[Fix Pack 5.0.2 y posterior]Valores de seguridad global

Utilice esta página para configurar la seguridad. Cuando habilita la seguridad, habilita los valores de seguridad a un nivel global. Cuando se inhabilita la seguridad, el rendimiento de WebSphere Application Server mejora entre un 10 y un 20 por cien. Por lo tanto, considere la inhabilitación de la seguridad cuando no sea necesaria.

Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global.

Si configura la seguridad por primera vez, siga los pasos que se describen en la sección "Configuración de la seguridad global" de la documentación para evitar problemas. Una vez configurada la seguridad, se deben validar los cambios en los paneles de los mecanismos de autenticación o de registro. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor en el registro de usuario configurado. Si se validan los valores del registro de usuario después de habilitar la seguridad global se evitan problemas cuando se reinicia el servidor por primera vez.

Pestaña Configuración

Habilitado
Especifica que el servidor debe habilitar los subsistemas de seguridad.

Este distintivo se conoce habitualmente como distintivo de seguridad global en la información de WebSphere Application Server. Al configurar la seguridad, establezca la configuración de un mecanismo de autenticación y especifique un ID de usuario y contraseña válidos en la configuración de registro de usuario seleccionado.

Tipo de datos: Boolean
Valor por omisión: Inhabilitar
Forzar la seguridad de Java 2
Especifica si se debe habilitar o inhabilitar la comprobación del permiso de seguridad de Java 2. Por omisión, se inhabilita la seguridad de Java 2. No obstante, al habilitar la seguridad global, habilita automáticamente la seguridad de Java 2. Puede optar por inhabilitar la seguridad de Java 2, incluso si la seguridad global está habilitada.

Cuando la seguridad de Java 2 está habilitada y si una aplicación necesita más permisos de seguridad de Java 2 que los que se otorgan mediante la política por omisión, es posible que la aplicación no se ejecute correctamente hasta que se otorguen los permisos necesarios en el archivo app.policy o was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl. Consulte InfoCenter y revise las secciones sobre política dinámica y seguridad de Java 2 si no está familiarizado con la seguridad de Java 2.

Si no se reinicia el servidor después de habilitar la seguridad global, puede inhabilitar la seguridad. Vaya al directorio $<raíz_instalación>\bin y ejecute el mandato wsadmin -conntype NONE. En el indicador de wsadmin>, entre securityoff y escriba exit para volver a un indicador de mandatos. Reinicie el servidor con la seguridad inhabilitada para comprobar que no haya valores incorrectos en la consola administrativa.

Tipo de datos: Boolean
Valor por omisión: Inhabilitado
Rango: Habilitado o Inhabilitado
Utilizar nombres de usuario cualificados para dominio
Especifica los nombres de usuario que deben cualificarse en el dominio de seguridad en el que residen.
Tipo de datos: Boolean
Valor por omisión: Inhabilitado
Rango: Habilitar o Inhabilitar

[sólo 5.0][Fix Pack 5.0.1]Cuando se especifica el Utilizar nombres de usuario cualificados para dominio desde el panel de configuración de Seguridad > Seguridad global, la llamada de tiempo de ejecución a getCallerPrincipal() realizada desde un enterprise bean devuelve el nombre cualificado con el dominio añadido al principio dos veces. Por ejemplo, el formato devuelto es realm/realm/user. Cuando realice llamadas a la API, puede desechar el primer dominio que figura en el valor devuelto. La API del servlet getUserPrincipal() funciona correctamente.

Tiempo de espera de antememoria
Especifica el valor del tiempo de espera en segundos para la antememoria de seguridad. Este valor es un tiempo de espera relativo.

Si está habilitada la seguridad de WebSphere Application Server, el tiempo de espera de antememoria de seguridad puede influir en el rendimiento. El parámetro tiempo de espera especifica la frecuencia con que deben renovarse las antememorias relacionadas con la seguridad. En la antememoria se coloca la información de seguridad correspondiente a los beans, los permisos y las credenciales. Cuando ha transcurrido el tiempo de espera de antememoria, toda la información que se ha colocado en la antememoria deja de ser válida. Las posteriores peticiones de información dan como resultado una búsqueda en la base de datos. En ocasiones, la obtención de información hace necesaria la invocación de una autenticación nativa o de vínculo con el protocolo de acceso de directorios ligero (Lightweight Directory Access Protocol - LDAP). Ambas invocaciones son operaciones de rendimiento considerable. Determine el mejor punto de equilibrio para la aplicación, teniendo en cuenta los patrones de uso y las necesidades de seguridad del sitio.

En una prueba de rendimiento de 20 minutos, al establecer el tiempo de espera de antememoria de modo que no se produjera un tiempo de espera transcurrido se mejoró el rendimiento en un 40%.

Tipo de datos: Integer
Unidades: Segundos
Valor por omisión: 600
Rango: Mayor que 30 segundos
Emitir aviso de permiso
Especifica que, cuando está habilitada la opción Emitir aviso de permiso, el tiempo de ejecución de seguridad emite un aviso si se otorga algún permiso personalizado a las aplicaciones durante el despliegue o inicio de aplicaciones. Los permisos personalizados son permisos definidos por las aplicaciones de usuario, no son permisos JDK. Los permisos JDK son permisos en package java.* y javax.*.

El producto WebSphere da soporte a la gestión de los archivos de políticas. Existen varios archivos de políticas en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un tipo concreto de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no debe tener una aplicación de acuerdo con la especificación J2EE 1.3. Para obtener más información sobre permisos, consulte el artículo Gestión de políticas de seguridad de Java 2 en InfoCenter.

Tipo de datos: Boolean
Valor por omisión: Inhabilitado
Rango: Habilitar o Inhabilitar
Protocolo activo
Especifica el protocolo de autenticación activo para las peticiones RMI IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol) cuando la seguridad está habilitada. El aviso de permiso correspondiente aparece si una aplicación requiere un permiso de Java 2 que normalmente no debe concederse. En releases anteriores el protocolo SAS (Security Authentication Service), era el único que estaba disponible.

Un protocolo OMG (Object Management Group) llamado CSIv2 (Common Secure Interoperability Version 2) da soporte a una mayor interoperatividad de proveedores y características adicionales. Si todos los servidores de su dominio de seguridad son de la versión 5, especifique CSI como protocolo. Si hay servidores 3.x o 4.x, especifique CSI y SAS.

Tipo de datos: String
Valor por omisión: AMBOS
Rango: CSI y SAS, CSI
Mecanismo de autenticación activo
Especifica el mecanismo de autenticación activo cuando la seguridad está habilitada.

WebSphere Application Server, Versión 5, proporciona los siguientes mecanismos de autenticación: SWAM (Simple WebSphere Authentication Mechanism) y LTPA (Lightweight Third Party Authentication).

Tipo de datos: String
Valor por omisión: SWAM (WebSphere Application Server)
Rango: SWAM, LTPA
Registro de usuario activo
Especifica el registro de usuario activo cuando la seguridad está habilitada.

Puede configurar valores para uno de los siguientes registros de usuario:

  • Sistema operativo local
  • registro de usuarios LDAP. Los valores del registro de usuarios LDAP se utilizan cuando los usuarios y grupos residen en un directorio LDAP externo. Cuando se habilite la seguridad y se modifique una de estas propiedades, vaya al panel Seguridad Global y pulse Aplicar o Aceptar para validar los cambios.
  • Registro de usuario personalizado

Tipo de datos: String
Valor por omisión: Sistema operativo local
Rango: Sistema operativo local, LDAP, Personalizado
Utilizar FIPS   [Fix Pack 5.0.2 y posterior]
Habilita el uso de algoritmos criptográficos aprobados por FIPS (Federal Information Processing Standard).

Cuando Utilizar FIPS está habilitado, la implementación LTPA (Lightweight Third Party Authentication) utiliza IBMJCEFIPS. IBMJSSEFIPS da soporte a los algoritmos criptográficos para DES, TRIPLE DES y AES aprobados por FIPS (Federal Information Processing Standard). Aunque las claves LTPA son compatibles con versiones anteriores de releases de WebSphere Application Server, el símbolo LTPA no es compatible con releases anteriores.

WebSphere Application Server proporciona un proveedor JSSE (Java Secure Socket Extension) aprobado por FIPS denominado IBMJSSEFIPS. Un archivo JSSE aprobado por FIPS necesita el protocolo TLS (Transport Layer Security), ya que no es compatible con el protocolo SSL (Transport Layer Security). Si selecciona el recuadro de selección Utilizar FIPS antes de especificar un proveedor de JSSE aprobado por FIPS y un protocolo TLS, aparece el siguiente mensaje de error en la parte superior del panel Seguridad global:

La política de seguridad se establece de modo que
se utilicen únicamente algoritmos criptográficos aprobados por FIPS.
No obstante, es posible que al menos una configuración SSL no esté
utilizando un proveedor JSSE aprobado por FIPS. En estos casos, no se utilizarán algoritmos criptográficos aprobados por FIPS.

Para corregir este problema, configure el proveedor de JSSE y el protocolo de seguridad en el panel Repertorios de configuración SSL realizando una de las siguientes tareas:
  • Pulse Seguridad > SSL y modifique una configuración existente
  • Pulse Nuevo y cree una nueva configuración

Información relacionada

Botones de la consola de administración
Características de la página de la consola administrativa
Valores de ámbito de la consola administrativa
Valores de filtro de la consola administrativa
Valores de preferencias de la consola administrativa