario. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Cuando se inhabilita esta selección, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Cuando habilita esta selección, se aplica la seguridad J2RR en todos los EJB y aplicaciones web del dominio de seguridad. Sólo se aplica la seguridad J2EE cuando se habilita la seguridad global en la configuración de seguridad global, es decir, no se puede habilitar la seguridad de aplicación sin antes habilitar la seguridad global a nivel global.

Habilitar seguridad de la aplicación

Habilita la seguridad para estas aplicaciones del entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.

En releases anteriores de WebSphere Application Server, cuando un usuario habilitaba la seguridad global, se habilitaban tanto la seguridad global como la administrativa. En WebSphere Application Server Versión 6.1, la noción anterior de seguridad global se dividía en seguridad administrativa y seguridad de aplicaciones, que se habilitaban separadamente.

Como resultado de esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada de manera predeterminada. La seguridad de aplicaciones está inhabilitada de manera predeterminada. Para habilitar la seguridad de aplicaciones, debe habilitar la seguridad administrativa. La seguridad de aplicaciones sólo tiene efecto cuando la seguridad administrativa está habilitada.

Cuando se inhabilita esta selección, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Cuando habilita esta selección, se aplica la seguridad J2RR en todos los EJB y aplicaciones web del dominio de seguridad. Sólo se aplica la seguridad J2EE cuando se habilita la seguridad global en la configuración de seguridad global, es decir, no se puede habilitar la seguridad de aplicación sin antes habilitar la seguridad global a nivel global.

Seguridad Java 2:

Seleccione Utilizar seguridad Java 2 para habilitar o inhabilitar la seguridad de Java 2 a nivel de dominio, o asignar o añadir propiedades relacionadas con la seguridad de Java 2. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Esta opción habilita o inhabilita la seguridad Java 2 a nivel de proceso (JVM) de modo que todas las aplicaciones (tanto administrativas como de usuario) pueden habilitar o inhabilitar la seguridad Java 2.

Utilizar valores de seguridad globales

Seleccione esta opción para especificar los valores de seguridad globales que se están utilizando.

Personalizar para este dominio

Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.

Utilizar la seguridad de Java 2 para restringir a las aplicaciones el acceso a los recursos locales

Seleccione esta opción para especificar si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. De manera predeterminada, el acceso a los recursos locales no está restringido. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad de las aplicaciones está habilitada.

Si está habilitada la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y una aplicación requiere más permisos de seguridad Java 2 de los que se conceden en la política predeterminada, es posible que la aplicación no se ejecute correctamente hasta que se concedan los permisos necesarios en el archivo app.policy o en el archivo was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl.

Avisar si se otorgan permisos personalizados a las aplicaciones

Especifica que durante el despliegue de aplicación y el inicio de aplicación, el tiempo de ejecución de seguridad emite un aviso si se otorga a las aplicaciones cualquier permiso personalizado. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos API de Java. Los permisos API de Java son permisos en los paquetes java.* y javax.*.

El servidor de aplicaciones da soporte a la gestión de archivos de políticas. Existen varios archivos de política en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un determinado tipo de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no desea que tenga una aplicación según la especificación J2EE 1.4.

Importante: No puede habilitar esta opción sin habilitar la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales.
Restringir el acceso a los datos de autenticación de recursos

Esta opción está inhabilitada si no se ha habilitado la seguridad de Java 2.

Considere habilitar esta opción cuando las dos condiciones siguientes se cumplan:
  • Se aplica la seguridad Java 2.
  • Al código de aplicación se le otorga accessRuntimeClasses WebSphereRuntimePermission en el archivo was.policy que se encuentra en el archivo EAR (Enterprise Archive) de la aplicación. Por ejemplo, se le otorga permiso al código de aplicación cuando la siguiente línea se encuentra en el archivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

La opción Restringir el acceso a los datos de autenticación de recursos añade la comprobación precisa de permisos de seguridad de Java 2 a la correlación de principales predeterminados de la implementación WSPrincipalMappingLoginModule. Debe otorgar el permiso explícito a las aplicaciones J2EE (Java 2 Platform, Enterprise Edition) que utilicen la implementación WSPrincipalMappingLoginModule directamente en el inicio de sesión JAAS (Java Authentication and Authorization Service) cuando las opciones Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y Restringir el acceso a los datos de autenticación de recursos estén habilitadas.

Valor predeterminado: Inhabilitado
Reino de usuario:

Esta sección le permite configurar el registro de usuario para el dominio de seguridad. Puede configurar por separado cualquier registro excepto el registro federado que se utiliza a nivel de dominio. El registro federado sólo se puede configurar a nivel global, pero se puede utilizar a nivel de dominio.

Cuando configura un registro a nivel de dominio puede optar por definir su propio nombre de reino para el registro. El nombre de reino distingue un registro de usuario de los otros. El nombre del reino se utiliza en diversos lugares – en el panel de inicio de sesión del cliente de Java para solicitar el usuario, en la memoria caché de autenticación y cuando se utiliza la autorización nativa.

