Valores de seguridad global

Utilice este panel para configurar la administración y la política de seguridad de aplicación predeterminada. Esta configuración de seguridad se utiliza en la política de seguridad para todas las funciones administrativas y se utiliza como política de seguridad predeterminada para las aplicaciones de usuario. Se pueden definir dominios de seguridad para alterar temporalmente y personalizar las políticas de seguridad de las aplicaciones de usuario.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global.

[AIX Solaris HP-UX Linux Windows] [iSeries] La seguridad afecta de algún modo el rendimiento de las aplicaciones. El modo en que afecta el rendimiento varía según las características de la carga de trabajo de las aplicaciones. En primer lugar determine que se ha habilitado el nivel de seguridad necesario para las aplicaciones y, a continuación, mida el impacto de la seguridad en el rendimiento de las aplicaciones.

Una vez configurada la seguridad, se deben validar los cambios en los paneles de mecanismos de autenticación o de registro. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor o validar el ID de administración (si se ha utilizado internalserverID) en el registro de usuario configurado. Si se validan los valores del registro de usuario después de habilitar la seguridad administrativa se evitan problemas cuando se reinicia el servidor por primera vez.

Asistente de configuración de la seguridad

Inicia un asistente que le permite configurar los valores básicos de seguridad administrativa y de aplicaciones. Este proceso limita las tareas administrativas y las aplicaciones a los usuarios autorizados.

Al utilizar este asistente, puede configurar la seguridad de las aplicaciones, de los recursos o la seguridad J2C (Java 2 Connector) y un registro de usuarios. Puede configurar un registro existente y habilitar la seguridad administrativa, de aplicaciones y de recursos.

Cuando aplica los cambios realizados utilizando el asistente de configuración de seguridad, de manera predeterminada, se activa la seguridad administrativa.

Informe de configuración de seguridad

Inicia un informe de configuración de seguridad que muestra los valores de seguridad principales del servidor de aplicaciones. El informe también muestra los usuarios y grupos administrativos y los roles de denominación CORBA.

Una limitación actual del informe es que no muestra información de seguridad a nivel de aplicación. El informe tampoco muestra información sobre la seguridad JMS (Java Message Service), la seguridad del bus o la seguridad de servicios web.

Cuando se configuran varios dominios de seguridad, el informe visualiza la configuración de seguridad asociada a cada dominio.

Habilitar seguridad administrativa

Especifica si se habilita la seguridad administrativa para este dominio de servidor de aplicaciones. La seguridad administrativa requiere que los usuarios se autentiquen antes de obtener el control administrativo del servidor de aplicaciones.

Para más información, consulte los enlaces relacionados de roles administrativos y autenticación administrativa.

Cuando habilite la seguridad, establezca la configuración del mecanismo de autenticación y especifique un ID de usuario y contraseña válidos (o un ID de administración válido si se utiliza la característica internalServerID) en la configuración de registro seleccionada.

Nota: No es lo mismo el ID de usuario, que identifica a los administradores que se encargan de la gestión del entorno, al que generalmente se conoce como ID de administrador, y el ID de servidor, que se utiliza para la comunicación entre servidores. No necesita especificar un ID de servidor y contraseña cuando utiliza la característica de ID de servidor interno. Sin embargo, si lo desea, puede especificar un ID de servidor y una contraseña. Para especificar el ID de servidor y la contraseña, efectúe los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En el Repositorio de cuentas de usuario, seleccione el repositorio y pulse Configurar.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Especifique el ID de servidor y la contraseña en la sección de identidad de usuario del servidor.

[z/OS] Sólo puede especificar la opción de la tarea iniciada z/OS cuando el registro de usuarios es Sistema operativo local.

Si tiene problemas como, por ejemplo, que el servidor no se inicia después de habilitar la seguridad en el dominio de seguridad, vuelva a sincronizar todos los archivos de la célula con este nodo. Para volver a sincronizar los archivos, ejecute el mandato siguiente desde el nodo: syncNode -username su_ID_usuario -password su_contraseña. Este mandato se conecta con el gestor de despliegue y vuelve a sincronizar todos los archivos.

[iSeries] [z/OS] Si no se reinicia el servidor después de habilitar la seguridad administrativa, puede inhabilitar la seguridad. Vaya al directorio raíz_servidor_aplicaciones/bin y ejecute el mandato wsadmin -conntype NONE. En el indicador wsadmin>, especifique securityoff y, a continuación, escriba exit para volver a un indicador de mandatos. Reinicie el servidor con la seguridad inhabilitada para comprobar que no haya valores incorrectos en la consola administrativa.

