Utilice este panel para configurar la administración y la política de seguridad de aplicación predeterminada. Esta configuración de seguridad se utiliza en la política de seguridad para todas las funciones administrativas y se utiliza como política de seguridad predeterminada para las aplicaciones de usuario. Se pueden definir dominios de seguridad para alterar temporalmente y personalizar las políticas de seguridad de las aplicaciones de usuario.
Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global.
La seguridad afecta de algún modo el rendimiento de las aplicaciones.
El modo en que afecta el rendimiento varía según las características de la carga de trabajo de las aplicaciones.
En primer lugar determine que se ha habilitado el nivel de seguridad necesario para las aplicaciones y, a continuación, mida el impacto de la seguridad en el rendimiento de las aplicaciones.
Una vez configurada la seguridad, se deben validar los cambios en los paneles de mecanismos de autenticación o de registro. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor o validar el ID de administración (si se ha utilizado internalserverID) en el registro de usuario configurado. Si se validan los valores del registro de usuario después de habilitar la seguridad administrativa se evitan problemas cuando se reinicia el servidor por primera vez.
Inicia un asistente que le permite configurar los valores básicos de seguridad administrativa y de aplicaciones. Este proceso limita las tareas administrativas y las aplicaciones a los usuarios autorizados.
Al utilizar este asistente, puede configurar la seguridad de las aplicaciones, de los recursos o la seguridad J2C (Java 2 Connector) y un registro de usuarios. Puede configurar un registro existente y habilitar la seguridad administrativa, de aplicaciones y de recursos.
Cuando aplica los cambios realizados utilizando el asistente de configuración de seguridad, de manera predeterminada, se activa la seguridad administrativa.
Inicia un informe de configuración de seguridad que muestra los valores de seguridad principales del servidor de aplicaciones. El informe también muestra los usuarios y grupos administrativos y los roles de denominación CORBA.
Una limitación actual del informe es que no muestra información de seguridad a nivel de aplicación. El informe tampoco muestra información sobre la seguridad JMS (Java Message Service), la seguridad del bus o la seguridad de servicios web.
Cuando se configuran varios dominios de seguridad, el informe visualiza la configuración de seguridad asociada a cada dominio.
Especifica si se habilita la seguridad administrativa para este dominio de servidor de aplicaciones. La seguridad administrativa requiere que los usuarios se autentiquen antes de obtener el control administrativo del servidor de aplicaciones.
Para más información, consulte los enlaces relacionados de roles administrativos y autenticación administrativa.
Cuando habilite la seguridad, establezca la configuración del mecanismo de autenticación y especifique un ID de usuario y contraseña válidos (o un ID de administración válido si se utiliza la característica internalServerID) en la configuración de registro seleccionada.
Sólo puede especificar la opción de la tarea iniciada z/OS cuando el registro de usuarios es Sistema operativo local.
Si tiene problemas como, por ejemplo, que el servidor no se inicia después de habilitar la seguridad en el dominio de seguridad, vuelva a sincronizar todos los archivos de la célula con este nodo. Para volver a sincronizar los archivos, ejecute el mandato siguiente desde el nodo: syncNode -username su_ID_usuario -password su_contraseña. Este mandato se conecta con el gestor de despliegue y vuelve a sincronizar todos los archivos.
Si no se reinicia el servidor después de habilitar la seguridad administrativa, puede inhabilitar la seguridad. Vaya al directorio
raíz_servidor_aplicaciones/bin
y ejecute el mandato wsadmin -conntype NONE. En el indicador wsadmin>, especifique securityoff y, a continuación, escriba exit para volver a un indicador de mandatos. Reinicie el servidor con la seguridad
inhabilitada para comprobar que no haya valores incorrectos en la consola
administrativa.
Usuarios de registro de usuarios del sistema operativo local: al seleccionar Sistema operativo local como registro de usuario activo, no es necesario proporcionar una contraseña en la configuración del registro de usuario.
Valor predeterminado: | Habilitado |
Habilita la seguridad para estas aplicaciones del entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.
En releases anteriores de WebSphere Application Server, cuando un usuario habilitaba la seguridad global, se habilitaban tanto la seguridad global como la administrativa. En WebSphere Application Server Versión 6.1, la noción anterior de seguridad global se dividía en seguridad administrativa y seguridad de aplicación, cada una de ellas pudiéndose habilitar por separado.
Como resultado de esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada de manera predeterminada. La seguridad de aplicaciones está inhabilitada de manera predeterminada. Para habilitar la seguridad de aplicaciones, debe habilitar la seguridad administrativa. La seguridad de aplicaciones sólo tiene efecto cuando la seguridad administrativa está habilitada.
Valor predeterminado: | Inhabilitado |
Especifica si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. De manera predeterminada, el acceso a los recursos locales no está restringido. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad de las aplicaciones está habilitada.
Si está habilitada la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y una aplicación requiere más permisos de seguridad Java 2 de los que se conceden en la política predeterminada, es posible que la aplicación no se ejecute correctamente hasta que se concedan los permisos necesarios en el archivo app.policy o en el archivo was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl. Consulte los enlaces relacionados para obtener más información sobre la seguridad Java 2.
Valor predeterminado: | Inhabilitado |
Especifica que durante el despliegue de aplicación y el inicio de aplicación, el tiempo de ejecución de seguridad emite un aviso si se otorga a las aplicaciones cualquier permiso personalizado. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos API de Java. Los permisos API de Java son permisos en los paquetes java.* y javax.*.
El servidor de aplicaciones da soporte a la gestión de archivos de políticas. Existen varios archivos de política en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un determinado tipo de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no desea que tenga una aplicación según la especificación J2EE 1.4. Para obtener más información sobre permisos, consulte el enlace relacionado sobre los archivos de políticas de seguridad Java 2.
Valor predeterminado: | Inhabilitado |
Habilite esta opción para restringir a las aplicaciones el acceso a los datos importantes de autenticación de correlaciones JCA (Java Connector Architecture).
permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";
La opción Restringir el acceso a los datos de autenticación de recursos añade la comprobación precisa de permisos de seguridad de Java 2 a la correlación de principales predeterminados de la implementación WSPrincipalMappingLoginModule. Debe otorgar el permiso explícito a las aplicaciones J2EE (Java 2 Platform, Enterprise Edition) que utilicen la implementación WSPrincipalMappingLoginModule directamente en el inicio de sesión JAAS (Java Authentication and Authorization Service) cuando las opciones Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y Restringir el acceso a los datos de autenticación de recursos estén habilitadas.
Valor predeterminado: | Inhabilitado |
Especifica el valor actual para el repositorio de usuarios activos.
Este campo es de sólo lectura.
Especifica los repositorios de cuentas de usuario disponibles.
Habilita el repositorio de usuarios una vez configurado.
Se necesita un registro de usuarios personalizado o LDAP si se ejecuta
como un usuario UNIX que no es root o si se ejecuta en un entorno de
varios nodos.
Especifique este valor si desea que el servidor de seguridad compatible
con RACF (Resource Access Control Facility) o con SAF (Security
Authorization Facility) que se ha configurado, se utilice como registro de
usuarios del servidor de aplicaciones.
No puede utilizar localOS en varios nodos o cuando ejecuta en una plataforma UNIX como no root.
El registro de usuarios del sistema operativo local sólo es válido cuando
utiliza un controlador de dominio o la célula de Network Deployment
reside en un única máquina. En este último caso, no puede distribuir
varios nodos de una célula en distintas máquinas, ya que esta
configuración no es válida, si se utiliza el registro de usuario del
Sistema operativo local.
Utilice este valor para utilizar los valores del registro LDAP cuando los usuarios y los grupos residen en un directorio LDAP externo. Si la seguridad está habilitada y se modifica cualquiera de estas propiedades, vaya al panel Seguridad > Seguridad global y pulse Aplicar o Aceptar para validar los cambios.
Valor predeterminado: | Inhabilitado |
Seleccione esta opción para configurar los valores de seguridad globales.
En Autenticación, expanda Seguridad Web y SIP para ver los enlaces a:
Seleccione esta opción para especificar los valores de la autenticación web.
Seleccione esta opción para especificar los valores de configuración para el inicio de sesión único (SSO).
Con el soporte de SSO, los usuarios web pueden autenticarse una vez cuando acceden tanto a recursos de WebSphere Application Server, como archivos HTML, JavaServer Pages (JSP), servlets, enterprise beans, como recursos Lotus Domino.
SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) proporciona un medio para que clientes web y el servidor negocien el protocolo de autenticación web que se utilizará para permitir las comunicaciones.
Seleccione esta opción para especificar los valores de la asociación de confianza. La asociación de confianza se utiliza para conectar servidores proxy inversos con los servidores de aplicaciones.
Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.
En Autenticación, expanda la seguridad RMI/IIOP para ver los enlaces a:
Seleccione esta opción para especificar valores de autenticación para las solicitudes que recibe y envía este servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).
Seleccione esta opción para especificar valores de autenticación para las solicitudes que se envían y los valores de transporte para conexiones iniciadas por el servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).
En Autenticación, expanda el servicio de autenticación y autorización de Java para ver los enlaces a:
Seleccione esta opción para definir configuraciones de inicio de sesión utilizadas por JAAS.
No elimine las configuraciones de inicio de sesión ClientContainer, DefaultPrincipalMapping y WSLogin puesto que otras aplicaciones las pueden estar utilizando. Si se eliminan estas configuraciones, puede que otras aplicaciones fallen.
Seleccione esta opción para definir las configuraciones de inicios de sesión JAAS que utilizan los recursos del sistema, incluyendo el mecanismo de autenticación, la correlación de principales y la correlación de credenciales.
Seleccione esta opción para especificar los valores para los datos de autenticación de Java Authentication and Authorization Service (JAAS) Java 2 Connector (J2C).
Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.
Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.
El cifrado de la información de autenticación que se intercambia entre los servidores incluye el mecanismo LTPA (autenticación ligera de tercer interlocutor).
Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.
Seleccione esta opción para cifrar la información de autenticación de forma que el servidor de aplicaciones pueda enviar los datos desde un servidor a otro de una manera segura.
El cifrado de la información de autenticación que se intercambia entre los servidores incluye el mecanismo KRB5 de LTPA.
Seleccione esta opción para establecer los valores de la memoria caché de autenticación.
Especifica que los nombres de usuario devueltos por métodos, como el método getUserPrincipal(), se califican con el reino de seguridad en el que residen.
Utilice el enlace de Dominio de seguridad para configurar configuración de seguridad adicionales para las aplicaciones de usuario.
Por ejemplo, si desea utilizar un registro de usuarios diferente para un conjunto de aplicaciones de usuario que el utilizado a nivel global, puede crear una configuración de seguridad con dicho registro de usuarios y asociarla a dicho conjunto de aplicaciones. Estas configuraciones de seguridad adicionales se pueden asociar a varios ámbitos (célula, clústeres/servidores, SIBuses). Una vez se han asociado las configuraciones de seguridad a un ámbito, todas las aplicaciones de usuario de dicho ámbito utilizan esta configuración de seguridad. Consulte Multiple security domains si desea más información.
Para cada atributo de seguridad puede utilizar los valores de seguridad globales o personalizar los valores para el dominio.
Seleccione esta opción para especificar si se utiliza la configuración de autorización predeterminada o un proveedor de autorización externo.
Los proveedores externos deben estar basados en la especificación Java Authorization Contract for Containers (JACC) para manejar la autorización Java(TM) 2 Platform, Enterprise Edition (J2EE). No modifique ningún valor en los paneles del proveedor de autorización a no ser que haya configurado un proveedor de seguridad externo como proveedor de autorización JACC.
Seleccione esta opción para especificar pares de datos de nombre-valor, en los que el nombre es una clave de propiedad y el valor es una serie.
Los enlaces marcados (en línea) requieren acceso a Internet.