A nivel de configuración global, el sistema crea el reino para el registro de usuarios. En los releases anteriores de WebSphere Application Server, en el sistema sólo se configuraba un registro de usuarios. Cuando tiene varios dominios de seguridad puede configurar varios registros en el sistema. Para que el reino sea exclusivo en estos dominios, configure su nombre de reino para un dominio de seguridad. También puede optar por dejar que el sistema cree un nombre de reino exclusivo si se tiene la certeza de que será exclusivo. En este último caso, el nombre de reino se basa en el registro que se utiliza.

Asociación de confianza:

Seleccione esta opción para especificar los valores de la asociación de confianza. La asociación de confianza se utiliza para conectar servidores proxy inversos con los servidores de aplicaciones.

La asociación de confianza permite la integración de la seguridad de IBM WebSphere Application Server y los servidores de seguridad de otros fabricantes. En concreto, un servidor proxy inverso puede actuar como servidor de autenticación frontal mientras el producto aplica su propia política de autorización a las credenciales resultantes que pasa el servidor proxy.

Los interceptores de asociación de confianza de Access Manager sólo se pueden configurar a nivel global. La configuración de dominio también puede utilizarlos, pero no puede tener una versión distinta del interceptor de la asociación de confianza. En el sistema sólo puede existir una instancia de los interceptores de asociación de confianza de Tivoli Access Manager.

Nota: El uso de TAI (interceptores de asociación de confianza) para la autenticación SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) es obsoleto. Los paneles de configuración web SPNEGO proporcionan una forma mucho más fácil de configurar SPNEGO.
Interceptores

Seleccione esta opción para acceder o especificar la información de confianza para servidores proxy inversos.

Habilitar asociación de confianza

Seleccione esta opción para habilitar la integración de la seguridad de IBM WebSphere Application Server y los servidores de seguridad de otros fabricantes. En concreto, un servidor proxy inverso puede actuar como servidor de autenticación frontal mientras el producto aplica su propia política de autorización a las credenciales resultantes que pasa el servidor proxy.

Autenticación web SPNEGO

Especifica los valores de SPNEGO (Simple and Protected GSS-API Negotiation) como mecanismo de autenticación web.

La autenticación web SPNEGO, que le permite configurar SPNEGO para la autenticación de recursos web, se puede configurar a nivel de dominio.

Nota: En WebSphere Application Server Versión 6.1 se introdujo un TAI que utiliza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para recursos protegidos. En WebSphere Application Server 7.0, esta función ahora es obsoleta. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de los filtros SPNEGO y para permitir el repliegue al método de inicio de sesión de la aplicación.
Seguridad RMI/IIOP:

Especifica los valores de RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Un Object Request Broker (ORB) gestiona la interacción entre clientes y servidores utilizando el protocolo IIOP (Internet InterORB Protocol). Éste permite a los clientes formular solicitudes y recibir respuestas de los servidores en un entorno distribuido por la red.

Cuando configura estos atributos a nivel de dominio, se copia la configuración de seguridad RMI/IIOP a nivel global para mayor comodidad. Puede modificar los atributos que deban ser diferentes a nivel de dominio. Los valores de capa de transporte para las comunicaciones de entrada CSIv2 deben ser los mismos tanto a nivel global como a nivel de dominio. Si son diferentes, se aplican los atributos a nivel de dominio en todas las aplicaciones del proceso.

Cuando un proceso se comunica con otro proceso con un reino distinto, la autenticación LTPA y las señales de propagación se propagan al servidor de sentido descendente a menos que dicho servidor figure en la lista de reinos de confianza de salida. Esto se puede hacer utilizando el enlace Reinos de autenticación de confianza - salida del panel Comunicaciones de salida CSIv2.

Comunicaciones de entrada CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que recibe y envía este servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

WebSphere Application Server le permite especificar la autenticación del protocolo IIOP (Internet Inter-ORB Protocol) para las solicitudes de entrada y salida de autenticación. Para las solicitudes de entrada, puede especificar el tipo de autenticación aceptada, como la autenticación básica.

Comunicaciones de salida CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que se envían y los valores de transporte para conexiones iniciadas por el servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

WebSphere Application Server le permite especificar la autenticación del protocolo IIOP (Internet Inter-ORB Protocol) para las solicitudes de entrada y salida de autenticación. Para las solicitudes de salida, puede especificar propiedades como, por ejemplo, el tipo de autenticación, la aserción de identidades o configuraciones de inicio de sesión que se utilizan para las solicitudes en servidores en sentido descendente.

Inicios de sesión de aplicación JAAS

Seleccione esta opción para definir configuraciones de inicio de sesión utilizadas por JAAS.

Los inicios de sesión de aplicaciones JAAS, inicios de sesión de sistema JAAS y los datos de autenticación J2C JAAS se pueden configurar a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. La ejecución de la seguridad primero comprueba los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS a nivel de dominio sólo cuando necesite especificar un inicio de sesión que lo utilizan exclusivamente las aplicaciones del dominio de seguridad.

Sólo para las propiedades JAAS y personalizadas, una vez se han personalizado atributos globales para un dominio, las aplicaciones de usuario siguen pudiendo utilizarlos.

No elimine las configuraciones de inicio de sesión ClientContainer, DefaultPrincipalMapping y WSLogin puesto que otras aplicaciones las pueden estar utilizando. Si se eliminan estas configuraciones, puede que otras aplicaciones fallen.

Utilizar inicios de sesión globales y específicos de dominio

Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.

Inicios de sesión de sistema JAAS:

Especifica los valores de configuración para los inicios de sesión de sistema JAAS. Puede utilizar los valores de seguridad globales o personalizar los valores de configuración de un dominio.

Inicios de sesión de sistema

Seleccione esta opción para definir las configuraciones de inicios de sesión JAAS que utilizan los recursos del sistema, incluyendo el mecanismo de autenticación, la correlación de principales y la correlación de credenciales.

Datos de autenticación J2C JAAS:

Especifica los valores para los datos de autenticación J2C JAAS. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Las entradas de datos de autenticación de conector J2EE (Java 2 Platform, Enterprise Edition) las utilizan los adaptadores de recursos y el origen de datos JDBC (Java DataBase Connectivity).

Utilizar entradas globales y específicas de dominio

Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.

Atributos del mecanismo de autenticación:

Especifica los distintos valores de memoria caché que deben aplicarse a dominio de nivel.

  • Valores de memoria caché de autenticación: utilice esta página para especificar los valores de la memoria caché de autenticación. La configuración especificada en este panel se aplica sólo a este dominio.
  • Tiempo de espera LTPA - Puede configurar un valor de tiempo de espera LTPA diferente a nivel de dominio. El valor de tiempo de espera predeterminado es de 120 minutos, que se establece a nivel global. Si se establece el tiempo de espera LTPA a nivel de dominio, cualquier señal que se cree en el dominio de seguridad cuando acceda a aplicaciones de usuario se creará con este tiempo de caducidad.
  • Utilizar nombres de usuarios calificados por reino - Cuando se habilita esta selección, los nombres de usuario devueltos por los métodos como getUserPrincipal( ) se califican con el reino de seguridad (registro de usuarios) que utilizan las aplicaciones del dominio de seguridad.
Proveedor de autorización:

Especifica los valores de proveedor de autorización. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Puede configurar un proveedor de JACC Java Authorization Contract for Containers) externo de terceros a nivel de dominio. El proveedor JACC de Tivoli Access Manager sólo se puede configurar a nivel global. Los dominios de seguridad pueden seguir utilizándolo si no alteran temporalmente el proveedor de autorización con otro proveedor JACC o con la autorización nativa incorporada.

Seleccione Autorización predeterminada o Autorización externa utilizando un proveedor JACC. El botón Configurar sólo está habilitado cuando se selecciona Autorización externa utilizando un proveedor JACC.

[z/OS] Para la autorización SAF (System Authorization Facility), si establece el prefijo de perfil SAF en el nivel de dominio, se aplicará a nivel del servidor, de manera que todas las aplicaciones (tanto las administrativas como las de usuario) la habilitarán o la inhabilitarán en dicho servidor

Opciones de seguridad de z/OS:

Especifica los valores para z/OS. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Habilitar el servidor de aplicaciones y la sincronización de la identidad de hebra de z/OS [z/OS]

Seleccione esta opción para indicar si una identidad de hebra del sistema operativo se habilita para la sincronización con la identidad de plataforma J2EE (Java 2 Enterprise Edition) que se utiliza durante la ejecución del servidor de aplicaciones si se ha codificado una aplicación para solicitar esta función.

La sincronización de la identidad del sistema operativo con la identidad J2EE hace que la identidad del sistema operativo se sincronice con el emisor autenticado o la identidad RunAs delegada en un servlet o archivo EJB (Enterprise JavaBeans). Esta sincronización o asociación significa que se utiliza la identidad de rol de seguridad o emisor en lugar de la identidad de región de servidor para las solicitudes de servicio del sistema z/OS como el acceso a archivos.

Si este valor se establece al dominio de niveles, se aplica al nivel del servidor de manera que todas las aplicaciones (tanto las administrativas como las de usuario) la habilitarán o la inhabilitarán en dicho servidor.

Propiedades personalizadas

Seleccione esta opción para especificar pares de datos de nombre-valor, en los que el nombre es una clave de propiedad y el valor es una serie.

Establezca propiedades personalizadas a nivel de dominio que son nuevas o diferentes de las definidas a nivel global. De manera predeterminada, todas las aplicaciones del sistema pueden acceder a todas las propiedades personalizadas en la configuración de seguridad global. El código de ejecución de seguridad primero comprueba la existencia de una propiedad personalizada a nivel de dominio. Si no la encuentra, intenta obtenerla de la propiedad personalizada de la configuración de seguridad global.

Enlaces de servicios web

Pulse Enlaces de conjuntos de políticas predeterminadas para establecer el proveedor predeterminado del dominio y los enlaces de cliente.




Los enlaces marcados (en línea) requieren acceso a Internet.

Conceptos relacionados
Referencia relacionada
Información relacionada


Nombre de fichero: usec_sec_domains_edit.html