[z/OS] Usuarios de registro de usuarios del sistema operativo local: al seleccionar Sistema operativo local como registro de usuario activo, no es necesario proporcionar una contraseña en la configuración del registro de usuario.

Valor predeterminado: Habilitado
Habilitar seguridad de la aplicación

Habilita la seguridad para estas aplicaciones del entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.

En releases anteriores de WebSphere Application Server, cuando un usuario habilitaba la seguridad global, se habilitaban tanto la seguridad global como la administrativa. En WebSphere Application Server Versión 6.1, la noción anterior de seguridad global se dividía en seguridad administrativa y seguridad de aplicación, cada una de ellas pudiéndose habilitar por separado.

Como resultado de esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada de manera predeterminada. La seguridad de aplicaciones está inhabilitada de manera predeterminada. Para habilitar la seguridad de aplicaciones, debe habilitar la seguridad administrativa. La seguridad de aplicaciones sólo tiene efecto cuando la seguridad administrativa está habilitada.

Valor predeterminado: Inhabilitado
Utilizar la seguridad de Java 2 para restringir a las aplicaciones el acceso a los recursos locales

Especifica si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. De manera predeterminada, el acceso a los recursos locales no está restringido. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad de las aplicaciones está habilitada.

Si está habilitada la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y una aplicación requiere más permisos de seguridad Java 2 de los que se conceden en la política predeterminada, es posible que la aplicación no se ejecute correctamente hasta que se concedan los permisos necesarios en el archivo app.policy o en el archivo was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl. Consulte los enlaces relacionados para obtener más información sobre la seguridad Java 2.

Valor predeterminado: Inhabilitado
Avisar si se otorgan permisos personalizados a las aplicaciones

Especifica que durante el despliegue de aplicación y el inicio de aplicación, el tiempo de ejecución de seguridad emite un aviso si se otorga a las aplicaciones cualquier permiso personalizado. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos API de Java. Los permisos API de Java son permisos en los paquetes java.* y javax.*.

El servidor de aplicaciones da soporte a la gestión de archivos de políticas. Existen varios archivos de política en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un determinado tipo de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no desea que tenga una aplicación según la especificación J2EE 1.4. Para obtener más información sobre permisos, consulte el enlace relacionado sobre los archivos de políticas de seguridad Java 2.

Importante: No puede habilitar esta opción sin habilitar la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales.
Valor predeterminado: Inhabilitado
Restringir el acceso a los datos de autenticación de recursos

Habilite esta opción para restringir a las aplicaciones el acceso a los datos importantes de autenticación de correlaciones JCA (Java Connector Architecture).

Considere habilitar esta opción cuando las dos condiciones siguientes se cumplan:
  • Se aplica la seguridad Java 2.
  • Al código de aplicación se le otorga accessRuntimeClasses WebSphereRuntimePermission en el archivo was.policy que se encuentra en el archivo EAR (Enterprise Archive) de la aplicación. Por ejemplo, se le otorga permiso al código de aplicación cuando la siguiente línea se encuentra en el archivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

La opción Restringir el acceso a los datos de autenticación de recursos añade la comprobación precisa de permisos de seguridad de Java 2 a la correlación de principales predeterminados de la implementación WSPrincipalMappingLoginModule. Debe otorgar el permiso explícito a las aplicaciones J2EE (Java 2 Platform, Enterprise Edition) que utilicen la implementación WSPrincipalMappingLoginModule directamente en el inicio de sesión JAAS (Java Authentication and Authorization Service) cuando las opciones Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y Restringir el acceso a los datos de autenticación de recursos estén habilitadas.

Valor predeterminado: Inhabilitado
Definición del reino Current

Especifica el valor actual para el repositorio de usuarios activos.

Este campo es de sólo lectura.

Definiciones de reino disponibles

Especifica los repositorios de cuentas de usuario disponibles.

Las selecciones aparecen en una lista desplegable que contiene:
  • Sistema operativo local
  • Registro LDAP autónomo
  • Registro personalizado autónomo
Establecer como actual [AIX Solaris HP-UX Linux Windows] [z/OS]

Habilita el repositorio de usuarios una vez configurado.

[AIX Solaris HP-UX Linux Windows] Se necesita un registro de usuarios personalizado o LDAP si se ejecuta como un usuario UNIX que no es root o si se ejecuta en un entorno de varios nodos.

