Configurar dominios de seguridad

Utilice esta página para configurar los atributos de seguridad de un dominio y para asignar el dominio a los recursos de célula. Para cada atributo de seguridad puede utilizar los valores de seguridad globales o personalizar los valores para el dominio.

Para ver esta página de la consola administrativa, pulse Seguridad > Dominios de seguridad. En la página Colección de dominios de seguridad, seleccione el dominio existente que desee configurar, crear uno nuevo o copiar un dominio existente.

Consulte Varios dominios de seguridad si desea obtener más información acerca de los dominios de seguridad múltiples y cómo esta versión de WebSphere Application Server los soporta.

Nombre

Especifica un nombre exclusivo para el dominio. Este nombre no se puede modificar una vez se ha enviado el formulario.

Un nombre de dominio debe ser exclusivo dentro de una célula y no puede contener caracteres no válidos.

Descripción

Especifica una descripción para el dominio.

Ámbitos asignados

Seleccione esta opción para visualizar la topología de la célula. Puede asignar el dominio de seguridad a toda la célula o seleccionar los clústeres, nodos y buses de integración de servicios específicos que desea incluir en el dominio de seguridad.

Si selecciona Todos los ámbitos, se visualiza toda la topología de la célula.

Si selecciona Ámbitos asignados, se visualiza la topología de célula cuyos servidores y clústeres estén asignados al dominio actual.

El nombre del dominio asignado explícitamente se muestra junto a los recursos. Los recuadros de selección indican los recursos actualmente asignados al dominio. También puede seleccionar otros recursos y pulsar Aplicar o Aceptar para asignarlos al dominio actual.

Un recurso que no esté marcado (inhabilitado) indica que no está asignado al dominio actual y que debe eliminarse de otro dominio para poderlo habilitar en el dominio actual.

Si un recurso no tiene un dominio explícitamente asignado, utiliza el dominio asignado a la célula. Si no existe ningún dominio asignado a la célula, el recurso utiliza valores globales.

Los miembros de clúster no se pueden asignar individualmente a los dominios; todo el clúster utiliza el mismo dominio.

Seguridad de aplicación:

Seleccione Habilitar seguridad de aplicación para habilitar o inhabilitar la seguridad de las aplicaciones de usuario. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Cuando se inhabilita esta selección, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Al habilitar esta selección, la seguridad J2EE se aplica a todos los EJB y aplicaciones web del dominio de seguridad. La seguridad J2EE sólo se aplica cuando la seguridad global está habilitada en la configuración de seguridad global, es decir, no se puede habilitar la seguridad de la aplicación sin habilitar primero la seguridad global a nivel global.

Habilitar seguridad de la aplicación

Habilita la seguridad para estas aplicaciones del entorno. Este tipo de seguridad proporciona el aislamiento de las aplicaciones y los requisitos necesarios para autenticar a los usuarios de aplicaciones.

En releases anteriores de WebSphere Application Server, cuando un usuario habilitaba la seguridad global, se habilitaban tanto la seguridad global como la administrativa. En WebSphere Application Server Versión 6.1, la noción anterior de seguridad global se dividía en seguridad administrativa y seguridad de aplicaciones, que se habilitaban separadamente.

Como resultado de esta división, los clientes de WebSphere Application Server deben saber si la seguridad de aplicaciones está inhabilitada en el servidor de destino. La seguridad administrativa está habilitada de manera predeterminada. La seguridad de aplicaciones está inhabilitada de manera predeterminada. Para habilitar la seguridad de aplicaciones, debe habilitar la seguridad administrativa. La seguridad de aplicaciones sólo tiene efecto cuando la seguridad administrativa está habilitada.

Cuando se inhabilita esta selección, todos los EJB y aplicaciones web del dominio de seguridad dejan de estar protegidos. Se otorga acceso a estos recursos sin autenticación de usuario. Al habilitar esta selección, la seguridad J2EE se aplica a todos los EJB y aplicaciones web del dominio de seguridad. La seguridad J2EE sólo se aplica cuando la seguridad global está habilitada en la configuración de seguridad global, es decir, no se puede habilitar la seguridad de la aplicación sin habilitar primero la seguridad global a nivel global.

Seguridad Java 2:

Seleccione Utilizar seguridad Java 2 para habilitar o inhabilitar la seguridad de Java 2 a nivel de dominio, o asignar o añadir propiedades relacionadas con la seguridad de Java 2. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Esta opción habilita o inhabilita la seguridad de Java 2 a nivel de proceso (JVM) de forma que todas las aplicaciones (administrativas y de usuario) puedan habilitar o inhabilitar la seguridad de Java 2.

