Valores de seguridad globalUtilice esta página para configurar la seguridad. Cuando habilita la seguridad, habilita los valores de seguridad a un nivel global. Cuando se inhabilita la seguridad, el rendimiento de WebSphere Application Server mejora entre un 10 y un 20 por cien. Por lo tanto, considere la inhabilitación de la seguridad cuando no sea necesaria.
Para ver esta página de la consola administrativa, pulse Seguridad > Seguridad global.
Si configura la seguridad por primera vez, siga los pasos que se describen en la sección "Configuración de la seguridad global" de la documentación para evitar problemas. Una vez configurada la seguridad, se deben validar los cambios en los paneles de los mecanismos de autenticación o de registro. Pulse Aplicar para validar los valores del registro de usuario. Se intentará autenticar el ID de servidor en el registro de usuario configurado. Si se validan los valores del registro de usuario después de habilitar la seguridad global se evitan problemas cuando se reinicia el servidor por primera vez.
Pestaña Configuración
Este distintivo se conoce habitualmente como distintivo de seguridad global en la información de WebSphere Application Server. Al configurar la seguridad, establezca la configuración de un mecanismo de autenticación y especifique un ID de usuario y contraseña válidos en la configuración de registro de usuario seleccionado.
| Tipo de datos: | Boolean |
| Valor por omisión: | Inhabilitar |
Cuando la seguridad de Java 2 está habilitada y si una aplicación necesita más permisos de seguridad de Java 2 que los que se otorgan mediante la política por omisión, es posible que la aplicación no se ejecute correctamente hasta que se otorguen los permisos necesarios en el archivo app.policy o was.policy de la aplicación. Las aplicaciones que no tienen todos los permisos generan excepciones AccessControl. Consulte InfoCenter y revise las secciones sobre política dinámica y seguridad de Java 2 si no está familiarizado con la seguridad de Java 2.
Si no se reinicia el servidor después de habilitar la seguridad global, puede inhabilitar la seguridad. Vaya al directorio $<raíz_instalación>\bin y ejecute el mandato wsadmin -conntype NONE. En el indicador de wsadmin>, entre securityoff y escriba exit para volver a un indicador de mandatos. Reinicie el servidor con la seguridad inhabilitada para comprobar que no haya valores incorrectos en la consola administrativa.
| Tipo de datos: | Boolean |
| Valor por omisión: | Inhabilitado |
| Rango: | Habilitado o Inhabilitado |
| Tipo de datos: | Boolean |
| Valor por omisión: | Inhabilitado |
| Rango: | Habilitar o Inhabilitar |
![[sólo 5.0]](v50x.gif)
Cuando se especifica el Utilizar nombres de
usuario cualificados para dominio desde el panel de configuración
de Seguridad > Seguridad global, la llamada de tiempo de
ejecución a getCallerPrincipal() realizada desde un enterprise bean
devuelve el nombre cualificado con el dominio añadido al principio dos
veces. Por ejemplo, el formato devuelto es realm/realm/user.
Cuando
realice llamadas a la API, puede desechar el primer dominio que figura en
el valor devuelto.
La API del servlet getUserPrincipal() funciona correctamente.
Si está habilitada la seguridad de WebSphere Application Server, el tiempo de espera de antememoria de seguridad puede influir en el rendimiento. El parámetro tiempo de espera especifica la frecuencia con que deben renovarse las antememorias relacionadas con la seguridad. En la antememoria se coloca la información de seguridad correspondiente a los beans, los permisos y las credenciales. Cuando ha transcurrido el tiempo de espera de antememoria, toda la información que se ha colocado en la antememoria deja de ser válida. Las posteriores peticiones de información dan como resultado una búsqueda en la base de datos. En ocasiones, la obtención de información hace necesaria la invocación de una autenticación nativa o de vínculo con el protocolo de acceso de directorios ligero (Lightweight Directory Access Protocol - LDAP). Ambas invocaciones son operaciones de rendimiento considerable. Determine el mejor punto de equilibrio para la aplicación, teniendo en cuenta los patrones de uso y las necesidades de seguridad del sitio.