Puede configurar valores para uno de los siguientes repositorios de usuario:
Repositorios federados
Especifique este valor para gestionar perfiles en varios repositorios de un solo reino. El reino puede constar de las identidades de:
  • El repositorio basado en archivos incorporado en el sistema
  • Uno o más repositorios externos
  • Tanto el repositorio incorporado y el repositorio basado en archivos y de uno o más repositorios externos
Nota: Sólo un usuario con privilegios de administrador puede ver la configuración de repositorios federados.
Sistema operativo local

[z/OS] Especifique este valor si desea que el servidor de seguridad compatible con RACF (Resource Access Control Facility) o con SAF (Security Authorization Facility) que se ha configurado, se utilice como registro de usuarios del servidor de aplicaciones.

[AIX Solaris HP-UX Linux Windows] [iSeries] No puede utilizar localOS en varios nodos o cuando ejecuta en una plataforma UNIX como no root.

[AIX Solaris HP-UX Linux Windows] El registro de usuarios del sistema operativo local sólo es válido cuando utiliza un controlador de dominio o la célula de Network Deployment reside en un única máquina. En este último caso, no puede distribuir varios nodos de una célula en distintas máquinas, ya que esta configuración no es válida, si se utiliza el registro de usuario del Sistema operativo local.

Registro LDAP autónomo

Utilice este valor para utilizar los valores del registro LDAP cuando los usuarios y los grupos residen en un directorio LDAP externo. Si la seguridad está habilitada y se modifica cualquiera de estas propiedades, vaya al panel Seguridad > Seguridad global y pulse Aplicar o Aceptar para validar los cambios.

Nota: Dado que se da soporte a varios servidores LDAP, este valor no implica un registro LDAP.
Registro personalizado autónomo
Especifique este valor para implementar su propio registro personalizado autónomo que implementa la interfaz com.ibm.websphere.security.UserRegistry. Cuando se habilite la seguridad y se modifique una de estas propiedades, vaya al panel Seguridad global y pulse Aplicar o Aceptar para validar los cambios.
Valor predeterminado: Inhabilitado
Configurar...

Seleccione esta opción para configurar los valores de seguridad globales.

Seguridad Web y SIP

En Autenticación, expanda Seguridad Web y SIP para ver los enlaces a:

  • Valores generales
  • Inicio de sesión único (SSO)
  • Autenticación web SPNEGO
  • Asociación de confianza
Valores generales

Seleccione esta opción para especificar los valores de la autenticación web.

Inicio de sesión único (SSO)

Seleccione esta opción para especificar los valores de configuración para el inicio de sesión único (SSO).

Con el soporte de SSO, los usuarios web pueden autenticarse una vez cuando acceden tanto a recursos de WebSphere Application Server, como archivos HTML, JavaServer Pages (JSP), servlets, enterprise beans, como recursos Lotus Domino.

Autenticación web SPNEGO

SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) proporciona un medio para que clientes web y el servidor negocien el protocolo de autenticación web que se utilizará para permitir las comunicaciones.

Asociación de confianza

Seleccione esta opción para especificar los valores de la asociación de confianza. La asociación de confianza se utiliza para conectar servidores proxy inversos con los servidores de aplicaciones.

Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Nota: El uso de TAIs (interceptores de asociación de confianza) para la autenticación SPNEGO es obsoleto. Los paneles de configuración web SPNEGO proporcionan ahora una forma mucho más fácil de configurar SPNEGO.
Seguridad RMI/IIOP

En Autenticación, expanda la seguridad RMI/IIOP para ver los enlaces a:

  • Comunicaciones de entrada CSIv2
  • Comunicaciones de salida CSIv2
Comunicaciones de entrada CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que recibe y envía este servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

Las características de autenticación incluyen tres capas de autenticación que puede utilizar de forma simultánea:
  • Capa de atributos CSIv2. La capa de atributos puede contener una señal de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de identidad tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si un cliente envía las tres, solamente se utilizará la capa de identidad. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la solicitud. El cliente toma la IOR (Interoperable Object Reference) del espacio de nombres y lee los valores del componente con distintivo para determinar qué necesita el servidor en cuanto a seguridad.
  • Capa de transporte CSIv2. La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Capa de mensajes CSIv2. La capa de mensajes puede contener un ID de usuario y una contraseña o señal autenticada con una caducidad.
Comunicaciones de salida CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que se envían y los valores de transporte para conexiones iniciadas por el servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

Las características de autenticación incluyen tres capas de autenticación que puede utilizar de forma simultánea:
  • Capa de atributos CSIv2. La capa de atributos puede contener una señal de identidad, que es una identidad de un servidor en sentido ascendente que ya está autenticado. La capa de identidad tiene la prioridad más alta seguida de la capa de mensajes y, a continuación, de la capa de transporte. Si un cliente envía las tres, solamente se utilizará la capa de identidad. El único modo de utilizar el certificado de cliente SSL como identidad es si se trata de la única información que se presenta durante la solicitud. El cliente toma la IOR (Interoperable Object Reference) del espacio de nombres y lee los valores del componente con distintivo para determinar qué necesita el servidor en cuanto a seguridad.
  • Capa de transporte CSIv2. La capa de transporte, que es la capa inferior, puede contener como identidad un certificado de cliente SSL (Secure Sockets Layer).
  • [iSeries] [AIX Solaris HP-UX Linux Windows] Capa de mensajes CSIv2. La capa de mensajes puede contener un ID de usuario y una contraseña o señal autenticada con una caducidad.
Java Authentication and Authorization Service

En Autenticación, expanda el servicio de autenticación y autorización de Java para ver los enlaces a:

  • Inicios de sesión de aplicación
  • Inicios de sesión de sistema
  • Datos de autenticación J2C
Inicios de sesión de aplicación

Seleccione esta opción para definir configuraciones de inicio de sesión utilizadas por JAAS.

No elimine las configuraciones de inicio de sesión ClientContainer, DefaultPrincipalMapping y WSLogin puesto que otras aplicaciones las pueden estar utilizando. Si se eliminan estas configuraciones, puede que otras aplicaciones fallen.

Inicios de sesión de sistema

Seleccione esta opción para definir las configuraciones de inicios de sesión JAAS que utilizan los recursos del sistema, incluyendo el mecanismo de autenticación, la correlación de principales y la correlación de credenciales.

Datos de autenticación J2C

Seleccione esta opción para especificar los valores para los datos de autenticación de Java Authentication and Authorization Service (JAAS) Java 2 Connector (J2C).

Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

LTPA

Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.

El cifrado de la información de autenticación que se intercambia entre los servidores incluye el mecanismo LTPA (autenticación ligera de tercer interlocutor).

Kerberos y LTPA

Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.

El cifrado de la información de autenticación que se intercambia entre los servidores incluye el mecanismo Kerberos.
Nota: Antes de seleccionar Kerberos debe estar configurado.
Configuración de Kerberos

Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.

El cifrado de la información de autenticación que se intercambia entre los servidores incluye el mecanismo KRB5 de LTPA.

Valores de memoria caché de autenticación

Seleccione esta opción para establecer los valores de la memoria caché de autenticación.

Utilizar nombres de usuario calificados por reino

Especifica que los nombres de usuario devueltos por métodos, como el método getUserPrincipal(), se califican con el reino de seguridad en el que residen.

Dominios de seguridad

Utilice el enlace de Dominio de seguridad para configurar configuración de seguridad adicionales para las aplicaciones de usuario.

Por ejemplo, si desea utilizar un registro de usuarios diferente para un conjunto de aplicaciones de usuario que el utilizado a nivel global, puede crear una configuración de seguridad con dicho registro de usuarios y asociarla a dicho conjunto de aplicaciones. Estas configuraciones de seguridad adicionales se pueden asociar a varios ámbitos (célula, clústeres/servidores, SIBuses). Una vez se han asociado las configuraciones de seguridad a un ámbito, todas las aplicaciones de usuario de dicho ámbito utilizan esta configuración de seguridad. Consulte Multiple security domains si desea más información.

Para cada atributo de seguridad puede utilizar los valores de seguridad globales o personalizar los valores para el dominio.

Proveedores de autorización externos

Seleccione esta opción para especificar si se utiliza la configuración de autorización predeterminada o un proveedor de autorización externo.

Los proveedores externos deben estar basados en la especificación Java Authorization Contract for Containers (JACC) para manejar la autorización Java(TM) 2 Platform, Enterprise Edition (J2EE). No modifique ningún valor en los paneles del proveedor de autorización a no ser que haya configurado un proveedor de seguridad externo como proveedor de autorización JACC.

Propiedades personalizadas

Seleccione esta opción para especificar pares de datos de nombre-valor, en los que el nombre es una clave de propiedad y el valor es una serie.




Los enlaces marcados (en línea) requieren acceso a Internet.

Conceptos relacionados
Tareas relacionadas
[AIX Solaris HP-UX Linux Windows] [iSeries]
Referencia relacionada
Mecanismos de autenticación y caducidad
Valores del sistema operativo local
Valores del registro LDAP autónomo
[z/OS] Summary of controls
Valores del registro de usuario autónomo
[iSeries] [z/OS] [AIX Solaris HP-UX Linux Windows]
[z/OS]
Información relacionada
[AIX Solaris HP-UX Linux Windows] [iSeries] Cryptographic Module Validation Program FIPS 140-1 y FIPS 140-2 Pre-validation List (en línea)


Nombre de fichero: usec_secureadminappinfra.html