Utilizar valores de seguridad globales

Seleccione esta opción para especificar los valores de seguridad globales que se están utilizando.

Personalizar para este dominio

Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.

Utilizar la seguridad de Java 2 para restringir a las aplicaciones el acceso a los recursos locales

Seleccione esta opción para especificar si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. De manera predeterminada, el acceso a los recursos locales no está restringido. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad de las aplicaciones está habilitada.

Si está habilitada la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y una aplicación requiere más permisos de seguridad Java 2 de los que se conceden en la política predeterminada, es posible que la aplicación no se ejecute correctamente hasta que se concedan los permisos necesarios en el archivo app.policy o en el archivo was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl.

Avisar si se otorgan permisos personalizados a las aplicaciones

Especifica que durante el despliegue de aplicación y el inicio de aplicación, el tiempo de ejecución de seguridad emite un aviso si se otorga a las aplicaciones cualquier permiso personalizado. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos API de Java. Los permisos API de Java son permisos en los paquetes java.* y javax.*.

El servidor de aplicaciones da soporte a la gestión de archivos de políticas. Existen varios archivos de política en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un determinado tipo de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no desea que tenga una aplicación según la especificación J2EE 1.4.

Importante: No puede habilitar esta opción sin habilitar la opción Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales.
Restringir el acceso a los datos de autenticación de recursos

Esta opción está inhabilitada si no se ha habilitado la seguridad de Java 2.

Considere habilitar esta opción cuando las dos condiciones siguientes se cumplan:
  • Se aplica la seguridad Java 2.
  • Al código de aplicación se le otorga accessRuntimeClasses WebSphereRuntimePermission en el archivo was.policy que se encuentra en el archivo EAR (Enterprise Archive) de la aplicación. Por ejemplo, se le otorga permiso al código de aplicación cuando la siguiente línea se encuentra en el archivo was.policy:
    permission com.ibm.websphere.security.WebSphereRuntimePermission "accessRuntimeClasses";

La opción Restringir el acceso a los datos de autenticación de recursos añade la comprobación precisa de permisos de seguridad de Java 2 a la correlación de principales predeterminados de la implementación WSPrincipalMappingLoginModule. Debe otorgar el permiso explícito a las aplicaciones J2EE (Java 2 Platform, Enterprise Edition) que utilicen la implementación WSPrincipalMappingLoginModule directamente en el inicio de sesión JAAS (Java Authentication and Authorization Service) cuando las opciones Utilizar la seguridad de Java 2 para restringir el acceso de las aplicaciones a los recursos locales y Restringir el acceso a los datos de autenticación de recursos estén habilitadas.

Valor predeterminado: Inhabilitado
Reino de usuario:

Esta sección permite configurar el registro de usuarios para el dominio de seguridad. Puede configurar por separado cualquier registro excepto el registro federado que se utiliza a nivel de dominio. El registro federado sólo se puede configurar a nivel global, pero se puede utilizar a nivel de dominio.

Cuando configura un registro a nivel de dominio puede optar por definir su propio nombre de reino para el registro. El nombre de reino diferencia a los registros de usuarios entre sí. El nombre de reino se utiliza en varios lugares: en el panel de inicio de sesión del cliente de Java para hacer solicitudes al usuario, en la memoria caché de autenticación, y al utilizar la autorización nativa.

A nivel de configuración global, el sistema crea el reino para el registro de usuarios. En releases anteriores de WebSphere Application Server, sólo se configura un registro de usuarios en el sistema. Si dispone de varios dominios de seguridad, puede configurar varios registros en el sistema. Para que los reinos sean exclusivos en estos dominios, configure su nombre de reino propio para un dominio de seguridad. También puede optar por que el sistema cree un nombre de reino exclusivo si está seguro que debe serlo. En este último caso, el nombre de reino se basa en el registro que se está utilizando.

Asociación de confianza:

Seleccione esta opción para especificar los valores de la asociación de confianza. La asociación de confianza se utiliza para conectar servidores proxy inversos con los servidores de aplicaciones.

La asociación de confianza permite integrar la seguridad de IBM WebSphere Application Server con los servidores de seguridad de terceros. En concreto, un servidor proxy inverso puede actuar como servidor de autenticación frontal mientras el producto aplica su propia política de autorización a las credenciales resultantes que pasa el servidor proxy.

Los interceptores de asociación de confianza de Tivoli Access Manager sólo pueden configurarse a nivel global. La configuración de dominio también puede utilizarlos, pero la versión de su interceptor de asociación de confianza no puede ser diferente. Sólo puede existir una instancia de interceptores de asociación de confianza de Tivoli Access Manager en el sistema.

Nota: El uso de TAI (interceptores de asociación de confianza) para la autenticación SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) es obsoleto. Los paneles de configuración web SPNEGO proporcionan una forma mucho más fácil de configurar SPNEGO.
Interceptores

Seleccione esta opción para acceder o especificar la información de confianza para servidores proxy inversos.

Habilitar asociación de confianza

Seleccione esta opción para habilitar la integración de la seguridad de IBM WebSphere Application Server y los servidores de seguridad de otros fabricantes. En concreto, un servidor proxy inverso puede actuar como servidor de autenticación frontal mientras el producto aplica su propia política de autorización a las credenciales resultantes que pasa el servidor proxy.

Autenticación web SPNEGO

Especifica los valores de SPNEGO (Simple and Protected GSS-API Negotiation) como mecanismo de autenticación web.

La autenticación web SPNEGO, que le permite configurar SPNEGO para la autenticación de recursos web, se puede configurar a nivel de dominio.

Nota: En WebSphere Application Server Versión 6.1 se introdujo un TAI que utiliza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura solicitudes HTTP para recursos protegidos. En WebSphere Application Server 7.0, esta función está en desuso. La autenticación Web SPNEGO proporciona la recarga dinámica de los filtros SPNEGO y permite el repliegue al método de inicio de sesión de la aplicación.
Seguridad RMI/IIOP:

Especifica los valores de RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol).

Un Object Request Broker (ORB) gestiona la interacción entre clientes y servidores utilizando el protocolo IIOP (Internet InterORB Protocol). Éste permite a los clientes formular solicitudes y recibir respuestas de los servidores en un entorno distribuido por la red.

Cuando configura estos atributos a nivel de dominio, se copia la configuración de seguridad RMI/IIOP a nivel global para mayor comodidad. Puede modificar los atributos que deban ser diferentes a nivel de dominio. Los valores de capa de transporte para las comunicaciones de entrada CSIv2 deben ser los mismos tanto a nivel global como a nivel de dominio. Si son diferentes, se aplican los atributos a nivel de dominio en todas las aplicaciones del proceso.

Cuando un proceso se comunica con otro proceso con un reino distinto, la autenticación LTPA y las señales de propagación se propagan al servidor de sentido descendente a menos que dicho servidor figure en la lista de reinos de confianza de salida. Esto se puede hacer utilizando el enlace Reinos de autenticación de confianza - salida del panel Comunicaciones de salida CSIv2.

Comunicaciones de entrada CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que se reciben y valores de transporte para conexiones aceptadas por este servidor mediante el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

WebSphere Application Server le permite especificar la autenticación del protocolo IIOP (Internet Inter-ORB Protocol) para las solicitudes de autenticación de entrada y salida. Para las solicitudes de entrada, puede especificar el tipo de autenticación aceptada, como la autenticación básica.

Comunicaciones de salida CSIv2

Seleccione esta opción para especificar valores de autenticación para las solicitudes que se envían y los valores de transporte para conexiones iniciadas por el servidor que utiliza el protocolo de autenticación CSI (Common Secure Interoperability) de OMG (Object Management Group).

WebSphere Application Server le permite especificar la autenticación del protocolo IIOP (Internet Inter-ORB Protocol) para las solicitudes de autenticación de entrada y salida. Para las solicitudes de salida, puede especificar propiedades como, por ejemplo, el tipo de autenticación, la aserción de identidades o configuraciones de inicio de sesión que se utilizan para las solicitudes en servidores en sentido descendente.

Inicios de sesión de aplicación JAAS

Seleccione esta opción para definir configuraciones de inicio de sesión utilizadas por JAAS.

Los inicios de sesión de la aplicación JAAS, inicios de sesión del sistema JAAS y alias de datos de autenticación JAAS J2C se pueden configurar a nivel de dominio. De manera predeterminada, todas las aplicaciones del sistema tienen acceso a los inicios de sesión JAAS configurados a nivel global. El tiempo de ejecución de seguridad busca primero los inicios de sesión JAAS a nivel de dominio. Si no los encuentra, los busca en la configuración de seguridad global. Configure cualquiera de estos inicios de sesión JAAS en un dominio sólo cuando deba especificar un inicio de sesión que sea utilizado exclusivamente por las aplicaciones del dominio de seguridad.

Sólo en el caso de las propiedades JAAS y personalizadas, una vez que se han personalizado los atributos globales para un dominio, pueden seguir siendo utilizados por las aplicaciones de usuario.

No elimine las configuraciones de inicio de sesión ClientContainer, DefaultPrincipalMapping y WSLogin puesto que otras aplicaciones las pueden estar utilizando. Si se eliminan estas configuraciones, puede que otras aplicaciones fallen.

Utilizar inicios de sesión globales y específicos de dominio

Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.

Inicios de sesión de sistema JAAS:

Especifica los valores de configuración para los inicios de sesión de sistema JAAS. Puede utilizar los valores de seguridad globales o personalizar los valores de configuración de un dominio.

Inicios de sesión de sistema

Seleccione esta opción para definir las configuraciones de inicios de sesión JAAS que utilizan los recursos del sistema, incluyendo el mecanismo de autenticación, la correlación de principales y la correlación de credenciales.

Datos de autenticación J2C JAAS:

Especifica los valores para los datos de autenticación J2C JAAS. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Las entradas de datos de autenticación de conector J2EE (Java 2 Platform, Enterprise Edition) las utilizan los adaptadores de recursos y el origen de datos JDBC (Java DataBase Connectivity).

Utilizar entradas globales y específicas de dominio

Seleccione esta opción para especificar los valores definidos en el dominio, como las opciones para habilitar la seguridad Java 2 y de aplicación y para utilizar los datos de autenticación calificados para reino.

Atributos del mecanismo de autenticación:

Especifica los distintos valores de memoria caché que deben aplicarse a dominio de nivel.

  • Valores de memoria caché de autenticación - utilice esta opción para especificar los valores de memoria caché de autenticación. La configuración especificada en este panel sólo se aplica a este dominio.
  • Tiempo de espera LTPA - Puede configurar un valor de tiempo de espera LTPA diferente a nivel de dominio. El valor de tiempo de espera por omisión es 120 minutos, que se establece a nivel global. Si el tiempo de espera LTPA está establecido a nivel de dominio, las señales creadas en el dominio de seguridad al acceder a las aplicaciones de usuario se crearán con esta hora de caducidad.
  • Utilizar nombres de usuarios calificados por reino - Cuando se habilita esta selección, los nombres de usuario devueltos por los métodos como getUserPrincipal( ) se califican con el reino de seguridad (registro de usuarios) que utilizan las aplicaciones del dominio de seguridad.
Proveedor de autorización:

Especifica los valores de proveedor de autorización. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Puede configurar un proveedor de JACC (Java Authorization Contract for Containers) externo de terceros a nivel de dominio. El proveedor JACC de Tivoli Access Manager sólo se puede configurar a nivel global. Los dominios de seguridad pueden seguir utilizándolo si no alteran temporalmente el proveedor de autorización con otro proveedor JACC o con la autorización nativa incorporada.

Seleccione Autorización predeterminada o Autorización externa utilizando un proveedor JACC. El botón Configurar sólo está habilitado cuando se selecciona Autorización externa utilizando un proveedor JACC.

[z/OS] Para la autorización SAF (System Authorization Facility), si establece el prefijo de perfil SAF en el nivel de dominio, se aplicará a nivel del servidor, de manera que todas las aplicaciones (tanto las administrativas como las de usuario) la habilitarán o la inhabilitarán en dicho servidor

Opciones de seguridad de z/OS:

Especifica los valores para z/OS. Puede utilizar los valores de seguridad globales o personalizar los valores de un dominio.

Propiedades personalizadas

Seleccione esta opción para especificar pares de datos de nombre-valor, en los que el nombre es una clave de propiedad y el valor es una serie.

Establezca propiedades personalizadas a nivel de dominio que son nuevas o diferentes de las definidas a nivel global. De manera predeterminada, todas las aplicaciones del sistema pueden acceder a todas las propiedades personalizadas en la configuración de seguridad global. El código de tiempo de ejecución de seguridad busca primero la propiedad personalizada a nivel de dominio. Si no la encuentra, intenta obtenerla de la propiedad personalizada de la configuración de seguridad global.

Enlaces de servicios web

Pulse Enlaces de conjuntos de políticas predeterminadas para establecer el proveedor predeterminado del dominio y los enlaces de cliente.




Los enlaces marcados (en línea) requieren acceso a Internet.

Conceptos relacionados
Referencia relacionada
Valores del registro LDAP autónomo
Valores de entrada de configuración de JAAS (Java Authentication and Authorization Service)
Valores de entrada de datos de autenticación del conector Java 2
Valores del proveedor JACC (Java Authorization Contract for Containers) externo
Información relacionada
Propiedades personalizadas de seguridad


Nombre de archivo: usec_sec_domains_edit.html