En una prueba de rendimiento de 20 minutos, al establecer el tiempo de espera de antememoria de modo que no se produjera un tiempo de espera transcurrido se mejoró el rendimiento en un 40%.
| Tipo de datos: | Integer |
| Unidades: | Segundos |
| Valor por omisión: | 600 |
| Rango: | Mayor que 30 segundos |
El producto WebSphere da soporte a la gestión de los archivos de políticas. Existen varios archivos de políticas en este producto, unos estáticos y otros dinámicos. La política dinámica es una plantilla de permisos para un tipo concreto de recurso. No hay ninguna base de código definida ni se utiliza ninguna base de código relativa en la plantilla de política dinámica. La base de código real se crea dinámicamente a partir de la configuración y los datos de tiempo de ejecución. El archivo filter.policy contiene una lista de permisos que no debe tener una aplicación de acuerdo con la especificación J2EE 1.3. Para obtener más información sobre permisos, consulte el artículo Gestión de políticas de seguridad de Java 2 en InfoCenter.
| Tipo de datos: | Boolean |
| Valor por omisión: | Inhabilitado |
| Rango: | Habilitar o Inhabilitar |
Un protocolo OMG (Object Management Group) llamado CSIv2 (Common Secure Interoperability Version 2) da soporte a una mayor interoperatividad de proveedores y características adicionales. Si todos los servidores de su dominio de seguridad son de la versión 5, especifique CSI como protocolo. Si hay servidores 3.x o 4.x, especifique CSI y SAS.
| Tipo de datos: | String |
| Valor por omisión: | AMBOS |
| Rango: | CSI y SAS, CSI |
WebSphere Application Server, Versión 5, proporciona los siguientes mecanismos de autenticación: SWAM (Simple WebSphere Authentication Mechanism) y LTPA (Lightweight Third Party Authentication).
| Tipo de datos: | String |
| Valor por omisión: | SWAM (WebSphere Application Server) |
| Rango: | SWAM, LTPA |
Puede configurar valores para uno de los siguientes registros de usuario:
| Tipo de datos: | String |
| Valor por omisión: | Sistema operativo local |
| Rango: | Sistema operativo local, LDAP, Personalizado |
![[Fix Pack 5.0.2 y posterior]](v502.gif)
Cuando Utilizar FIPS está habilitado, la implementación LTPA (Lightweight Third Party Authentication) utiliza IBMJCEFIPS. IBMJSSEFIPS da soporte a los algoritmos criptográficos para DES, TRIPLE DES y AES aprobados por FIPS (Federal Information Processing Standard). Aunque las claves LTPA son compatibles con versiones anteriores de releases de WebSphere Application Server, el símbolo LTPA no es compatible con releases anteriores.
WebSphere Application Server proporciona un proveedor JSSE (Java Secure Socket Extension) aprobado por FIPS denominado IBMJSSEFIPS. Un archivo JSSE aprobado por FIPS necesita el protocolo TLS (Transport Layer Security), ya que no es compatible con el protocolo SSL (Transport Layer Security). Si selecciona el recuadro de selección Utilizar FIPS antes de especificar un proveedor de JSSE aprobado por FIPS y un protocolo TLS, aparece el siguiente mensaje de error en la parte superior del panel Seguridad global:
La política de seguridad se establece de modo que se utilicen únicamente algoritmos criptográficos aprobados por FIPS. No obstante, es posible que al menos una configuración SSL no esté utilizando un proveedor JSSE aprobado por FIPS. En estos casos, no se utilizarán algoritmos criptográficos aprobados por FIPS.Para corregir este problema, configure el proveedor de JSSE y el protocolo de seguridad en el panel Repertorios de configuración SSL realizando una de las siguientes tareas: