Académique Documents
Professionnel Documents
Culture Documents
GC10-3839-00
GC10-3839-00
Nota Antes de utilizar esta informacin y el producto al que da soporte, lea la informacin incluida en el Apndice C, Avisos en la pgina 253.
Primera edicin (julio de 2002) Este manual es la traduccin del original ingls IBM Tivoli Access Manager WebSEAL Administrators Guide , GC23-4682-00. Copyright International Business Machines Corporation 1999, 2002. Reservados todos los derechos.
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix
A quin va dirigido este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Contenido de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x IBM Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x Publicaciones relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Acceso a las publicaciones en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . xv Solicitud de publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv Comentarios sobre las publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . xv Accesibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi Cmo ponerse en contacto con el soporte al cliente . . . . . . . . . . . . . . . . . . . . . . xvi Convenios utilizados en este manual . . . . . . . . . . . . . . . . . . . . . . . . . . xvi Convenios tipogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
21 21 22 22 22 23 23 23 25 25 25 26 26 26 27 28 28 29 30 31 33 33 36 36
iii
Parmetros y valores de pginas personalizadas . . . . . . . . . . . Descripciones de pginas HTML personalizadas . . . . . . . . . . . Gestin de certificados de cliente y servidor . . . . . . . . . . . . . Informacin sobre tipos de archivo de bases de datos de claves GSKit . . . . Configuracin de parmetros de base de datos de claves . . . . . . . . Utilizacin del programa de utilidad de gestin de certificados iKeyman . . . Configuracin de la comprobacin de CRL . . . . . . . . . . . . . Configuracin de la cach de CRL . . . . . . . . . . . . . . . . Configuracin del registro HTTP predeterminado . . . . . . . . . . . Habilitacin e inhabilitacin del registro HTTP . . . . . . . . . . . Especificacin del tipo de indicacin de la hora . . . . . . . . . . . Especificacin de los umbrales de creacin de archivo de registro . . . . . Especificacin de la frecuencia de vaciado de los bferes de archivo de registro Formato de registro comn HTTP (para request.log) . . . . . . . . . . Visualizacin del archivo request.log . . . . . . . . . . . . . . . Visualizacin del archivo agent.log . . . . . . . . . . . . . . . Visualizacin del archivo referer.log . . . . . . . . . . . . . . . Configuracin del registro HTTP mediante el registro de eventos . . . . . . Registro de mensajes de servicios de WebSEAL . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
36 37 38 39 40 41 42 42 43 43 44 44 44 45 45 45 45 46 47
iv
Contenido
Condiciones de configuracin . . . . . . . . . . . . . . . . . . . Personalizacin de los formularios HTML de respuesta . . . . . . . . . . Configuracin de la autenticacin de certificados del cliente . . . . . . . . . . Informacin general: autenticacin mutua mediante certificados . . . . . . . El certificado de prueba de WebSEAL . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de certificados . . . . . . . . Configuracin del mecanismo de autenticacin de certificados . . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . . Configuracin de la autenticacin de cabeceras HTTP . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de cabeceras HTTP . . . . . . Especificacin de tipos de cabecera . . . . . . . . . . . . . . . . . Configuracin del mecanismo de autenticacin de cabeceras HTTP . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . . Configuracin de autenticacin de direcciones IP . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de direcciones IP . . . . . . . Configuracin del mecanismo de autenticacin de direcciones IP . . . . . . . Configuracin de la autenticacin de seales . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de seales . . . . . . . . . Configuracin del mecanismo de autenticacin de seales . . . . . . . . . Soporte para agentes MPA (Multiplexing Proxy Agents) . . . . . . . . . . . Tipos de datos de sesin y mtodos de autenticacin vlidos . . . . . . . . Flujo de proceso de autenticacin para MPA y clientes mltiples . . . . . . . Habilitacin e inhabilitacin de la autenticacin de MPA . . . . . . . . . . Creacin de una cuenta de usuario para el MPA. . . . . . . . . . . . . Adicin de la cuenta de MPA al grupo webseal-mpa-servers . . . . . . . . Limitaciones de la autenticacin de MPA . . . . . . . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de seguridad . . . . . . Condiciones que afectan a la reautenticacin de POP . . . . . . . . . . . Creacin y aplicacin de la POP de reautenticacin. . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la cach de sesin Configuracin de la reautenticacin basada en la poltica de inactividad de sesin . . Condiciones que afectan a la reautenticacin por inactividad . . . . . . . . Habilitacin de la reautenticacin por inactividad . . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la cach de sesin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124 124 125 125 126 127 127 128 128 128 129 129 130 130 130 130 130 130 131 131 132 133 134 134 134 134 134 134 135 136 137 137 139 139
vi
Informacin de consulta adicional para conexiones (junctions) WebSEAL . . . . . . . . . Utilizacin de pdadmin para crear conexiones (junctions) . . . . . . . . . . . . . . . Configuracin de una conexin (junction) WebSEAL bsica . . . . . . . . . . . . . . . Creacin de conexiones (junctions) de tipo TCP . . . . . . . . . . . . . . . . . . Creacin de conexiones (junctions) de tipo SSL . . . . . . . . . . . . . . . . . . Adicin de servidores de fondo adicionales a una conexin (junction) . . . . . . . . . . Conexiones (junctions) SSL autenticadas mutuamente . . . . . . . . . . . . . . . . . WebSEAL valida el certificado de servidor de fondo . . . . . . . . . . . . . . . . Coincidencia de Nombre distinguido (DN) . . . . . . . . . . . . . . . . . . . WebSEAL se autentica con un certificado de cliente . . . . . . . . . . . . . . . . WebSEAL se autentica con una cabecera de BA . . . . . . . . . . . . . . . . . . Gestin de informacin de identidad de cliente entre conexiones (junctions) . . . . . . . . Creacin de conexiones (junctions) de proxy TCP y SSL . . . . . . . . . . . . . . . . Conexiones (junctions) de WebSEAL a WebSEAL a travs de SSL . . . . . . . . . . . . . Modificacin de las direcciones URL de recursos de fondo . . . . . . . . . . . . . . . Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL . . . . . . . Filtrado de las direcciones URL en las respuestas . . . . . . . . . . . . . . . . . Proceso de direcciones URL en las peticiones . . . . . . . . . . . . . . . . . . . Opciones adicionales de conexin (junction) . . . . . . . . . . . . . . . . . . . . Cmo forzar una nueva conexin (junction) (f) . . . . . . . . . . . . . . . . . . Especificacin de la identidad del cliente en cabeceras HTTP (c) . . . . . . . . . . . . Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) . . . . . . . . . . Limitacin del tamao de cabeceras HTTP generadas por WebSEAL . . . . . . . . . . . Transferencia de cookies de sesin a servidores de portal con conexin (junction) (k) . . . . . Soporte para direcciones URL no sensibles a maysculas y minsculas (i) . . . . . . . . . Soporte para conexin (junction) con informacin de estado (s, u) . . . . . . . . . . . Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado Conexin (junction) con sistemas de archivos de Windows (w) . . . . . . . . . . . . Notas tcnicas para utilizar conexiones (junctions) WebSEAL . . . . . . . . . . . . . . Montaje de varios servidores en la misma conexin (junction) . . . . . . . . . . . . . Excepciones a la aplicacin de permisos entre conexiones (junctions) . . . . . . . . . . . Certificacin de autenticacin entre conexiones (junctions) . . . . . . . . . . . . . . Utilizacin de query_contents con servidores de terceros . . . . . . . . . . . . . . . . Instalacin de los componentes de query_contents . . . . . . . . . . . . . . . . . Instalacin de query_contents en servidores UNIX de terceros . . . . . . . . . . . . . Instalacin de query_contents en servidores Win32 de terceros . . . . . . . . . . . . . Personalizacin de query_contents . . . . . . . . . . . . . . . . . . . . . . Proteccin de query_contents . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (u) . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
161 161 162 163 163 164 165 165 165 166 166 167 168 168 169 170 171 173 176 176 177 179 179 180 180 181 182 184 185 185 186 186 186 187 187 187 189 190
. . . . . . . . . . . . . 191
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 191 192 193 194 195 195 196 197 198 198 199 200 200 201 201 201 202 203 204 208
Configuracin de cabeceras de BA para las soluciones de inicio de sesin nico . . . Conceptos de inicio de sesin nico (SSO). . . . . . . . . . . . . . . Especificacin de la identidad de cliente en cabeceras de BA . . . . . . . . Especificacin de la identidad del cliente y la contrasea genrica . . . . . . . Reenvo de la informacin de cabecera de BA del cliente original . . . . . . . Eliminacin de la informacin de cabecera de BA de cliente . . . . . . . . . Especificacin de los nombres de usuario y las contraseas de GSO . . . . . . Utilizacin de Global Sign-on (GSO). . . . . . . . . . . . . . . . . . Correlacin de la informacin de autenticacin . . . . . . . . . . . . . Configuracin de una conexin (junction) WebSEAL habilitada para GSO . . . . Configuracin de la cach de GSO . . . . . . . . . . . . . . . . . Configuracin del inicio de sesin nico en IBM WebSphere (LTPA) . . . . . . . Configuracin de una conexin (junction) LTPA . . . . . . . . . . . . . Configuracin de la cach de LTPA . . . . . . . . . . . . . . . . . Notas tcnicas para el inicio de sesin nico de LTPA . . . . . . . . . . . Configuracin de la autenticacin de formularios de inicio de sesin nico . . . . . Contexto y objetivos . . . . . . . . . . . . . . . . . . . . . . Flujo de proceso de inicio de sesin nico con formularios . . . . . . . . . Requisitos para el soporte de aplicaciones . . . . . . . . . . . . . . . Creacin del archivo de configuracin para el inicio de sesin nico con formularios Habilitacin del inicio de sesin nico con formularios . . . . . . . . . .
Contenido
vii
. 208
Apndice A. Consulta de webseald.conf . . . . . . . . . . . . . . . . . . . . . 233 Apndice B. Informacin de consulta de las conexiones (junctions) WebSEAL . . . . 247
Utilizacin de pdadmin para crear conexiones (junctions) . . . . Comandos de conexin (junction) . . . . . . . . . . . . Creacin de una nueva conexin (junction) para un servidor inicial . Adicin de un servidor adicional a una conexin (junction) existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 248 249 251
ndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
viii
Prefacio
Bienvenido a la publicacin IBMTivoliAccess Manager WebSEAL Gua del administrador. IBM Tivoli Access Manager WebSEAL es el gestor de seguridad de recursos para los recursos basados en web. WebSEAL es un servidor web de alto rendimiento y de threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta gua de administracin ofrece un conjunto exhaustivo de procedimientos e informacin de consulta para la gestin de los recursos de los dominios web seguros. Tambin incluye informacin general y de conceptos til para la gran variedad de funciones de WebSEAL.
ix
instancias de WebSEAL, configuracin de funciones de cambio de usuario, gestin de la asignacin de threads de trabajo y configuracin de actualizaciones y sondeos de base de datos de autorizaciones. v Captulo 4: Poltica de seguridad de WebSEAL Este captulo describe procedimientos tcnicos detallados para personalizar la poltica de seguridad de WebSEAL, que incluyen: polticas de ACL y POP, calidad de proteccin, poltica de autenticacin incremental, poltica de autenticacin basada en la red, poltica de inicio de sesin de tres intentos y poltica de intensidad de contraseas. v Captulo 5: Autenticacin de WebSEAL Este captulo proporciona procedimientos tcnicos detallados para configurar WebSEAL para que gestione varios mtodos de autenticacin, que incluyen: nombre de usuario y contrasea, certificados de cliente, cdigo de paso de seal de SecurID, datos de cabecera HTTP especiales y funciones de reautenticacin. v Captulo 6: Soluciones de inicio de sesin en dominios cruzados En este captulo se describen soluciones de inicio de sesin en dominios cruzados para el componente externo de la configuracin proxy de WebSEALentre el cliente y el servidor WebSEAL. v Captulo 7: Conexiones (junctions) WebSEAL Este captulo contiene informacin tcnica de consulta completa para configurar y utilizar las conexiones (junctions) WebSEAL. v Captulo 8: Soluciones de inicio de sesin nico de web En este captulo se describen soluciones de inicio de sesin nico para el componente interno de la configuracin proxy de WebSEALentre el servidor WebSEAL y el servidor de fondo de aplicaciones con conexin (junction). v Captulo 9: Integracin de aplicaciones Este captulo explora diversas posibilidades de WebSEAL para integrar la funcionalidad de aplicaciones de terceros. v Apndice A: Informacin de consulta de webseald.conf v Apndice B: Informacin de consulta de las conexiones (junctions) WebSEAL
Publicaciones
Este apartado contiene una lista de publicaciones de la biblioteca de Access Manager y otros documentos relacionados. Tambin describe cmo acceder a las publicaciones de Tivoli en lnea, cmo solicitar publicaciones de Tivoli y cmo realizar comentarios sobre las publicaciones de Tivoli.
Las publicaciones de la biblioteca del producto estn incluidas en formato PDF (Portable Document Format) en el CD del producto. Para acceder a estas
publicaciones utilizando un navegador web, abra el archivo infocenter.html, que se encuentra en el directorio /doc del CD del producto. Para obtener fuentes de informacin adicionales sobre Access Manager y temas relacionados, visite los siguientes sitios web: http://www.ibm.com/redbooks https://www.tivoli.com/secure/support/documents/fieldguides
Informacin de Base
v IBM Tivoli Access Manager Base Installation Guide GC32-0844 (am39_install.pdf) Describe cmo instalar, configurar y actualizar el software Access Manager, incluida la interfaz Web Portal Manager. v IBM Tivoli Access Manager Base Gua del administrador GC10-3838 (am39_admin.pdf) Describe los conceptos y procedimientos para la utilizacin de los servicios de Access Manager. Proporciona instrucciones para realizar tareas desde la interfaz Web Portal Manager y mediante el comando pdadmin. v IBM Tivoli Access Manager Base for Linux on zSeries Installation Guide GC23-4796 (am39_zinstall.pdf) Describe cmo instalar y configurar Access Manager Base para Linux en la plataforma zSeries.
Informacin de WebSEAL
v IBM Tivoli Access Manager WebSEAL Installation Guide GC32-0848 (amweb39_install.pdf) Proporciona instrucciones de instalacin, configuracin y eliminacin del servidor WebSEAL y del kit de desarrollo de aplicaciones WebSEAL. v IBM Tivoli Access Manager WebSEAL Gua del administrador GC10-3839 (amweb39_admin.pdf) Proporciona material de consulta, procedimientos de administracin e informacin tcnica de consulta sobre la utilizacin de WebSEAL para gestionar los recursos de su dominio web seguro. v IBM Tivoli Access Manager WebSEAL Developers Reference GC23-4683 (amweb39_devref.pdf) Proporciona informacin de administracin y programacin para CDAS (Cross-domain Authentication Service), CDMF (Cross-domain Mapping Framework) y para el Mdulo de intensidad de contraseas. v IBM Tivoli Access Manager WebSEAL for Linux on zSeries Installation Guide
Prefacio
xi
GC23-4797 (amweb39_zinstall.pdf) Proporciona instrucciones de instalacin, configuracin y eliminacin del servidor WebSEAL y del kit de desarrollo de aplicaciones WebSEAL para Linux en la plataforma zSeries.
xii
Proporciona informacin de administracin y programacin para CDAS (Cross-domain Authentication Service), CDMF (Cross-domain Mapping Framework) y para el Mdulo de intensidad de contraseas.
Publicaciones relacionadas
Este apartado contiene una lista de las publicaciones relacionadas con la biblioteca de Access Manager.
Prefacio
xiii
xiv
http://www.software.ibm.com/network/directory/library/
Solicitud de publicaciones
Puede realizar pedidos de muchas publicaciones de Tivoli en lnea en el siguiente sitio web: http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi Tambin puede realizar pedidos por telfono llamando a uno de estos nmeros: v En Estados Unidos: 800-879-2755 v En Espaa: 901-100-000 v Para obtener una lista de nmeros de telfono de otros pases, visite el siguiente sitio web: http://www.tivoli.com/inside/store/lit_order.html
Prefacio
xv
comentarios o sugerencias sobre nuestros productos y la documentacin, pngase en contacto con nosotros utilizando uno de los procedimientos siguientes: v Enve un mensaje de correo electrnico a pubs@tivoli.com. v Rellene la encuesta de opinin del cliente en el siguiente sitio web: http://www.tivoli.com/support/survey/
Accesibilidad
Las caractersticas de accesibilidad ayudan a los usuarios que tienen una discapacidad fsica, como movilidad restringida o visin limitada, a utilizar los productos de software sin problemas. En este producto, puede utilizar tecnologas de asistencia para tener acceso a la interfaz y navegar por ella. Tambin puede utilizar el teclado en lugar del ratn para realizar todas las funciones de la interfaz grfica de usuario.
Convenios tipogrficos
En este manual se utilizan los siguientes convenios tipogrficos: Negrita Cursiva Los nombres de comandos y opciones, las palabras clave y otra informacin que debe utilizarse literalmente aparecen en negrita. Las variables, opciones de comandos y valores que el usuario debe proporcionar aparecen en cursiva. Los ttulos de publicaciones y las palabras o expresiones especiales que estn enfatizadas tambin aparecen en cursiva.
Monoespaciado Los ejemplos de cdigo, las lneas de comandos, la salida en pantalla, los nombres de archivo y de directorio, y los mensajes del sistema aparecen en una fuente monoespaciada.
xvi
combinacin con un sistema de cortafuegos corporativo, puede proporcionar una proteccin completa de la intranet empresarial contra accesos no autorizados e intrusiones. IBM Tivoli Access Manager WebSEAL: IBM Tivoli Access Manager WebSEAL es el gestor de recursos que es responsable de gestionar y proteger informacin y recursos basados en web. WebSEAL es un servidor web de alto rendimiento y threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos de Access Manager. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. WebSEAL acta normalmente como un proxy web inverso al recibir peticiones HTTP/HTTPS de un navegador web y proporcionar contenido de su propio servidor web o de servidores de aplicaciones web de fondo con conexin (junction). Las peticiones que pasan a travs de WebSEAL se evalan mediante el servicio de autorizaciones de Access Manager para determinar si el usuario est autorizado para acceder al recurso solicitado. WebSEAL proporciona las siguientes funciones: v Da soporte a varios mtodos de autenticacin Tanto la arquitectura incorporada como la de plug-in permiten la flexibilidad al dar soporte a varios mecanismos de autenticacin. v Acepta peticiones HTTP y HTTPS v Integra y protege los recursos de servidor de fondo a travs de la tecnologa de conexiones (junctions) WebSEAL v Gestiona un control de acceso estricto para el espacio web del servidor local y de fondo Los recursos soportados incluyen direcciones URL, expresiones regulares basadas en direcciones URL, programas CGI, archivos HTML, servlets Java y archivos de clase Java. v Funciona como proxy web inverso WebSEAL aparece como un servidor web en los clientes y como un navegador web en los servidores de fondo con conexin (junction) que protege. v Proporciona posibilidades de inicio de sesin nico
El servicio de autorizaciones de Access Manager toma decisiones de autorizacin basadas en las polticas aplicadas a estos objetos. Cuando se permite una operacin solicitada en un objeto protegido, la aplicacin responsable del recurso implementa esta operacin. Una poltica puede establecer los parmetros de proteccin de muchos objetos. Cualquier cambio en la regla afectar a todos los objetos con los que se ha asociado la plantilla.
Las tablas siguientes listan los atributos disponibles para una poltica POP:
Aplicado por Access Manager Base Atributo POP Nombre Descripcin Modalidad de aviso Nivel de auditora Acceso segn hora del da Descripcin Nombre de la poltica. Se convierte en <nombre-pop> en los comandos pdadmin pop. Texto descriptivo de la poltica. Aparece en el comando pop show. Proporciona a los administradores un medio para probar las polticas de ACL y POP. Especifica el tipo de auditora: toda, ninguna, acceso correcto, acceso denegado, errores. Restricciones de da y hora para acceder correctamente al objeto protegido.
Aplicado por el Gestor de recursos (como WebSEAL) Atributo POP Calidad de proteccin Descripcin Especifica el grado de la proteccin de datos: ninguna, integridad y privacidad.
Poltica de mtodos de Especifica los requisitos de autenticacin para el acceso autenticacin de punto final IP de los miembros de redes externas.
Desde Web Portal Manager (o pdadmin) se puede gestionar el registro de usuarios, la base de datos maestra de poltica de autorizaciones y los servidores de Access Manager. Tambin puede agregar y suprimir usuarios/grupos y aplicar polticas de ACL y POP a los objetos de red.
1. Una peticin de cliente autenticada para un recurso se dirige al gestor de recursos y la intercepta el proceso de aplicador de polticas. El gestor de recursos puede ser WebSEAL (para acceso HTTP, HTTPS) o una aplicacin de terceros. 2. El proceso de aplicador de polticas utiliza la API de autorizacin de Access Manager para llamar al servicio de autorizaciones y solicitar una decisin de autorizacin. 3. El servicio de autorizaciones realiza una comprobacin de autorizacin en el recurso, representado como un objeto en el espacio de objetos protegidos. En primer lugar se comprueban las polticas POP de base. A continuacin, la poltica de ACL asociada con el objeto se comprueba con las credenciales del cliente. Luego se comprueban las polticas POP aplicadas por el gestor de recursos. 4. La decisin de aceptar o denegar la peticin se devuelve como recomendacin al gestor de recursos (a travs del aplicador de polticas). 5. Si finalmente se aprueba la peticin, el gestor de recursos pasa la peticin a la aplicacin responsable del recurso. 6. El cliente recibe los resultados de la operacin solicitada.
v Polticas de lista de control de accesos (ACL) Las polticas de ACL identifican los tipos de usuario que se pueden considerar para el acceso y especifican las operaciones permitidas en el objeto. v Polticas de objetos protegidos (POP) Una POP especifica las condiciones adicionales que gobiernan el acceso al objeto protegido, como la privacidad, la integridad, la auditora y el acceso segn la hora del da. v Atributos ampliados Los atributos ampliados son valores adicionales colocados en un objeto, ACL o POP que otras aplicaciones de terceros pueden leer e interpretar (como un servicio de autorizaciones externo). El componente esencial de Access Manager es el servicio de autorizaciones de Access Manager, que permite o deniega el acceso a los objetos protegidos (recursos) segn las credenciales del usuario y los controles de acceso que se han puesto en los objetos. Para implementar correctamente la poltica de seguridad, debe organizar lgicamente los distintos tipos de contenido (tal como se describe en el apartado Identificacin de tipos de contenido y niveles de proteccin en la pgina 9 y aplicar las polticas de ACL y POP apropiadas. La gestin del control de acceso puede ser muy compleja y se lleva a cabo mucho ms fcilmente mediante la meticulosa categorizacin de los tipos de contenido.
v Acceso de clientes autenticados mediante HTTP o HTTPS v El administrador determina la necesidad de cifrado v Credencial autenticada utilizada para el control de acceso a los recursos; los clientes deben tener una cuenta definida en el registro de usuarios v La configuracin de WebSEAL es compleja y todas las opciones se deben considerar con atencin para determinar el impacto de la poltica de seguridad
WebSEAL puede aplicar un alto grado de seguridad en un dominio seguro al solicitar a cada cliente que proporcione una prueba de su identidad. Las siguientes condiciones se aplican a la autenticacin de WebSEAL: v WebSEAL da soporte a un conjunto estndar de mtodos de autenticacin. Puede personalizar WebSEAL para dar soporte a otros mtodos de autenticacin. v El proceso de servidor WebSEAL es independiente del mtodo de autenticacin. v WebSEAL slo requiere una identidad de cliente. A partir de esta identidad, WebSEAL crea una credencial autenticada (o no autenticada) que el servicio de autorizaciones de Access Manager puede utilizar para permitir o denegar el acceso a los recursos. Este enfoque flexible de la autenticacin permite que la poltica de seguridad se base en los requisitos de la empresa y no en la topologa fsica de la red.
Objetivos de autenticacin
Aunque WebSEAL es independiente del proceso de autenticacin, WebSEAL requiere el resultado de la autenticacin: la identidad del cliente. El proceso de autenticacin produce las acciones siguientes: 1. El mtodo de autenticacin produce una identidad de cliente La autenticacin de cliente slo es correcta si el usuario tiene una cuenta definida en el registro de usuarios de Access Manager o un CDAS la ha procesado correctamente. Si no, el usuario se designa como no autenticado. La informacin de identidad especfica de un mtodo como, por ejemplo, contraseas, seales y certificados representa las propiedades de identidad fsica del usuario. Esta informacin se puede utilizar para establecer una sesin segura con el servidor.
10
2. WebSEAL utiliza la identidad para adquirir credenciales para ese cliente WebSEAL compara la identidad del cliente con un usuario registrado de Access Manager. A continuacin, WebSEAL crea las credenciales adecuadas para este usuario. Esto se conoce como adquisicin de credenciales. La credencial representa los privilegios de un usuario en el dominio seguro, describe al usuario en un contexto especfico y slo es vlida durante la duracin de esa sesin. Los datos de credenciales incluyen el nombre de usuario, las pertenencias a grupos y cualquier atributo de seguridad especial ampliado. Si un usuario no es miembro del registro de usuarios (annimo), WebSEAL crea una credencial no autenticada para ese usuario. Recuerde que una ACL puede contener reglas especiales que rijan a los usuarios no autenticados. Estas credenciales estn disponibles para el servicio de autorizaciones que permite o deniega el acceso a los objetos solicitados en el espacio de objetos protegidos de WebSEAL. Cualquier servicio de Access Manager que requiera informacin acerca del cliente puede utilizar las credenciales. Las credenciales permiten que Access Manager lleve a cabo de forma segura una multitud de servicios como, por ejemplo, la autorizacin, auditora y delegacin. Access Manager distingue la autenticacin del usuario de la adquisicin de credenciales. La identidad de un usuario es siempre constante. Sin embargo, las credenciales, que definen los grupos o roles en los que participa un usuario, son variables. Las credenciales especficas del contexto pueden cambiar con el tiempo. Por ejemplo, cuando se promueve a una persona, las credenciales deben reflejar el nuevo nivel de responsabilidad. Consulte el apartado Captulo 5, Autenticacin de WebSEAL en la pgina 107 para obtener ms informacin acerca del soporte para mtodos de autenticacin especficos.
11
v Un usuario efecta una peticin de un recurso protegido por WebSEAL. La proteccin del recurso requiere que el usuario se autentique. WebSEAL solicita al usuario que inicie la sesin. v Slo puede producirse una autenticacin correcta si el usuario es miembro del registro de usuarios de Access Manager o lo gestiona una operacin de CDAS. v Se crea un ID de sesin de WebSEAL para el usuario. v Se crea una credencial para este usuario a partir de la informacin que contiene el registro acerca de este usuario (como las pertenencias a grupos). v El ID de sesin y la credencial, ms otros datos, se almacenan como una entrada en la cach de sesin/credenciales de WebSEAL. v Mientras WebSEAL procesa esta peticin y futuras peticiones a lo largo de esta sesin, mantiene disponible la informacin de las credenciales. v Siempre que es necesaria una comprobacin de autorizacin, el servicio de autorizaciones de Access Manager utiliza la informacin de las credenciales durante el proceso de toma de decisiones. v Cuando el usuario finaliza la sesin, se elimina la entrada de cach de ese usuario y se termina la sesin. El flujo de proceso para los usuarios no autenticados es el siguiente: v Un usuario efecta una peticin de un recurso protegido por WebSEAL. La proteccin del recurso no requiere que el usuario se autentique. WebSEAL no solicita al usuario que inicie la sesin. v WebSEAL crea una credencial no autenticada para el usuario. v No se crea ninguna entrada en la cach de sesin/credenciales de WebSEAL. v El usuario puede acceder a los recursos que contienen los permisos correctos para la categora de tipo no autenticado de usuario. v Si el usuario requiere el acceso a un recurso no disponible para los usuarios no autenticados, WebSEAL solicita que el usuario inicie la sesin. v Si se inicia la sesin correctamente, el estado del usuario cambia a autenticado. v Si el inicio de sesin no es correcto, se devuelve un mensaje 403 No autorizado. El usuario an puede seguir accediendo a otros recursos disponibles para los usuarios no autenticados.
12
Cada sesin de usuario se representa mediante una entrada en la tabla de cach. Cada entrada de la cach contiene los siguientes tipos de informacin: v ID de sesin El ID de sesin es un identificador exclusivo que se enva con cada peticin efectuada por ese usuario. El ID de sesin identifica la entrada especfica de la cach para ese usuario. v Datos de la cach El dato ms importante que se almacena en la entrada de la cach es la credencial del usuario. La credencial es necesaria siempre que el usuario solicita recursos protegidos. El servicio de autorizaciones utiliza la informacin de la credencial para permitir o denegar el acceso al recurso. WebSEAL puede marcar, o poner un indicador en una entrada de la cach para que d soporte a una funcionalidad determinada. Por ejemplo, cuando la reautenticacin por inactividad de sesin est habilitada, se pone un indicador en la entrada de la cach cuando haya caducado el valor de inactividad de la sesin. v Indicaciones de la hora La indicacin de la hora de la creacin para la entrada de la cach se convierte en el punto de referencia para el valor de la duracin de la sesin. La indicacin de la hora que fue la ltima activa para la entrada de la cach se convierte en el punto de referencia para el temporizador de inactividad de sesin. La credencial de usuario contiene: v Nombre de usuario v Pertenencias a grupos v Atributos ampliados Los atributos ampliados permiten almacenar los datos personalizados en la credencial del usuario. Un ejemplo de atributo ampliado de credencial es el atributo tagvalue_user_session_id. El valor de este atributo se puede insertar en una cabecera HTTP para permitir que un servidor de fondo con conexin (junction) para mantener el estado de la sesin con el usuario.
13
Una conexin (junction) permite a WebSEAL proporcionar servicios de proteccin en nombre del servidor de fondo. WebSEAL puede realizar comprobaciones de autenticacin y autorizacin en todas las peticiones antes de pasar esas peticiones al servidor de fondo. Si el servidor de fondo requiere un control de acceso detallado sobre sus objetos, debe realizar pasos de configuracin adicionales para describir el espacio web de terceros para el servicio de seguridad de Access Manager (consulte el apartado Utilizacin de query_contents con servidores de terceros en la pgina 186). Las conexiones (junctions) proporcionan un entorno seguro escalable que permite el equilibrio de la carga, una alta disponibilidad y la posibilidad de gestin del estado, todo ello realizado de una forma transparente para los clientes. Como administrador, puede beneficiarse de esta gestin centralizada del espacio web. Las conexiones (junctions) WebSEAL proporcionan el valor aadido de combinar de una forma lgica el espacio web de un servidor de fondo con el espacio web del servidor WebSEAL. Las conexiones (junctions) entre servidores que cooperan dan como resultado un solo espacio web distribuido y unificado que es transparente y directo para los usuarios. El cliente no necesita conocer la ubicacin fsica de un recurso web. WebSEAL convierte las direcciones URL lgicas en las direcciones fsicas que espera un servidor de fondo. Los objetos web se pueden mover de servidor a servidor sin que afecte a la forma en que el cliente accede a esos objetos.
14
Un espacio web simplifica la gestin de todos los recursos para el administrador del sistema. Las ventajas administrativas adicionales incluyen la escalabilidad, el equilibrio de la carga y una alta disponibilidad.
La mayora de servidores web comerciales no disponen de la posibilidad de definir un espacio de objetos web lgico, sino que el control de acceso se conecta al archivo fsico y la estructura del directorio. Las conexiones (junctions) WebSEAL pueden definir de forma transparente un espacio de objetos que refleje la estructura organizativa en vez de la mquina fsica y la estructura del directorio que se encuentra habitualmente en servidores web estndar. Las conexiones (junctions) WebSEAL tambin permiten crear soluciones de inicio de sesin nico. Una configuracin de inicio de sesin nico permite al usuario acceder a un recurso, con independencia de la ubicacin del recurso, utilizando slo un inicio de sesin inicial. Los requisitos de inicio de sesin posteriores de los servidores de fondo se gestionan de una forma transparente para el usuario. Las conexiones (junctions) WebSEAL son una herramienta importante para que el sitio web sea escalable. Las conexiones (junctions) le permiten responder a las crecientes demandas de un sitio web al conectar servidores adicionales.
15
Al replicar servidores WebSEAL frontales, cada servidor debe contener una copia exacta del espacio web y la base de datos de conexiones (junctions). La informacin de cuenta para la rplica reside en un registro de usuarios que es independiente de los servidores frontales.
16
El diagrama siguiente muestra cmo las conexiones (junctions) proporcionan un espacio de objetos lgico unificado. Este espacio web es transparente para el usuario y permite una gestin centralizada.
17
Los servidores de fondo replicados estn conectados al mismo punto de conexin (junction), tal como se muestra en el siguiente apartado.
18
19
20
Windows:
C:\Archivos de programa\Tivoli\PDWeb\
Puede configurar esta ruta de acceso en una instalacin de Access Manager para Windows. No puede configurar esta ruta de acceso en las instalaciones UNIX de Access Manager. Esta gua utiliza la variable <ruta-acceso-instalacin> para representar este directorio raz. En instalaciones UNIX, el siguiente directorio contiene archivos ampliables, como, por ejemplo, archivos de auditora y de registro:
/var/pdweb/
Copyright IBM Corp. 1999, 2002
21
Windows: Identifique el proceso del servidor WebSEAL en Servicios, en el Panel de control, y utilice los botones de control correspondientes.
La representacin de esta instancia de servidor WebSEAL en el espacio de objetos protegidos de Access Manager aparecera como:
/WebSEAL/sales1
Consulte tambin: Rplica de servidores WebSEAL frontales en la pgina 55. Para tener mltiples instancias de WebSEAL en la misma mquina, este valor se establece mediante la opcin i en el script PDWeb_config (UNIX) o ivweb_setup (Windows) utilizado para crear las mltiples instancias de servidor WebSEAL. Consulte tambin: Configuracin de mltiples instancias de servidor WebSEAL en la pgina 56.
22
Sin embargo, aun cuando WebSEAL enva una peticin HTTP/1.0 a un servidor de fondo con conexin (junction) (y el servidor de fondo devuelve una respuesta HTTP/1.0), WebSEAL devuelve siempre una respuesta HTTP/1.1 al navegador del cliente.
Windows:
[logging] server-log = C:/Archivos de programa/Tivoli/PDWeb/log/webseald.log
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\
Los archivos de configuracin de Access Manager estn basados en texto ASCII y se pueden editar mediante un editor de texto comn. Los archivos de configuracin contienen entradas de parmetro en el formato siguiente:
parmetro = valor
La instalacin inicial de Access Manager establece valores predeterminados para la mayora de parmetros. Algunos parmetros son estticos y no cambian nunca; otros pueden modificarse para personalizar la funcionalidad y el rendimiento del servidor. Cada archivo contiene secciones, o stanzas, que contienen uno o ms parmetros para una categora especfica de la configuracin. Las cabeceras de las stanzas aparecen entre corchetes:
[nombre-stanza]
Captulo 2. Configuracin bsica del servidor
23
Por ejemplo, la stanza [junction] de webseald.conf define los valores de configuracin que afectan a las conexiones (junctions) WebSEAL. La stanza [authentication-mechanisms] define los mecanismos de autenticacin soportados por WebSEAL, junto con los archivos de bibliotecas compartidas asociados. Los archivos de configuracin contienen comentarios que explican el uso de cada parmetro. El carcter # se utiliza para designar una lnea como un comentario. Todas las lneas de comentario comienzan con el carcter #. Por consiguiente, el carcter # no es un carcter vlido para su uso en los valores de parmetro. Nota: Siempre que se efecte un cambio en el archivo webseald.conf, deber reiniciar manualmente WebSEAL para que se reconozcan los nuevos cambios. Consulte el apartado Inicio y detencin de WebSEAL en la pgina 22. La tabla siguiente resume las secciones y las stanzas contenidas en el archivo de configuracin webseald.conf:
Secciones GENERAL DE WEBSEAL LDAP ACTIVE DIRECTORY DOMINO SSL CONEXIN (JUNCTION) [server] [ldap] [uraf-ad] [uraf-domino] [ssl] [junction] [filter-url][filter-schemes][filter-content-types] [script-filtering] [gso-cache][ltpa-cache] [ba] [forms] [token] [certificate] [http-headers] [auth-headers] [ipaddr] [authentication-levels] [mpa] [cdsso] [cdsso-peers] [failover] [e-community-sso] [inter-domain-keys] [reauthentication] [authentication-mechanisms] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default] [session] Stanzas
AUTENTICACIN
SESIN
24
Secciones CONTENIDO
Stanzas [content] [acnt-mgt] [cgi][cgi-types] [cgi-environment-variable] [content-index-icons] [icons] [content-cache] [content-mime-types] [content-encodings] [logging] [aznapi-configuration] [aznapi-entitlement-services] [policy-director]
Windows:
[server] server-root = C:\Archivos de programa\Tivoli\PDWeb\www
25
26
v persistent-con-timeout Despus de la primera peticin HTTP y la respuesta del servidor, este parmetro controla el nmero mximo de segundos durante los que el servidor mantendr abierta una conexin persistente HTTP antes de cerrarla. El valor predeterminado es 5 segundos.
[server] persistent-con-timeout = 5
[junction] https-timeout
120
[cgi]cgi-timeout
120
[junction] ping-time
300
27
Windows:
[content] doc-root = C:\Archivos de programa\Tivoli\PDWeb\www\docs
Este valor slo se utiliza una vez: la primera vez que WebSEAL se inicia despus de la instalacin. El valor se almacena en la base de datos de conexiones (junctions). La futura modificacin de este valor en webseald.conf no tendr ningn impacto. Cmo cambiar el directorio raz de documentos despus de la instalacin: Despus de la instalacin, deber utilizar el programa de utilidad pdadmin para cambiar el valor de la ubicacin del directorio raz de documentos. El ejemplo siguiente (el nombre de la mquina, o host, es websealA) ilustra este procedimiento: 1. Inicie la sesin en pdadmin:
# pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
2. Utilice el comando server task list para mostrar todos los puntos de conexin (junction) actuales:
pdadmin> server task webseald-websealA list /
3. Utilice el comando server task show para mostrar los detalles de la conexin (junction):
pdadmin> server task webseald-websealA show / Punto de conexin (junction): / Tipo: Local
28
Lmite fijo de conexin (junction): 0 - se utilizar el valor global Lmite dinmico de conexin (junction): 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una nueva conexin (junction) local para sustituir el punto de conexin (junction) actual (la opcin -f es necesaria para forzar una nueva conexin (junction) que sobrescriba una conexin (junction) existente:
pdadmin> server task webseald-websealA create -t local -f -d /tmp/docs / Se ha creado una conexin (junction) en /
Puede cambiar este nombre de archivo si el sitio utiliza un convenio distinto. Por ejemplo:
[content] directory-index = homepage.html
WebSEAL genera dinmicamente un ndice de directorios si el directorio de la peticin no contiene el archivo de ndice definido por el parmetro directory-index. El ndice generado contiene una lista con el contenido del directorio, con vnculos a cada una de las entradas del directorio. El ndice slo se genera si el cliente que solicita acceso al directorio tiene el permiso list (l) en la ACL de ese directorio. Puede configurar los iconos grficos que utiliza WebSEAL para cada tipo de archivo que aparece en el ndice generado. La stanza [content-index-icons] del archivo de configuracin webseald.conf contiene una lista de los tipos MIME de documentos y los archivos .gif asociados que se muestran:
[content-index-icons] image/*= /icons/image2.gif video/* = /icons/movie.gif audio/* = /icons/sound2.gif
29
Esta lista se puede configurar para que especifique otros iconos para cada tipo MIME. Los iconos tambin se pueden ubicar de forma remota. Por ejemplo:
application/* = http://www.acme.com/icons/binary.gif
Tambin se pueden configurar estos valores de iconos adicionales: v Icono utilizado para representar subdirectorios:
[icons] diricon = /icons/folder2.gif
De forma predeterminada, slo los archivos con extensiones que coincidan con las listadas en la stanza se ejecutarn como programas CGI. Si un programa CGI tiene una extensin que no est contenida en esta lista, el programa no se ejecutar. Los archivos con extensiones .exe se ejecutan como programas segn el valor predeterminado de Windows y no requieren ninguna correlacin. Nota: Cuando quiera instalar un archivo .exe en Windows para su descarga, deber cambiar el nombre de la extensin o bien instalar el archivo como parte de un archivador (por ejemplo, .zip). Debe proporcionar los programas intrpretes apropiados para las extensiones que representan los archivos script interpretados. Como ejemplos de esos tipos de extensiones cabe citar: scripts de shell (.sh y .ksh), scripts Perl (.pl) y scripts Tcl (.tcl). El siguiente ejemplo muestra una configuracin tpica de la stanza [cgi-types]:
[cgi-types] bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76
30
Nota: Existen graves problemas de seguridad implicados en el uso de los archivos .bat y .cmd. Utilice esos tipos de archivo con precaucin.
tipo-cach
tamao-cach
Ejemplo:
text/html = memory:2000 image/* = memory:5000 */* = memory:1000
31
Windows:
MSDOS> pdadmin server task webseald-<nombre-mquina> cache flush all
public
32
Utilice los comandos pdadmin pop create, pdadmin pop modify y pdadmin pop attach. El ejemplo siguiente muestra cmo crear una POP denominada doc-cache con el atributo ampliado document-cache-control y cmo asociarla con un objeto (budget.html):
pdadmin> pop create doc-cache pdadmin> pop modify doc-cache set attribute document-cache-control no-cache pdadmin> pop attach /WebSEAL/hostA/junction/budget.html doc-cache
WebSEAL no almacena nunca en la cach el documento budget.html. Cada peticin de este documento debe efectuarse directamente al servidor de fondo donde est ubicado. Los detalles acerca del programa de utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Las especificaciones de tipo MIME en esta stanza determinan qu filtrado adicional realizar WebSEAL en las respuestas de servidores de fondo de conexin (junction). Entre las funciones de filtrado adicionales estn las siguientes: v Filtrado de esquemas de direcciones URL stanza [filter-schemes]en webseald.conf v Filtrado de atributos de direcciones URL Consulte el apartado Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 171. v Filtrado de scripts para direcciones URL absolutas Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 172.
33
Estos archivos se almacenan en el siguiente directorio: UNIX:<ruta-acceso-instalacin>/www/lib/errors/<dir-entornolocal> Windows:<ruta-acceso-instalacin>\www\lib\errors\<dir-entornolocal> El directorio errors contiene varios subdirectorios locales que contienen versiones traducidas de los archivos de mensajes de error. Por ejemplo, la ruta de acceso del directorio para mensajes en ingls de EE.UU. es: UNIX: <ruta-acceso-instalacin>/www/lib/errors/en_US Windows:<ruta-acceso-instalacin>\www\lib\errors\en_US Los mensajes de este directorio estn en formato HTML, por lo que se ven correctamente en un navegador. Puede editar estas pginas HTML para personalizar su contenido. Los nombres de archivo son los valores hexadecimales de los cdigos de error internos que se devuelven cuando fallan las operaciones. Estos nombres no se deben modificar. La tabla siguiente contiene una lista con los nombres de archivo y su contenido de algunos de los mensajes de error ms habituales:
Nombre de archivo 132120c8.html Ttulo La autenticacin no se ha ejecutado correctamente Descripcin No se han podido recuperar las credenciales para el certificado de cliente utilizado. Los motivos posibles son: v El usuario ha proporcionado un certificado incorrecto v Se ha rechazado el certificado v Faltan las credenciales del usuario en la base de datos de autenticacin 38ad52fa.html El directorio no est vaco La operacin indicada solicita la eliminacin de un directorio que no est vaco. Esta operacin no est permitida. Se han sobrepasado los valores de request-max-cache o request-body-max-read. El recurso que ha solicitado requiere que el servidor WebSEAL inicie la sesin en otro servidor web. Sin embargo, ha ocurrido un problema cuando WebSEAL intentaba obtener la informacin. WebSEAL no ha podido localizar el usuario GSO para el recurso solicitado. WebSEAL no ha podido localizar el destino GSO para el recurso solicitado. Hay varios destinos GSO definidos para el recurso solicitado. Se trata de un error de configuracin. Cdigo de error HTTP
38cf013d.html 38cf0259.html
38cf025a.html
El usuario no tiene informacin de inicio de sesin nico No hay ningn destino de inicio de sesin nico del usuario El usuario tiene varios destinos de inicio de sesin
38cf025b.html
38cf025c.html
34
Descripcin Un servidor web de fondo con conexin (junction) protege el recurso solicitado, por lo que WebSEAL debe iniciar la sesin del usuario en ese servidor web. Para ello, el usuario debe iniciar la sesin primero en WebSEAL. El recurso que ha solicitado requiere que WebSEAL inicie la sesin en otro servidor web. Sin embargo, la informacin de inicio de sesin para la cuenta de usuario es incorrecta. WebSEAL ha recibido una tentativa de autenticacin inesperada de un servidor web con conexin (junction). El recurso que ha solicitado ha sido trasladado temporalmente. Esto sucede a menudo si hay alguna redireccin mal manipulada. WebSEAL ha recibido una peticin HTTP incorrecta. El recurso que ha solicitado est protegido por WebSEAL y, para poder acceder al mismo, primero debe iniciar la sesin. El usuario no tiene permisos para acceder al recurso solicitado. No se puede localizar el recurso solicitado. En este momento, no est disponible un servicio que WebSEAL necesita para completar la peticin. El administrador del sistema ha inhabilitado temporalmente el servidor WebSEAL. No se atender ninguna peticin hasta que el administrador vuelva a habilitar el servidor. La interaccin entre navegador/servidor ha sido una sesin con informacin de estado con un servidor de fondo con conexin (junction) que ha dejado de responder. WebSEAL requiere un servicio que se encuentra en dicho servidor para ejecutar la peticin. El servicio que necesita WebSEAL se encuentra en un servidor de fondo con conexin (junction) donde ha fallado la autenticacin mutua SSL. No se ha ejecutado correctamente un programa CGI.
38cf025e.html
38cf025f.html
38cf0421.html
302
38cf0424.html 38cf0425.html
400
38cf0439.html
38cf0442.html
Servicio no disponible
38cf07aa.html default.html
WebSEAL no ha podido ejecutar la peticin debido 500 a un error inesperado. La operacin de supresin (DELETE) iniciada por el cliente se ha ejecutado correctamente. 200
deletesuccess.html Operacin ejecutada putsuccess.html relocated.html websealerror.html Operacin ejecutada Trasladado temporalmente 400 Error del servidor WebSEAL
La operacin de transferencia (PUT) iniciada por el 200 cliente se ha ejecutado correctamente. El recurso que ha solicitado se ha trasladado temporalmente. Error interno del servidor WebSEAL. 302 400
35
El directorio real utilizado se basa en el idioma. El directorio predeterminado para ingls de EE.UU. es:
lib/html/C
36
Parmetro login = login-success = logout = account-locked = passwd-expired = passwd-change = passwd-change-success = passwd-change-failure = help = token-login = next-token = stepup-login =
Pgina login.html login_success.html logout.html acct_locked.html passwd_exp.html passwd.html passwd_rep.html passwd.html help.html tokenlogin.html nexttoken.html stepuplogin.html
Utilizacin Inicio de sesin de formularios Inicio de sesin de formularios Inicio de sesin de formularios Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Cualquier mtodo Inicio de sesin de seales Inicio de sesin de seales Autenticacin incremental
37
Macro %USERNAME% %ERROR% %METHOD% %URL% %HOSTNAME% %HTTP_BASE% %HTTPS_BASE% %REFERER% %BACK_URL% %BACK_NAME%
Descripcin Nombre del usuario conectado Mensaje de error no modificable devuelto por Access Manager Mtodo HTTP solicitado por el cliente. Direccin URL solicitada por el cliente. Nombre de host completo. Direccin URL HTTP base del servidor http://<host>:<puerto-tcp>/. Direccin URL HTTPS base del servidor https://<host>:<puerto-ssl>/. Valor de la cabecera de referente procedente de la peticin o bien Desconocida, si no hay ninguna. Valor de la cabecera de referente procedente de la peticin o bien /, si no hay ninguna. Valor ATRS si hay una cabecera de referente en la peticin o bien INICIO, si no hay ninguna.
38
Es recomendable que solicite un certificado reconocido habitualmente de una entidad emisora de certificados conocida para sustituir este certificado de prueba. La configuracin para la gestin de certificados de WebSEAL incluye: v Configuracin de parmetros de base de datos de claves en la pgina 40 v Utilizacin del programa de utilidad de gestin de certificados iKeyman en la pgina 41 v Configuracin de la comprobacin de CRL en la pgina 42
.sth .rdb
.crl
.arm
39
Descripcin Archivo de reglas de codificacin distinguida. Un archivo .der contiene una representacin binaria de un certificado, incluida la clave pblica, pero no la privada. Es muy parecido al archivo .arm, excepto que la representacin es binaria, no ASCII. Archivo PKCS 12, donde PKCS hace referencia a los Estndares criptogrficos de clave pblica. Un archivo .p12 contiene una representacin binaria de un certificado, incluidas la clave pblica y la clave privada. Un archivo .p12 tambin puede incluir ms de un certificado; por ejemplo, un certificado, el certificado de la CA que emiti el certificado, el emisor del certificado de la CA, su emisor, etc. Como el archivo .p12 contiene una clave privada, su contrasea est protegida.
.p12
Puede usar el programa de utilidad iKeyman para crear una base de datos de claves nueva. Sin embargo, deber especificar el nombre y la ubicacin de ese archivo de claves nuevo en el parmetro webseal-cert-keyfile de manera que WebSEAL pueda encontrar y utilizar los certificados contenidos en esa base de datos. Contrasea del archivo de claves de certificados: Durante la instalacin, WebSEAL proporciona tambin un archivo stash predeterminado que contiene la contrasea para el archivo de claves pdsrv.kdb. El parmetro webseal-cert-keyfile-stash informa a WebSEAL de la ubicacin del archivo stash:
webseal-cert-keyfile-stash = /var/pdweb/www/certs/pdsrv.sth
La contrasea predeterminada cifrada del archivo stash es pdsrv. Tambin puede expresar una contrasea como texto sin formato en el parmetro webseal-cert-keyfile-pwd. Por ejemplo:
webseal-cert-keyfile-pwd = pdsrv
Durante la instalacin, WebSEAL utiliza el archivo stash para obtener la contrasea de archivo de claves. El parmetro webseal-cert-keyfile-pwd est comentado. Si utiliza el archivo stash, podr evitar que la contrasea aparezca como texto en el archivo de configuracin webseald.conf. Nota: Elimine el comentario del parmetro de contrasea especfico que desee utilizar. Si ha especificado la contrasea y el archivo stash, se utilizar el valor de la contrasea. Certificado de prueba de WebSEAL: Durante la instalacin, WebSEAL proporciona un certificado autofirmado de prueba que no es seguro. El certificado de prueba, que funciona como certificado de servidor, permite a WebSEAL identificarse ante los clientes SSL.
40
Para controlar mejor la utilizacin de este certificado de prueba, el certificado no se instala como certificado predeterminado. En su lugar, el parmetro webseal-cert-keyfile-label designa al certificado como certificado de servidor activo, prevaleciendo sobre cualquier otro certificado designado como predeterminado en la base de datos del archivo de claves.
webseal-cert-keyfile-label = WebSEAL
Aunque este certificado de prueba permite a WebSEAL responder a una peticin de navegador habilitado para SSL, el navegador (que no contiene ningn certificado raz de CA apropiado) no lo puede verificar. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Debe usar el programa de utilidad iKeyman para generar una peticin de certificado que se pueda enviar a la CA (entidad emisora de certificados). Utilice iKeyman para instalar y etiquetar el certificado de servidor devuelto. Si utiliza certificados diferentes para otras situaciones (por ejemplo, para conexiones (junction) K), puede utilizar el programa de utilidad iKeyman para crear, instalar y etiquetar estos certificados. La etiqueta del archivo de claves no debe contener espacios. WebSEAL (que se ejecuta de forma predeterminada como user ivmgr) debe disponer de permiso read (r) en esos archivos de base de datos de claves. Comunicacin SSL interna del servidor de Access Manager: La stanza [ssl] del archivo de configuracin webseald.conf contiene cuatro parmetros adicionales que se utilizan para configurar el archivo de claves utilizado por WebSEAL para la comunicacin SSL interna con otros servidores de Access Manager. Slo debe modificar estos parmetros mediante el script de configuracin pdconfig.
[ssl] ssl-keyfile = ssl-keyfile-pwd = ssl-keyfile-stash = ssl-keyfile-label =
41
La comprobacin de CRL est inhabilitada de forma predeterminada (los parmetros estn comentados). Para habilitar la comprobacin de CRL durante la autenticacin de certificados, elimine el comentario de cada uno de los parmetros y especifique los valores apropiados. Un valor vaco para ssl-ldap-user indica que el mecanismo de autenticacin de SSL debe enlazarse al servidor LDAP como usuario annimo.
42
[ssl] gsk-crl-cache-size = 0
Windows:
C:\Archivos de programa\Tivoli\PDWeb\www\log\
Los parmetros para configurar el registro HTTP estndar se encuentran en la stanza [logging] del archivo de configuracin webseald.conf. La tabla siguiente muestra la relacin entre los archivos de registro HTTP y los parmetros del archivo de configuracin:
Archivos de registro request.log referer.log agent.log Parmetro de ubicacin Habilitacin/inhabilitacin de parmetro ( = yes o no) requests-file referers-file agents-file requests referers agents
Por ejemplo, la entrada de la ubicacin predeterminada del archivo request.log aparece de la siguiente manera: UNIX:
requests-file = /var/pdweb/www/log/request.log
Windows:
requests-file = \Archivos de programa\Tivoli\PDWeb\www\log\request.log
Se puede habilitar o inhabilitar cada registro de forma independiente. Si algn parmetro se establece en no, el registro se inhabilita para ese archivo.
43
Una vez habilitado tal como se ha descrito anteriormente, el registro HTTP de WebSEAL lo manipula realmente el mecanismo de registro de eventos de Access Manager, tal como se describe en Configuracin del registro HTTP mediante el registro de eventos en la pgina 46.
Cuando un archivo de registro alcanza el valor especificado (conocido como umbral de creacin), se realiza una copia de seguridad del archivo existente en un archivo con el mismo nombre y con la indicacin anexada de la fecha y la hora actuales. A continuacin se inicia un archivo de registro nuevo. Los distintos valores posibles de max-size se interpretan de la siguiente forma: v Si el valor de max-size es menor que cero (< 0), se crea un archivo de registro nuevo con cada invocacin del proceso de registro y cada 24 horas desde esa instancia. v Si el valor de max-size es igual a cero (= 0), no se crea un nuevo registro y el archivo de registro crece indefinidamente. Si ya existe un archivo de registro, los datos nuevos se agregan a ste. v Si el valor de max-size es mayor que cero (> 0), se crea un nuevo registro cuando el archivo de registro alcanza el valor de umbral configurado. Si ya existe un archivo de registro en el inicio, los datos nuevos se agregan a ste.
Si especifica un valor negativo, se forzar un vaciado cada vez que se escriba un registro.
44
donde: host usuarioaut Especifica la direccin IP de la mquina que realiza la peticin. Este campo toma el valor de la cabecera From: de la peticin HTTP recibida. El valor unauth se utiliza para los usuarios no autenticados. Especifica la fecha y la hora de la peticin. Especifica la primera lnea de la peticin tal como ha llegado del cliente. Especifica el cdigo de estado HTTP enviado a la mquina que realiza la peticin. Especifica el nmero de bytes devueltos a la mquina que realiza la peticin. Este valorel tamao de contenido sin filtrar o un tamao cerose configura con el parmetro log-filtered-pages.
45
Esta informacin es til para realizar un seguimiento de vnculos externos a documentos del espacio web. El registro muestra que el origen indicado por el referente contiene un vnculo a un objeto de pgina. Este registro le permite realizar un seguimiento de vnculos obsoletos y ver quin crea vnculos a sus documentos. El ejemplo siguiente muestra una versin de un archivo referer.log:
http://manuel/maybam/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/pddl/index.html ->/pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html
Consulte el captulo Registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos. Los valores de categora que son adecuados para el registro HTTP incluyen los siguientes: v http Toda la informacin de registro HTTP v http.clf Informacin de peticin HTTP en formato de registro comn v http.ref Informacin de cabecera HTTP Referer v http.agent Informacin de cabecera HTTP User_Agent v http.cof El formato combinado NCSA captura informacin de peticin HTTP (con la indicacin de la hora) y agrega las cadenas de referente y agente citadas al formato de registro comn estndar. Las siguientes configuraciones de agente de registro estn habilitadas cuando los parmetros de registro HTTP de WebSEAL estn habilitados (consulte Configuracin del registro HTTP predeterminado en la pgina 43). Tenga en cuenta que las configuraciones de agente de registro aceptan los valores de los parmetros requests-file, referers-file, agents-file, flush-time y max-size de la stanza [logging] de webseald.conf: request.log (formato de registro comn):
logcfg = http.clf:file path=<requests-file>,flush=<flush-time>, \ rollover=<max-size>,log=clf,buffer_size=8192,queue_size=48
46
referer.log:
logcfg = http.ref:file path=<referers-file>,flush=<flush-time>, \ rollover=<max-size>,log=ref,buffer_size=8192,queue_size=48
Dado que el registro HTTP predeterminado est configurado en una stanza distinta ([logging]) que la configuracin del registro de eventos ([aznapi-configuration]), es posible que haya dos entradas duplicadas para cada evento que aparezcan en un archivo de registro cuando ambos mecanismos de registro estn habilitados. El mecanismo de registro de eventos proporciona mucha ms flexibilidad reuniendo informacin de registro HTTP y personalizando su salida.
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\
El archivo routing es un archivo ASCII que contiene informacin adicional en forma de lneas de comentarios. Las entradas de este archivo de configuracin determinan los tipos de mensajes de servicios que se registran. Para habilitar cualquier entrada, elimine el carcter de comentario (#). El archivo routing incluye las siguientes entradas predeterminadas: UNIX:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:/opt/pdweb/log/notice.log #NOTICE_VERBOSE:FILE.10.100:/opt/pdweb/log/notice.log
Windows:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:%PDWEBDIR%/log/notice.log #NOTICE_VERBOSE:FILE.10.100:%PDWEBDIR%/log/notice.log
Nota: En un sistema Windows, la variable de entorno especial PDWEBDIR se define durante la ejecucin en el directorio de instalacin de WebSEAL. De forma predeterminada, cuando WebSEAL se ejecuta en primer plano, todos los mensajes se envan a la pantalla (STDERR). De forma predeterminada, cuando WebSEAL se ejecuta de fondo, los mensajes se redirigen desde STDERR y se envan al archivo de registro del servidor WebSEAL tal como se ha definido en la stanza [logging] del archivo de configuracin
Captulo 2. Configuracin bsica del servidor
47
webseald.conf:
Servidor Servidor WebSEAL (webseald) Archivo de configuracin webseald.conf Ubicacin del archivo de registro UNIX:[logging] server-log=/var/pdweb/log/webseald.log Windows:[logging] server-log= C:\Archivos de programa\Tivoli\PDWeb\log\webseald.log
Para habilitar verbose.log, descomente de la lnea NOTICE_VERBOSE. La sintaxis FILE del mensaje NOTICE controla la creacin de nuevos archivos de registro y el reciclado de archivos:
FILE.<mx-archivos>.<mx-registros>
El valor de mx-archivos especifica el nmero de archivos que se utiliza. El valor de mx-registros especifica el nmero mximo de entradas por archivo. En el ejemplo predeterminado anterior, FILE.10.100 significa que se han creado 10 archivos, cada uno de ellos con un mximo de 100 entradas. Los archivos se denominan:
notice.log.1 notice.log.2 . . . notice.log.10
Los mensajes se reinician en el primer archivo despus de que el ltimo archivo haya alcanzado su lmite o cuando el servidor se detenga y se reinicie. Cuando se vuelve a utilizar un archivo de registro, se sobrescriben (borran) los registros existentes.
48
49
Las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks] se proporcionan slo a efectos de compatibilidad con versiones anteriores. Es recomendable que no las utilice para llevar a cabo la configuracin de Access Manager.
50
51
Nota: Es muy recomendable que este parmetro slo se modifique para solucionar problemas de rendimiento.
52
Contexto
WebSEAL extrae de su agrupacin de threads de trabajo para procesar mltiples peticiones. El nmero de threads de trabajo disponibles en WebSEAL se especifica con el parmetro worker-threads del archivo de configuracin webseald.conf. Puede ajustar el valor de worker-threads para servir mejor a su implementacin especfica de WebSEAL. Cuando no hay threads de trabajo disponibles para manejar las peticiones entrantes, los usuarios experimentan que un servidor WebSEAL no responde. Los threads de trabajo se utilizan para manejar las peticiones entrantes en las aplicaciones que residen en mltiples servidores de programas de fondo con conexin (junction). Sin embargo, la agrupacin de threads de trabajo se puede vaciar rpidamente si una aplicacin de programa de fondo determinada es especialmente lenta al responder a un alto volumen de peticiones y procesarlas. El vaciado de la agrupacin de threads de trabajo por esta aplicacin hace que WebSEAL no pueda responder a peticiones de servicios en los servidores de aplicaciones con conexin (junction) restantes. Puede configurar lmites globales o por conexin (junction) basados en el nmero de los threads de trabajo utilizadas para las aplicaciones de servicio en mltiples conexiones. Estos lmites permiten que prevalezca la imparcialidad para todas las conexiones (junctions) e impiden que una aplicacin cualquiera pueda reclamar ms threads de trabajo que los que le corresponden.
53
worker-thread-hard-limit, se envan mensajes de error (cada 30 segundos) al archivo de registro de errores de WebSEAL. Adems, se enva al usuario un mensaje 503 Servicio no disponible. Por ejemplo, cuando worker-threads=50, el valor 80 (%) hace que se emitan mensajes de error si la conexin (junction) consume ms de 40 threads de trabajo. Todas las peticiones que representan ms de 40 threads de trabajo en la conexin (junction) se devuelven con un mensaje 503 Servicio no disponible. Estos valores globales se aplican por igual a todas las conexiones (junctions) configuradas. Cuando se configuran estos dos parmetros, es lgico que se establezca el lmite dinmico en un valor inferior al lmite fijo.
Los valores por conexin (junction) siempre prevalecen sobre los valores globales del archivo webseald.conf. Unos valores inadecuados en una conexin (junction) especfica podran afectar negativamente a la poltica establecida por los valores globales.
Esta informacin podra ser til cuando se desea determinar la ubicacin de una conexin (junction) que absorbe ms recursos de thread de trabajo de los que le corresponden. v Si especifica un valor de lmite dinmico que sea mayor que el valor de lmite fijo en una conexin (junction) especfica, esta conexin no se crear.
54
v Debe especificar los valores del lmite tanto fijo como dinmico (las opciones l y L) en una conexin (junction) especfica.
4. Reinicie WebSEAL en WS2. El servidor WS2 utiliza ahora el objeto /WebSEAL/WS1 como base en las evaluaciones de autorizaciones. El servidor WS2 tambin puede responder a los comandos object list y object show para los objetos que residen en /WebSEAL/WS1. El programa de utilidad pdadmin contina mostrando el objeto /WebSEAL/WS2 como parte del espacio de objetos. Este objeto ahora no es significativo y se puede eliminar.
pdadmin> object delete /WebSEAL/WS2
Condiciones: v Gestin del espacio de objetos unificado: Aunque el administrador puede ver una nica jerarqua de objetos, todos los servidores WebSEAL estn afectados por los comandos de administracin aplicados a esa jerarqua de objetos, y todos los servidores pueden responder a esos comandos. v Evaluaciones de autorizaciones unificadas: Si el servidor WS2 se configura como servidor replicado de WS1, el servidor WS2 utiliza /WebSEAL/WS1 como base para las evaluaciones de autorizaciones. v Configuracin unificada: Para que la rplica de servidores WebSEAL frontales funcione correctamente, la configuracin del espacio web, la base de datos de conexiones (junction) y la base de datos dynurl debe ser idntica en cada servidor.
55
Las herramientas de configuracin necesarias para configurar y eliminar la configuracin de mltiples instancias de servidor WebSEAL son, entre otras: v Sistemas UNIX: Programa de utilidad de lnea de comandos PDWeb_config Programa de utilidad de lnea de comandos PDWeb_unconfig Nota: El programa de utilidad pdconfig puede utilizarse para crear la instancia inicial de WebSEAL. La lnea de comandos PDWeb_config debe utilizarse para crear todas las instancias adicionales. En este anlisis de mltiples instancias se supone que el usuario ha configurado un servidor WebSEAL inicial. v Sistemas Windows: Programa de utilidad de lnea de comandos ivweb_setup Programa de utilidad de lnea de comandos ivweb_uninst
Sintaxis de PDWeb_config:
# ./PDWeb_config i <nombre-instancia> m <puerto-interno> [n <interfaz-red>]
56
Argumento nombre-instancia
Descripcin Nombre exclusivo para esta instancia. Debe utilizar este nombre para eliminar la configuracin de la instancia. La longitud de este nombre est limitada a 20 caracteres. Nmero de puerto exclusivo para la comunicacin entre servidores Access Manager. El valor debe ser mayor que 1023. (Los valores menores o iguales que 1023 estn reservados.) Argumento opcional para especificar la direccin IP de una interfaz de red.
puerto-interno
interfaz-red
Nota: El valor del puerto entre servidores especificado por la opcin m debe ser exclusivo para todas las instancias de WebSEAL. Configuracin de mltiples instancias en puertos HTTP/HTTPS exclusivos: 1. Suposicin: la mquina est configurada con un servidor WebSEAL inicial (pdconfig) y una sola tarjeta de red/direccin IP (por ejemplo: 1.2.3.4). 2. Cambie la ubicacin de directorio:
# cd /opt/pdweb/sbin
3. Ejecute el comando PDWeb_config para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante designaciones exclusivas de puerto entre servidores y de puerto de escucha HTTP/HTTPS en la interfaz de red predeterminada. Por consiguiente, no utilice la opcin n para especificar una interfaz de red. Por ejemplo:
# ./PDWeb_config i webseal2 m 3232
5. De forma predeterminada, el servidor WebSEAL inicial escucha las peticiones en *:80 y *:443. Seleccione los elementos de men de los puertos HTTP y HTTPS y proporcione valores exclusivos de puerto que no utilice ningn otro servidor (por ejemplo, 81 y 444). Nota: Aparece un mensaje de aviso si selecciona un valor de puerto que ya se est utilizando. Se le da la oportunidad de seleccionar un valor distinto. 6. Ejecute el comando PDWeb_config para crear y configurar cualquier instancia adicional del servidor WebSEAL (con los puertos entre servidores exclusivos). Por ejemplo:
# ./PDWeb_config i webseal3 m 3233
7. Desde la pantalla de configuracin, configure unos valores exclusivos para los puertos HTTP y HTTPS. Nota: El nmero mximo de instancias permitidas de WebSEAL est regido por las limitaciones de la configuracin del sistema, como la RAM y el
57
espacio de disco disponibles. Si se excede cualquier recurso del sistema, aparecern mensajes de error de configuracin y de anomala de arranque. Configuracin de mltiples instancias en interfaces exclusivas de red lgica: 1. Suposicin: la mquina est configurada con un servidor WebSEAL inicial (pdconfig) y una sola tarjeta de red/direccin IP. 2. De forma predeterminada, el servidor WebSEAL inicial escucha las peticiones en *:80 y *:443. Debe asignar una direccin IP especfica para esta interfaz de red inicial antes de que pueda configurar y ejecutar servidores WebSEAL adicionales. Nota: No se pueden iniciar servidores WebSEAL adicionales si el servidor WebSEAL inicial escucha en *:80 y *:443. 3. Edite el archivo de configuracin webseald.conf y especifique la direccin IP adecuada para el servidor WebSEAL inicial agregando el parmetro network-interface a la stanza [server]. Por ejemplo:
[server] network-interface = 1.2.3.4
5. Para cada instancia adicional del servidor WebSEAL, configure una interfaz de red lgica adicional (alias). Por ejemplo (en la versin 2.8 de Solaris):
# ifconfig hme0 addif 1.2.3.5 netmask w.x.y.z up # ifconfig hme0 addif 1.2.3.6 netmask w.x.y.z up
Nota: Como alternativa, puede asignar cada instancia de WebSEAL a una tarjeta de red fsica preconfigurada exclusiva. 6. Cambie la ubicacin de directorio:
# cd /opt/pdweb/sbin
7. Ejecute el comando PDWeb_config para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante una interfaz de red exclusiva en puertos de escucha entre servidores y HTTP/HTTPS comunes. Por consiguiente, debe utilizar la opcin n. Por ejemplo:
# ./PDWeb_config i webseal2 m 3232 n 1.2.3.5
HP-UX utiliza el nombre de interfaz de red en lugar de la direccin IP. El programa de utilidad PDWeb_config comprueba si la interfaz tiene una direccin IP vlida. 8. Aparece la pantalla de configuracin:
Compruebe la configuracin del servidor web: 1. Habilitar TCP HTTP? S 2. Puerto HTTP 80 3. Habilitar HTTPS? S 4. Puerto HTTPS 443 5. Directorio raz de documentos web /opt/pdweb/www-webseal2/docs a. Aceptar la configuracin y continuar la instalacin x. Salir de la instalacin Seleccione el elemento que desea modificar:
58
9. Acepte los valores de puerto HTTP y HTTPS estndar tal como estn listados. 10. Ejecute el comando PDWeb_config para crear y configurar instancias adicionales de servidor WebSEAL. Por ejemplo:
# ./PDWeb_config i webseal3 m 3233 -n 1.2.3.6
11. Desde la pantalla de configuracin, acepte los valores de puerto HTTP y HTTPS estndar tal como estn listados. Nota: El nmero mximo de instancias permitidas de WebSEAL est regido por las limitaciones de la configuracin del sistema, como la RAM y el espacio de disco disponibles. Si se excede cualquier recurso del sistema, aparecern mensajes de error de configuracin y de anomala de arranque.
M <puerto-interno>
Nota: El valor del puerto entre servidores especificado por la opcin M debe ser exclusivo para todas las instancias de WebSEAL. Configuracin de mltiples instancias en puertos HTTP/HTTPS exclusivos: 1. Suposicin: Windows est configurado con un servidor WebSEAL inicial (pdconfig) y una tarjeta de red fsica/direccin IP (para este ejemplo: 1.2.3.4). 2. Cambie la ubicacin de directorio:
Captulo 3. Configuracin avanzada del servidor
59
3. Ejecute el comando ivweb_setup para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante designaciones exclusivas de puerto entre servidores y de escucha HTTP/HTTPS en una interfaz de red comn. Por consiguiente, no utilice la opcin n para especificar interfaces de red adicionales. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal2 M 3232 -u yes -r 81 -U yes -R 444
Nota: Aparece un mensaje de aviso si selecciona un valor de puerto que ya se est utilizando. Se le da la oportunidad de seleccionar un valor distinto. 4. Ejecute el comando ivweb_setup para crear y configurar instancias adicionales de servidor WebSEAL. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal3 M 3233 -u yes -r 82 -U yes -R 445
Configuracin de mltiples instancias en interfaces exclusivas de red lgica: 1. Suposicin: Windows est configurado con un servidor WebSEAL inicial y una sola tarjeta de red/direccin IP. 2. De forma predeterminada, el servidor WebSEAL inicial escucha las peticiones en *:80 y *:443. Debe asignar una direccin IP especfica para esta interfaz de red inicial antes de que pueda configurar y ejecutar servidores WebSEAL adicionales. Nota: No se pueden iniciar servidores WebSEAL adicionales si el servidor WebSEAL inicial escucha en *:80 y *:443. 3. Edite el archivo de configuracin webseald.conf y especifique la direccin IP adecuada para el servidor WebSEAL inicial agregando el parmetro network-interface a la stanza [server]. Por ejemplo:
[server] network-interface = 1.2.3.4
4. Reinicie el servidor WebSEAL en Servicios del Panel de control. 5. Para cada instancia adicional del servidor WebSEAL, configure una interfaz de red lgica adicional (alias) utilizando Conexiones de red del Panel de control. Por ejemplo (en Windows 2000): a. Panel de control > Conexiones de red b. Haga clic con el botn derecho en Conexiones de rea local y seleccione Propiedades. c. Seleccione Protocolo Internet (TCP/IP). d. Haga clic en Propiedades y seleccione Avanzadas. e. En la ficha Configuracin de IP, haga clic en Agregar. f. g. h. i. Entre una direccin IP para la nueva interfaz de red. Entre una mscara de subred. Haga clic en Agregar. Abra una ventana de indicador de comandos y entre:
MSDOS> ipconfig -all
Todas las interfaces de red deben aparecer en estado de escucha. j. Repita estos pasos para las interfaces de red adicionales. 6. Cambie la ubicacin de directorio:
MSDOS> cd C:\Archivos de programa\Tivoli\PDWeb\bin
60
7. Ejecute el comando ivweb_setup para crear y configurar una instancia adicional de WebSEAL. En este escenario, mltiples instancias de servidor se convierten en exclusivas mediante una interfaz de red exclusiva en puertos de escucha entre servidores y HTTP/HTTPS comunes. Por consiguiente, debe utilizar la opcin n. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal2 M 3232 -u yes -r 80 -U yes \ -R 443 -n 1.2.3.5
8. Ejecute el comando ivweb_setup para crear y configurar instancias adicionales de servidor WebSEAL. Por ejemplo:
MSDOS> ivweb_setup -m xxxxx i webseal3 M 3233 -u yes -r 80 -U yes \ -R 443 -n 1.2.3.6
Windows:
ivweb_uninst -deconfig -m <contrasea-pdadmin> -i <nombre-instancia>
Ejemplos: Iniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb start
61
# /usr/bin/pdweb restart
Windows: Servicios del Panel de control de Windows proporciona informacin de inicio, detencin y estado del servidor. Como alternativa, el comando net proporciona la posibilidad de efectuar un inicio y detencin del servidor WebSEAL inicial y un nmero cualquiera de mltiples instancias de servidor.
net {start|stop} <nombre-instancia>
Ejemplos: Iniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas (debe repetir el comando para cada instancia):
MSDOS> net start webseald MSDOS> net start webseal2 MSDOS> net start webseal3
Detener el servidor WebSEAL inicial y todas las instancias de servidor configuradas (debe repetir el comando para cada instancia):
MSDOS> net stop webseald MSDOS> net stop webseal2 MSDOS> net stop webseal3
62
El cambio de usuario se puede utilizar en un entorno de Panel de ayuda para resolver y diagnosticar los problemas. El cambio de usuario tambin puede utilizarse para probar el acceso de un usuario a los recursos y realizar la prueba de integracin de aplicaciones. Los elementos siguientes resaltan las caractersticas importantes del cambio de usuario: v El cambio de usuario no requiere una contrasea del usuario. v El administrador utiliza una credencial que representa al usuario real. v El cambio de usuario est restringido a los miembros de un grupo especial del administrador. Un administrador no puede cambiar el usuario a ningn otro miembro de este grupo. v Los procesos de Access Manager, sec_master, y otros usuarios seleccionados pueden excluirse de las posibilidades de cambio de usuario mediante la pertenencia a un grupo de exclusin. v Se utiliza un formulario HTML especial para proporcionar informacin de cambio de usuario y activar un mecanismo de autenticacin especial que devuelve la credencial del usuario especificado sin requerir una contrasea. v El administrador utiliza el programa de utilidad pkmslogout para finalizar una sesin de cambio de usuario.
63
gestin de sesiones de usuario. La entrada de cach de sesin se indexa con el mismo ID de sesin utilizado por el administrador antes de la operacin de cambio de usuario.
Figura 15. Intercambio de los datos de cach de administrador y de usuario durante el cambio de usuario
8. WebSEAL enva una redireccin al navegador para la direccin URL de destino proporcionada en el formulario de cambio de usuario. 9. La peticin se procesa normalmente, utilizando la credencial del usuario, y se accede a la direccin URL. El administrador puede continuar haciendo otras peticiones. Todas las decisiones de autorizacin para estas peticiones se basan en la credencial del usuario. 10. El administrador finaliza la sesin de cambio de usuario utilizando el programa de utilidad /pkmslogout estndar de Access Manager. 11. Tras un fin de sesin correcto, los datos de la cach del usuario se suprimen y los datos de cach originales del administrador (y la credencial) se restauran. El administrador se devuelve a la pgina original desde la que se ha solicitado el formulario de cambio de usuario. El servicio de autorizaciones utiliza la credencial original del administrador para todas las peticiones posteriores.
64
v El parmetro mgt-pages-root especifica la ubicacin de subdirectorio para el directorio de localizacin que contiene este archivo:
[acnt-mgt} mgt-pages-root = lib/html/<IDIOMA>
En los sistemas de ingls americano, el directorio IDIOMA se denomina C. v El segmento de la ruta de acceso lib/html es relativo al valor del parmetro server-root : UNIX:
[server] server-root = /opt/pdweb/www
Windows:
[server] server-root = C:/Archivos de programa/Tivoli/PDWeb/www
El formulario de cambio de usuario puede editarse para el aspecto y la funcionalidad personalizados. El formulario contiene peticiones para: v Nombre de usuario (el administrador cambia a este usuario) Este usuario no puede ser miembro de los grupos su-excluded, su-admins o securitygroup. v Direccin URL de destino Esta pgina aparece despus de una operacin correcta de cambio de usuario. Puede configurarla como una entrada oculta que contiene una pgina de presentacin adecuada o una pgina de confirmacin correcta de cambio de usuario. v Mtodo de autenticacin El mtodo de autenticacin determina el tipo de informacin utilizado para crear la credencial de usuario. Puede configurar este campo como una entrada oculta. Consulte las notas siguientes para crear una lista de los parmetros vlidos de mtodo de autenticacin. El formulario predeterminado de cambio de usuario tiene el siguiente aspecto:
65
Notas de formulario de cambio de usuario: v El formulario slo est disponible para los miembros del grupo su-admins. No es necesaria una ACL en este archivo. WebSEAL realiza una comprobacin no modificable de pertenencia a grupos. WebSEAL devuelve un error 404 No encontrado cuando falla la comprobacin de pertenencia a grupos. v El nombre de usuario, la direccin URL de destino y el mtodo de autenticacin son datos necesarios. v Los datos necesarios se pueden incorporar en el formulario como campos ocultos. v WebSEAL verifica que todos los datos necesarios estn presentes en el formulario sometido. Si faltan datos, se devuelve el formulario al administrador con un mensaje descriptivo. v Los valores vlidos para el mtodo de autenticacin son:
su-ba su-forms su-certificate su-token-card su-http-request su-cdsso
Estos parmetros del mtodo de autenticacin especifican qu mecanismo de autenticacin debe utilizar WebSEAL. v Los mtodos su-ba y su-forms se correlacionan con el mecanismo de autenticacin su-password especificado en el archivo de configuracin webseald.conf. v Los datos del formulario de cambio de usuario se someten a la direccin URL de accin /pkmssu.form.
66
estn excluidos de la funcionalidad de cambio de usuario. Habitualmente, sec_master y los procesos de Access Manager son miembros de securitygroup. Durante el cambio de usuario, WebSEAL realiza comprobaciones en los tres grupos. No se puede cambiar a un usuario que sea miembro de los grupos su-admins, su-excluded o securitygroup.
Access Manager proporciona una sola biblioteca de cambio de usuario que puede utilizarse para habilitar uno cualquiera de los mecanismos de autenticacin anteriores en un entorno predeterminado y no personalizado. La biblioteca de cambio de usuario difiere de las bibliotecas de autenticacin estndar. La biblioteca especifica un mecanismo de autenticacin que toma la identidad de usuario (proporcionada en el formulario de cambio de usuario) y devuelve una credencial vlida para ese usuario sin que se necesite la contrasea de usuario para efectuar la entrada. La biblioteca compartida de cambio de usuario incorporada que se proporciona con Access Manager se denomina:
Solaris AIX HP-UX Windows libsuauthn.so libsuauthn.a libsuauthn.sl suauthn.dll
La funcionalidad de cambio de usuario tambin da soporte a mecanismos de autenticacin de CDAS personalizados. Este soporte es importante porque, a menudo, un CDAS personalizado proporciona informacin adicional a la credencial del usuario. El usuario es responsable de escribir un CDAS de cambio de usuario personalizado que emule el comportamiento del CDAS existente, al tiempo que da soporte al requisito de devolver una credencial sin necesitar la contrasea de usuario para la entrada. Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference.
67
Cada biblioteca configurada de autenticacin de cambio de usuario debe denominarse de manera exclusiva, incluso cuando se utilice la biblioteca predeterminada (libsuauthn) para ms de un mtodo de autenticacin.
Ejemplo
En el ejemplo siguiente (para una plataforma Solaris), un entorno existente tiene habilitados tres mtodos de autenticacin: 1. Autenticacin de formularios utilizando la biblioteca libldapauthn incorporada 2. Autenticacin de certificados utilizando la biblioteca libsslauthn incorporada 3. Autenticacin de seal utilizando un mecanismo de CDAS personalizado El entorno se ampla para dar soporte a la funcionalidad de cambio de usuario para cualquiera de estos tres mtodos de autenticacin. En el archivo de configuracin webseald.conf deben habilitarse tres parmetros adicionales de autenticacin para el cambio de usuario. Adems, debe escribirse una nueva biblioteca CDAS personalizada para emular el CDAS de seal existente y dar soporte a los requisitos de autenticacin del cambio de usuario:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so token-cdas = /opt/PolicyDirector/lib/libcustom.so su-password = /opt/PolicyDirector/lib/libsuformauthn.so su-certificate = /opt/PolicyDirector/lib/libsucert.so su-token-card = /opt/PolicyDirector/lib/libsucustom.so
Recuerde que el mtodo de autenticacin su-forms proporcionado en el formulario de cambio de usuario se correlaciona con el parmetro del mecanismo de autenticacin su-password de webseald.conf. Adems, se ha cambiado el nombre de la biblioteca libsuauthn que se proporciona tanto para los formularios como para los mecanismos de certificado.
68
Los componentes de identidad xauthn_browser_info, xauthn_qop y xauthn_ipaddr representan los del administrador, no los del usuario al que se ha cambiado. Estos datos se proporcionan para cualquier CDAS que deba realizar validaciones adicionales de la cuenta del administrador. Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference para obtener informacin completa y material de consulta relativo a la escritura de un CDAS personalizado.
Puede designar niveles de autenticacin incremental utilizando la opcin l seguida del nmero de nivel. Por ejemplo:
su-password = /opt/PolicyDirector/lib/libsuformauthn.so& -l 1 su-certificate = /opt/PolicyDirector/lib/libsucert.so& -l 0 su-token-card = /opt/PolicyDirector/lib/libsucustom.so& -l 2
Nota: Para esta versin de Access Manager, el administrador debe saber la contrasea del usuario para realizar correctamente la autenticacin incremental.
69
Nota: Para esta versin de Access Manager, el administrador debe saber la contrasea del usuario al que se ha cambiado para realizar una reautenticacin correcta.
70
consulta y todas las cabeceras HTTP (incluyendo las cookies). Estos datos se almacenan temporalmente en la cach de credenciales/sesin de WebSEAL. Tras realizar un autenticacin (o reautenticacin) correcta, WebSEAL enva una redireccin HTTP al navegador. El navegador sigue la redireccin hasta la direccin URL original contenida en la redireccin. WebSEAL intercepta la redireccin y vuelve a crear la peticin utilizando los datos de la cach. La peticin que se ha vuelto a crear se entrega a la direccin URL de destino. El siguiente diagrama muestra un flujo de proceso tpico de almacenamiento en la cach de peticiones del servidor: 1. El usuario inicia la sesin correctamente (autenticacin de formularios) y enva una peticin HTTP de un recurso que implica un formulario de datos generado con CGI. WebSEAL crea un ID de sesin para el usuario y lo almacena en la cach. 2. El servidor de aplicaciones de fondo devuelve el formulario al usuario. 3. Durante el perodo de tiempo que el usuario tarda en rellenar el formulario, caduca el tiempo de espera de sesin configurado para el usuario. WebSEAL elimina la entrada de cach de credenciales del usuario y el ID de sesin. 4. Finalmente, el usuario enva el formulario completado (POST). WebSEAL no encuentra ninguna entrada de cach para el usuario, crea una cach nueva y almacena en ella temporalmente la informacin completa contenida en la peticin POST. 5. Dado que WebSEAL no encuentra credenciales para este usuario, ste se debe autenticar. WebSEAL enva un formulario de inicio de sesin al usuario. 6. El usuario devuelve el formulario de inicio de sesin completado a WebSEAL (POST). La autenticacin es correcta. La cach contiene ahora las credenciales del usuario, as como la peticin almacenada en la cach. 7. WebSEAL enva una redireccin HTTP de vuelta al navegador, que contiene la direccin URL del recurso solicitado originalmente. 8. El navegador sigue la redireccin (GET). WebSEAL intercepta la redireccin y vuelve a crear la peticin (formulario) original utilizando los datos de POST de la cach. La peticin (formulario) restaurada se entrega a la designacin de la direccin URL.
71
Figura 17. Ejemplo de flujo de proceso de almacenamiento en la cach de una peticin de WebSEAL
Tal como se describe a continuacin, debe tener en cuenta el valor del parmetro request-body-max-read al especificar request-max-cache. request-body-max-read El parmetro request-body-max-read especifica el tamao mximo del cuerpo de mensaje de la peticin, en bytes, que WebSEAL almacena en la cach para cada
72
peticin. Este parmetro influye particularmente en los tipos de peticin que contienen datos de cuerpo de mensaje, como las peticiones POST y PUT. Por ejemplo:
[server] request-body-max-read = 4096
Este parmetro no limita el tamao mximo de POST (que es ilimitado) para las peticiones que no requieren autenticacin. Tenga en cuenta que el valor de request-max-cache debe acomodar correctamente el valor de request-body-max-read ms el tamao de todos los dems componentes de la peticin. Por ejemplo, si especifica 2048 como lmite de la cach para los cuerpos de mensajes de las peticiones y prev que el tamao mximo de todos los dems componentes de la peticin (tales como cabeceras y cookies) ser de 4096 bytes, entonces: 1. Defina request-body-max-read = 2048 2. Defina request-max-cache = 2048 + 4096 = 6144 Si se han excedido los valores de request-body-max-read o request-max-cache durante una peticin, WebSEAL anula el proceso de almacenamiento en la cach de la peticin, devuelve al navegador un mensaje de error Error en el almacenamiento en cach de la peticin y escribe el error en el archivo de registro. Puede personalizar este mensaje de error. Consulte el apartado Gestin de pginas personalizadas de mensajes de error HTTP en la pgina 33.
Notas y limitaciones
v El valor de request-body-max-read influye tambin en las peticiones de direccin URL dinmica porque la parte de consulta de la peticin POST est contenida en el cuerpo del mensaje de la peticin. v El valor de request-body-max-read influye tambin en la autenticacin de formularios, ya que pone un lmite al tamao de los datos de POST que se procesan durante la autenticacin. v Los parmetros request-body-max-read y request-max-cache protegen a WebSEAL de ataques del tipo de denegacin de servicio, que hacen que WebSEAL almacene en la cach ms datos de los que puede gestionar. v El almacenamiento en la cach de la peticin del servidor no funcionar correctamente si el valor de tiempo de espera de la sesin del usuario caduca durante el proceso de inicio de sesin. En esta situacin, se pierde la entrada de la cach. v El almacenamiento en la cach de la peticin en el servidor puede causar limitaciones en la capacidad del navegador de manipular el recurso. El navegador no sabe que WebSEAL ha vuelto a crear la redireccin HTTP. Por consiguiente, la funcin de recarga y renovacin y la capacidad de almacenamiento en la cach del navegador pueden quedar afectadas.
73
caracteres ASCII imprimible suelen ser necesarios en las direcciones URL. Estos caracteres pueden codificarse utilizando caracteres imprimibles para su transmisin e interpretacin. Hay varios mtodos distintos de codificacin para transmitir caracteres fuera del rango permitido. A pesar de las especificaciones HTTP, hay tambin numerosos servidores web comerciales que simplemente toleran y aceptan los caracteres que se encuentran fuera del rango vlido. WebSEAL, al actuar como proxy de web, debe ser capaz de gestionar todos estos casos. El mtodo de codificacin de caracteres que goza de una aceptacin ms amplia (estndar de facto) es UTF-8. Muchos servidores web comerciales actuales pueden configurarse para que acepten la codificacin UTF-8. El parmetro utf8-url-support-enabled de la stanza [server] del archivo de configuracin webseald.conf controla cmo WebSEAL interpreta las direcciones URL enviadas desde los navegadores. El parmetro reconoce tres valores: v yes WebSEAL slo reconoce la codificacin UTF-8 en las cadenas de direcciones URL y descodifica la informacin al juego de caracteres nativo (pgina de cdigos local). No se aceptan otras tcnicas de codificacin, como el juego de caracteres de doble byte (DBCS) y Unicode. v no WebSEAL no reconoce la codificacin UTF-8 en las cadenas de las direcciones URL. Ninguna informacin codificada con UTF-8 se interpretar correctamente. Se aceptan otras tcnicas de codificacin. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres lingsticos (DBCS y Unicode). WebSEAL procesa correctamente cualquier codificacin UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como DBCS o Unicode. Cuando utf8-url-support-enabled se establece en yes (valor predeterminado), WebSEAL supone que las direcciones URL pueden incluir caracteres codificados UTF-8. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta a la hora de determinar los derechos de acceso a la direccin URL. La direccin URL se normaliza (es decir, los caracteres codificados se convierten a sus equivalentes de la pgina de cdigos local) y la comprobacin de ACL se aplica a la direccin URL normalizada. El valor predeterminado no permite las direcciones URL con caracteres DBCS o Unicode con el formato %uXXXX. sta es la configuracin recomendada para WebSEAL. Algunas aplicaciones y servidores web existentes no funcionan correctamente con WebSEAL si est habilitado el soporte para UTF-8, ya que estas aplicaciones utilizan DBCS (como Shift-JIS) en la direccin URL u otros mecanismos de codificacin. Si es ste el caso de su despliegue, tiene que realizar las dos tareas siguientes: 1. Edite webseald.conf y establezca el nuevo parmetro de la manera siguiente:
utf8-url-support-enabled = no
2. Asegrese de que todos los servidores con conexin NO aceptan direcciones URL con codificacin UTF-8. Desde la perspectiva de la seguridad, es importante que WebSEAL interprete las direcciones URL de la misma manera que los servidores con conexin (junction).
74
La estrategia de despliegue recomendada es la siguiente: 1. A menos que se necesite con fin al contenido, comprobar y establecer inmediatamente la poltica de ACL default-webseal en los despliegues de produccin existentes NO permite el acceso r no autenticado. Este hecho limita la exposicin de seguridad a los usuarios que tienen una cuenta vlida en el dominio de Access Manager. 2. Asegrese de que el parmetro utf8-url-support-enabled se establece en el valor predeterminado, yes. 3. Pruebe las aplicaciones. Si funcionan correctamente, utilice este valor. 4. Si falla alguna aplicacin con errores de Peticin errnea, vuelva a intentar la aplicacin estableciendo el parmetro utf8-url-support-enabled en no. Si esto funciona correctamente, puede realizar el despliegue con el parmetro establecido en no. Sin embargo, tambin debe asegurarse de que no haya ningn servidor web con conexin (junction) que est configurado para aceptar direcciones URL con codificacin UTF-8.
Contexto
El script de sitios cruzados es un tipo especfico de vulnerabilidad de los servidores web que se produce cuando una peticin de direccin URL del cliente incluye un script malicioso incorporado. Por ejemplo (Javascript):
<script>cdigo_malicioso</script>
Otros indicadores de script que pueden utilizarse para crear vulnerabilidad son <OBJECT>, <APPLET> y <EMBED>. Cuando un usuario hace clic en un vnculo que contiene el cdigo malicioso (o entra directamente en una direccin URL de este tipo), el script se ejecuta cuando el navegador del usuario lee el HTML. Por ejemplo, puede producirse un ataque cuando un usuario hace clic en un vnculo que contiene la direccin URL siguiente:
https://<host-webseal>/<script>cdigo_malicioso</script>
En este ejemplo, el objeto no se encuentra y WebSEAL responde devolviendo una pgina de error 404 Pgina no encontrada de HTML. Esta pgina de error incluye la direccin URL que contiene el Javascript malicioso. El navegador interpreta la direccin URL y ejecuta el script. Consulte la siguiente lista de advertencias del CERT para obtener informacin completa acerca de la mecnica de los scripts de sitios cruzados y tomar medidas preventivas de carcter general: http://www.cert.org/advisories/CA-2000-02.html
75
Si WebSEAL detecta cualquier fragmento de cadena configurado en la direccin URL solicitada, la direccin URL no se considera vlida y no se acepta. WebSEAL devuelve una pgina de error 400 Peticin errnea. Este flexible mecanismo permite gestionar futuros esquemas de ataque al agregar valores adicionales de subcadenas. WebSEAL filtra, de forma predeterminada, las cadenas que contienen <script>. No es necesario que se agregue manualmente la stanza [illegal-url-substrings] para filtrar esta cadena en particular. No obstante, cuando se requiere un filtrado adicional, debe crear la stanza y listar individualmente todas las subcadenas, como en el ejemplo anterior. Para inhabilitar por completo la caracterstica de filtrado de cadenas de direcciones URL (incluido el comportamiento predeterminado), ponga una stanza [illegal-url-substrings] vaca en el archivo webseald.conf. Notas funcionales: v Las subcadenas se localizan mediante una bsqueda no sensible a maysculas y minsculas v El filtrado de subcadenas acomoda caracteres de mltiples bytes v El mecanismo protege a los servidores con conexin (junction)
Por razones de seguridad, puede que prefiera que WebSEAL suprima esta informacin en sus respuestas a los clientes. Para suprimir la identidad del servidor en las respuestas del servidor HTTP, establezca el parmetro suppress-server-identity en la stanza [server] del archivo de configuracin webseald.conf en yes:
76
77
Argumento componente
Descripcin Nombre del componente de estadsticas. Necesario. Las estadsticas se recopilan en la memoria de WebSEAL para este componente. Las estadsticas para este componente tambin se pueden registrar en un archivo de registro especificando los argumentos opcionales de este comando. El intervalo de tiempo entre informes de informacin. Este argumento es opcional y produce como resultado que se enven las estadsticas a un archivo de registro. Cuando se especifica esta opcin, las estadsticas se envan, de forma predeterminada, a la salida estndar del servidor WebSEAL, que es el archivo de registro de WebSEAL. Para especificar otra ubicacin de salida, utilice el argumento agentereg. Si no se especifica intervalo, no se envan estadsticas a ningn archivo de registro. Sin embargo, el componente de estadsticas seguir habilitado. Puede obtener informes de forma dinmica en cualquier momento mediante pdadmin stats get. Recuento de informes enviados a un archivo de registro. Este argumento es opcional y requiere que se especifique el argumento intervalo. Si se especifica intervalo sin nmero, la duracin del informe es indefinida. Despus de alcanzar el valor de recuento, se detiene el informe a un archivo de registro. Sin embargo, el componente de estadsticas seguir habilitado. Puede obtener informes de forma dinmica en cualquier momento mediante pdadmin stats get. Especifica de forma opcional un destino para la informacin estadstica recopilada para el componente especificado. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin.
intervalo
recuento
agentereg
Nota: De manera predeterminada, los componentes pdweb.threads, pdweb.doccache y pdweb.jmt tambin se habilitan y no se pueden inhabilitar. Consulte tambin el apartado Habilitacin esttica de estadsticas mediante el registro de eventos en la pgina 85. Ejemplo 1: Este ejemplo habilita el componente pdweb.http. Dado que no se ha especificado la opcin intervalo, slo se puede obtener informacin estadstica para este componente de forma dinmica utilizando pdadmin stats get.
pdadmin> server task webseald-<instancia> stats on pdweb.http
Ejemplo 2: Este ejemplo habilita el componente pdweb.http. Dado que se ha especificado el argumento intervalo, la informacin se enva (de forma predeterminada) al archivo de registro estndar de WebSEAL. Los argumentos intervalo y recuento hacen que el archivo de registro acumule 100 entradas que representan informes de estadsticas con 20 segundos de diferencia.
pdadmin> server task webseald-<instancia> stats on pdweb.http 20 100
78
Ejemplo 3: Este ejemplo habilita el componente pdweb.http. El argumento agentereg utiliza la configuracin de registro de eventos para especificar un archivo de destino para la informacin estadstica. Cada 20 segundos y de forma indefinida, el argumento intervalo (sin el valor de recuento) enva informacin estadstica para este componente al archivo de registro. El crecimiento del archivo de registro est controlado por el parmetro rollover_size. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos.
pdadmin> server task webseald-<instancia> stats on pdweb.http 20 file path=/tmp/jmt-stats.log,rollover_size=-1,flush_interval=20
Ejemplo 4: Este ejemplo ilustra una limitacin de la gestin dinmica de estadsticas. El primer comando habilita el componente pdweb.http y dirige la informacin de estadsticas al archivo A.log. El segundo comando intenta activar un segundo archivo de registro, B.log. No obstante, esta accin produce finalmente como resultado la desactivacin de A.log , al tiempo que se activa B.log.
pdadmin> server task webseald-<instancia> stats on pdweb.http 20 file path=/tmp/A.log pdadmin> server task webseald-<instancia> stats on pdweb.http 20 file path=/tmp/B.log
Inhabilitar estadsticas
Inhabilita la recopilacin de estadsticas para un componente o para todos los componentes a la vez.
stats off [<componente>]
Ejemplo:
pdadmin> server task webseald-<instancia> stats off pdweb.sescache
Nota: De forma predeterminada, los componentes pdweb.threads, pdweb.doccache y pdweb.jmt estn siempre habilitados y no se pueden inhabilitar.
Ejemplo 1:
pdadmin> server task webseald-<instancia> stats show pdweb.authn pdweb.doccache pdweb.jmt pdweb.sescache pdweb.threads
Ejemplo 2:
pdadmin> server task webseald-<instancia> stats show pdweb.authn pdweb.authn
79
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.threads active:4 total:50
Ejemplo:
pdadmin> server task webseald-<instancia> stats reset pdweb.threads
Ejemplo:
pdadmin> server task webseald-<instancia> stats list pd.ras.stats.monitor pd.log.EventPool.queue pd.log.file.clf pd.log.file.ref pd.log.file.agent pdweb.authn pdweb.authz pdweb.http pdweb.https pdweb.threads pdweb.jmt pdweb.sescache pdweb.doccache pdweb.jct.1
Componente pdweb.authn
El componente de estadsticas pdweb.authn recopila informacin relativa a la autenticacin de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo pass fail pwd exp max avg total Descripcin Nmero total de autenticaciones correctas Nmero total de autenticaciones incorrectas Nmero total de intentos de autenticacin efectuados con una contrasea caducada Perodo mximo de tiempo para un solo proceso de autenticacin. Perodo medio de tiempo para un solo proceso de autenticacin. Perodo de tiempo total para todo el proceso de autenticacin
80
Ejemplo:
pdadmin> pass fail pwd exp max avg total server task webseald-<instancia> stats get pdweb.authn : 2 : 1 : 0 : 0.178 : 0.029 : 0.382
Componente pdweb.authz
El componente de estadsticas pdweb.authz recopila informacin relativa a la autorizacin de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo pass fail Descripcin Nmero total de peticiones de autorizacin correctas (a cuntos recursos se ha accedido correctamente) Nmero total de autorizaciones incorrectas
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.authz pass : 2 fail : 1
Componente pdweb.http
El componente de estadsticas pdweb.http recopila informacin relativa a la comunicacin HTTP de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo reqs max-worker total-worker max-webseal Descripcin Nmero total de peticiones HTTP recibidas Perodo mximo de tiempo utilizado por un solo thread de trabajo para procesar una peticin HTTP Perodo de tiempo total utilizado por todos los threads de trabajo que procesan peticiones HTTP Perodo mximo de tiempo utilizado para procesar una sola peticin HTTP, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin Perodo total de tiempo utilizado para procesar todas las peticiones HTTP, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin
total-webseal
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.http reqs : 0 max-worker : 0.000 total-worker : 0.000 max-webseal : 0.000 total-webseal : 0.000
Componente pdweb.https
El componente de estadsticas pdweb.https recopila informacin relativa a la comunicacin HTTPS de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Captulo 3. Configuracin avanzada del servidor
81
Descripcin Nmero total de peticiones HTTPS recibidas Perodo mximo de tiempo utilizado por un solo thread de trabajo para procesar una peticin HTTPS Perodo de tiempo total utilizado por todos los threads de trabajo que procesan peticiones HTTPS Perodo mximo de tiempo utilizado para procesar una sola peticin HTTPS, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin Perodo total de tiempo utilizado para procesar todas las peticiones HTTPS, medido dentro del thread de trabajo, despus de haber ledo las cabeceras de peticin y eliminando la actividad general de configuracin de la conexin
total-webseal
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.https reqs : 0 max-worker : 0.000 total-worker : 0.000 max-webseal : 0.000 total-webseal : 0.000
Componente pdweb.threads
El componente de estadsticas pdweb.threads recopila informacin relativa a la actividad de los threads de trabajo de WebSEAL. Este componente est siempre habilitado de forma predeterminada y no se puede inhabilitar. La tabla siguiente describe los tipos de informacin disponibles:
Tipo active total Descripcin Nmero total de threads de trabajo activos que gestionan peticiones Nmero total de threads de trabajo configurados
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.threads active : 0 total : 50
Componente pdweb.jmt
El componente de estadsticas pdweb.jmt recopila informacin relativa a la tabla de correlacin de conexiones (junctions) WebSEAL. Este componente est siempre habilitado de forma predeterminada y no se puede inhabilitar. La tabla siguiente describe los tipos de informacin disponibles:
Tipo hits Descripcin Nmero total de peticiones que necesitaban la correlacin de direcciones URL a travs de la tabla de correlaciones de conexin (junction)
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.jmt hits : 5
82
Componente pdweb.sescache
El componente de estadsticas pdweb.sescache recopila informacin relativa a la actividad de cach de sesin/credenciales de WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo hit Descripcin El nmero de peticiones que han dado como resultado un acierto de la cach de sesin, es decir, el usuario tena una entrada en la cach de sesin y sta se ha referenciado correctamente Nmero de peticiones que han fallado un acierto de cach de sesin Nmero de entradas que se han agregado a la cach de sesin Nmero de entradas que se han suprimido de la cach Nmero de entradas eliminadas de la cach debido a que ha caducado el valor de tiempo de espera de inactividad Nmero de entradas eliminadas de la cach debido a que ha caducado el valor de tiempo de espera de duracin Nmero de veces que una entrada de cach de Utilizado en fecha menos reciente ha caducado o se ha eliminado para crear espacio para una entrada nueva.
Ejemplo:
pdadmin> server task webseald-<instance> stats get pdweb.sescache hit : 0 miss : 0 add : 0 del : 0 inactive : 0 lifetime : 0 LRU expired : 0
Componente pdweb.doccache
El componente de estadsticas pdweb.doccache recopila informacin relativa a la actividad de almacenamiento en la cach de documentos de WebSEAL. Este componente informa de estadsticas para todos los tipos MIME habilitados en la stanza [content-cache] del archivo de configuracin webseald.conf. Este componente est siempre habilitado de forma predeterminada y no se puede inhabilitar. La tabla siguiente describe los tipos de informacin global disponibles para todos los tipos MIME:
Tipo Descripcin
General Errors (Errores Nmero de errores sobre los que ha informado el componente generales) pdweb.doccache cuando haya anomalas de asignacin de memoria, anomalas de inicializacin y valores de cabecera de tipo MIME no vlidos. Uncachable (No almacenable en cach) Pending Deletes (Supresiones pendientes) Tamao pendiente Nmero de instancias en que no hay ninguna cach definida para el tipo MIME del documento que se ha de almacenar en cach Nmero de entradas marcadas para su supresin, pero que todava se estn utilizando Nmero de bytes utilizados por las entradas marcadas para su supresin, pero que todava se estn utilizando
Captulo 3. Configuracin avanzada del servidor
83
Descripcin Nmero de veces que se busca una direccin URL en la cach de documentos y no se encuentra. Un documento encontrado en la cach elimina la necesidad de acceder de nuevo al documento real. El tipo MIME de documentos almacenados en esta cach.
Deletes (Supresiones) Nmero de entradas de cach suprimidas porque la entrada ha caducado o la creacin se ha anulado Updates (Actualizaciones) Too big errors (Errores de demasiado grande) Nmero de entradas de las que se ha actualizado la fecha de caducidad Nmero de intentos de almacenar documentos en la cach que exceden el tamao mximo de la entrada (y, por consiguiente, no se almacenan en la cach)
MT errors (Errores de Nmero de veces que ms de un thread intenta crear la misma MT) entrada en la cach (MT=Mltiples threads)
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.doccache General Errors : 0 Uncachable : 0 Pending Deletes: 0 Pending Size : 0 Misses : 0 Cache MIME type : text/html Max size : 2048000
84
Max entry size Size Count Hits Stale hits Create waits Cache no room Additions Aborts Deletes Updates Too big errors MT errors
: : : : : : : : : : : : :
128000 0 0 0 0 0 0 0 0 0 0 0 0
Componente pdweb.jct.#
El componente de estadsticas pdweb.jct.# recopila informacin relativa a las conexiones (junctions) WebSEAL. La tabla siguiente describe los tipos de informacin disponibles:
Tipo [/] reqs max total Descripcin Nombre real de la conexin (junction) (listado como un nmero en el comando) Nmero total de peticiones direccionadas a travs de esta conexin (junction) Perodo mximo de tiempo consumido en una sola peticin a travs de esta conexin (junction) Perodo de tiempo total consumido por las peticiones a travs de esta conexin (junction)
Ejemplo:
pdadmin> server task webseald-<instancia> stats get pdweb.jct.1 [/] reqs : 0 max : 0.000 total : 0.000
Consulte Habilitar estadsticas dinmicamente en la pgina 77 para obtener informacin sobre los argumentos intervalo y recuento. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos.
85
Ejemplo 1: En este ejemplo, el parmetro stats habilita el componente y cualquier argumento intervalo y recuento. El parmetro logcfg especifica el destino de esta informacin. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin.
[aznapi-configuration] stats = pdweb.jmt 20 logcfg = stats.pdweb.jmt:file path=/tmp/jmt.log,rollover_size=-1,flush=20
Ejemplo 2: En este ejemplo, varios parmetros stats habilitan varios componentes. Varios parmetros logcfg especifican varios destinos. Tenga en cuenta que, a diferencia del comando stats on dinmico, puede especificar varios archivos de destino para el mismo componente. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin del registro de eventos.
[aznapi-configuration] stats = pdweb.jmt 20 stats = pdweb.authn 40 stats = pdweb.jct.1 50 logcfg = stats.pdweb.jmt:file path=/tmp/jmtA.log,rollover_size=-1,flush=20 logcfg = stats.pdweb.jmt:file path=/tmp/jmtB.log,rollover_size=-1,flush=20 logcfg = stats.pdweb.authn:file path=/tmp/an.log,rollover_size=-1,flush=20 logcfg = stats.pdweb.jct.1:file path=/tmp/jct.log,rollover_size=-1,flush=20
86
trace list
Habilitar rastreo
Utilice el comando pdadmin trace set para habilitar la recopilacin de informacin de rastreo para el componente y nivel especificados.
trace set <componente> <nivel> [<agentereg>] Argumento componente nivel Descripcin Nombre del componente de rastreo. Necesario. Los componentes especficos de WebSEAL tienen el prefijo pdweb. Nivel de informe. Necesario. El argumento de nivel especifica la cantidad de detalles recopilados por el programa de utilidad trace. El rango es de 1 a 9. El nivel 1 especifica la salida ms detallada y el nivel 9 especifica la salida menos detallada. Especifica de forma opcional un destino para la informacin de rastreo recopilada para el componente especificado. Consulte el captulo Utilizacin del registro de eventos de la publicacin IBM Tivoli Access Manager Base Gua del administrador para obtener detalles completos sobre la configuracin.
agentereg
Ejemplo:
pdadmin> server task webseald-<instancia> trace set pdweb.debug 2 pdadmin> server task webseald-<instancia> trace show pdweb.debug 2
87
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 Accept: text/xml, application/xml, application/xhtml+xml, text/html;q=0.9, image/png, image/jpeg, image/gif;q=0.2, text/plain;q=0.8, text/css, */*;q=0.1 Accept-Language: en-us Accept-Encoding: gzip, deflate, compress;q=0.9 Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 Keep-Alive: 300 Connection: keep-alive --------------------------------------------------/src/wand/wand/log.c:277: -------------- PD ===> BackEnd -------------Thread_ID:17 GET /index.html HTTP/1.1 via: HTTP/1.1 bevan:443 host: mokum.santacruz.na.tivoli.com user-agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1 accept: text/xml, application/xml, application/xhtml+xml, text/html;q=0.9, image/png, image/jpeg, image/gif;q=0.2, text/plain;q=0.8, text/css, */*;q=0.1 accept-language: en-us accept-charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 accept-encoding: gzip, deflate, compress;q=0.9 keep-alive: 300 connection: close --------------------------------------------------/src/wand/wand/log.c:277: -------------- PD <=== BackEnd -------------Thread_ID:17 content-type: text/html date: Mon, 25 Mar 2002 19:48:32 GMT content-length: 7017 etag: "0-1b69-3b688e48" last-modified: Thu, 02 Aug 2001 00:18:32 GMT server: IBM_HTTP_SERVER/1.3.19 Apache/1.3.20 (Win32) connection: close accept-ranges: bytes --------------------------------------------------/src/wand/wand/log.c:277: -------------- Browser <=== PD -------------Thread_ID:17 HTTP/1.1 200 Document follows content-type: text/html date: Mon, 25 Mar 2002 19:48:32 GMT content-length: 7017 etag: "0-1b69-3b688e48" last-modified: Thu, 02 Aug 2001 00:18:32 GMT server: IBM_HTTP_SERVER/1.3.19 Apache/1.3.20 (Win32) connection: close accept-ranges: bytes ---------------------------------------------------
88
/WebSEAL/<host>
Esta entrada de subdirectorio representa el inicio del espacio web para una instancia determinada de servidor WebSEAL. Las siguientes consideraciones de seguridad se aplican a este objeto: v El permiso traverse es necesario para el acceso a cualquier objeto situado por debajo de este punto v Si no aplica ninguna otra ACL explcita, este objeto define (a travs de la herencia) la poltica de seguridad para todo el espacio de objetos de esta mquina
/WebSEAL/<host>/<archivo>
Esta entrada de subdirectorio representa el objeto de recurso comprobado para el acceso HTTP. Los permisos comprobados dependern de la operacin que se solicite.
89
Descripcin
Ejecutar el programa CGI. Eliminar el objeto web del espacio web. Realizar la transferencia (PUT) de un objeto HTTP. (Colocar publicar - un objeto HTTP en el espacio de objetos de WebSEAL.) Requerido por Policy Server para generar una lista de directorios automatizada del espacio web. Este permiso rige tambin si un cliente puede ver la lista de contenido del directorio cuando no se encuentra la pgina predeterminada index.html.
list
delegation
Concede fiabilidad a un servidor WebSEAL para que acte en nombre de un cliente y pase las peticiones a un servidor WebSEAL con conexin (junction).
Durante la instalacin, esta ACL predeterminada se asocia con el objeto contenedor /WebSEAL en el espacio de objetos. El grupo, webseal-servers, contiene una entrada para cada servidor WebSEAL en el dominio seguro. Los permisos predeterminados permiten a los servidores responder a las peticiones del navegador. El permiso traverse permite la expansin del espacio web tal y como se representa en Web Portal Manager. El permiso list permite a Web Portal Manager visualizar el contenido del espacio web.
Para obtener informacin detallada acerca de la creacin de nombres de ACL, consulte la publicacin IBM Tivoli Base Gua del administrador.
90
91
Comando
Descripcin
policy set max-login-failures {<nmero>|unset} [-user <nombre-usuario>] policy get max-login-failures [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de intentos de inicio de sesin fallidos permitidos antes de imponer una penalizacin. Este comando depende de una penalizacin establecida en el comando policy set disable-time-interval. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El valor predeterminado es 10 intentos. policy set disable-time-interval {<nmero>|unset|disable} [-user <nombre-usuario>] policy get disable-time-interval [-user <nombre-usuario>] Gestiona la poltica de penalizaciones controlando el perodo de tiempo que debe inhabilitarse una cuenta si se ha alcanzado el nmero mximo de intentos de inicio de sesin fallidos. Como administrador, puede aplicar esta poltica de penalizaciones a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El valor predeterminado es 180 segundos.
92
policy set min-password-length {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-length [-user <nombre-usuario>] Gestiona la poltica controlando la longitud mnima de una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 8. policy set min-password-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-alphas [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mnimo de caracteres alfabticos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 4. policy set min-password-non-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-non-alphas [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mnimo de caracteres no alfabticos (numricos) permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 1. policy set max-password-repeated-chars {<nmero>|unset} [-user <nombre-usuario>] policy get max-password-repeated-chars [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de caracteres repetidos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 2.
93
Comando
Descripcin
policy set password-spaces {yes|no|unset} [-user <nombre-usuario>] policy get password-spaces [-user <nombre-usuario>] Gestiona la poltica controlando si una contrasea puede contener espacios. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es unset (no establecido).
Para crear el comportamiento de la poltica de contraseas que se encuentra en releases anteriores de Access Manager, aplique la opcin unset a cada uno de los cinco parmetros de contrasea listados anteriormente.
94
pdadmin> policy get min-password-length Longitud mnima de la contrasea: 8 pdadmin> policy get min-password-length -user miguel Longitud mnima de la contrasea: 4
El usuario miguel tiene una poltica de longitud mnima de contrasea de 4 caracteres; los dems tienen una poltica de longitud mnima de contrasea de 8.
pdadmin> policy set min-password-length unset -user miguel
Ahora, el usuario miguel se rige por la poltica global de longitud mnima de contrasea de 8 caracteres.
pdadmin> policy set min-password-length unset
Ahora ningn usuario, ni siquiera el usuario miguel, tiene una poltica de longitud mnima de la contrasea.
95
En lugar de forzar a los clientes a reiniciar sus sesiones con WebSEAL cuando no cumplen el nivel requerido de autenticacin, el mecanismo de autenticacin incremental proporciona a los clientes una segunda oportunidad de volver a autenticarse utilizando el mtodo (nivel) necesario. La autenticacin incremental significa que el usuario no recibe inmediatamente un mensaje de acceso denegado cuando intenta acceder a un recurso que requiere un nivel de autenticacin mayor que el del inicio de sesin, sino que ve una peticin de autenticacin nueva que solicita informacin para dar soporte a un mayor nivel de autenticacin. Si puede proporcionar ese nivel, se permitir su peticin original. WebSEAL reconoce tres mtodos de autenticacin (niveles) para utilizarlos en el mecanismo de autenticacin incremental: v unauthenticated (no autenticado) v password (contrasea) v token-card (tarjeta de seal) Los niveles de autenticacin se configuran en la stanza [authentication-levels] del archivo de configuracin webseald.conf. Inicialmente, slo hay configurados dos niveles:
[authentication-levels] level = unauthenticated level = password
Segn el orden de los mtodos en la lista, se asigna un ndice de nivel, del 0 al 2, a cada mtodo. v El mtodo unauthenticated (no autenticado) debe ser siempre el primero de la lista y tiene asignado el ndice de nivel 0. v Los mtodos siguientes pueden estar en cualquier orden. Consulte el apartado Notas y limitaciones de autenticacin incremental en la pgina 99. v De forma predeterminada, password (contrasea) aparece en el nivel siguiente, por lo que se encuentra en el ndice de nivel 1. v Debe haber al menos dos entradas para habilitar la autenticacin incremental. Nota: Consulte el apartado Captulo 5, Autenticacin de WebSEAL en la pgina 107 para obtener informacin detallada acerca de la configuracin de los mecanismos de autenticacin necesarios.
96
los usuarios que accedan, independientemente de la direccin IP, y les solicitar que se autentiquen en el nivel especificado. Es el mtodo ms habitual para implementar la autenticacin incremental. Sintaxis:
pdadmin> pop modify <nombre-pop> set ipauth anyothernw <ndice-nivel>
La entrada anyothernw se utiliza como rango de red que coincidir con cualquier red que no est especificada en la poltica POP. Este mtodo se utiliza para crear una entrada predeterminada que puede rechazar todas las direcciones IP no coincidentes o permitir el acceso a cualquiera que cumpla el requisito de nivel de autenticacin. anyothernw aparece de forma predeterminada en una poltica POP con el ndice de nivel de autenticacin 0. La entrada aparece como Cualquier otra red en el comando pop show:
pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Test POP Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: sun, mon, tue, wed, thu, fri, sat: anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0
Ejemplo
1. Configure los niveles de autenticacin en el archivo webseald.conf:
[authentication-levels] level = unauthenticated level = token-card
Esta poltica requiere incrementar la autenticacin al mtodo de autenticacin de tarjeta de seal (nivel 1) para todos los usuarios que acceden inicialmente como no autenticados (nivel 0). A todos los usuarios no autenticados que intenten acceder a los objetos protegidos por esta poltica POP se les solicitar el nombre de usuario y el cdigo de paso de seal. Consulte tambin el apartado Poltica POP de autenticacin basada en la red en la pgina 101.
97
formulario HTML se especifica mediante el parmetro stepup-login de la stanza [acnt-mgt] del archivo de configuracin webseald.conf.
[acnt-mgt] stepup-login = stepuplogin.html
Puede configurar este formulario HTML para que cumpla sus requisitos, de la misma forma que puede configurar los formularios login.html o tokenlogin.html. Este archivo contiene macros, en forma de secuencias %TEXTO%, que se sustituyen por los valores apropiados. Esta sustitucin se produce en las funciones de proceso del archivo de plantilla de WebSEAL y permite el uso del formulario para los mtodos de autenticacin de contrasea y seal con el formato correcto. Tambin permite proporcionar otra informacin, como el mensaje de error y el nombre de mtodo (incremental), en el formulario para el usuario.
Figura 18. Formulario de inicio de sesin personalizado incremental para nombre de usuario y contrasea
Figura 19. Formulario de inicio de sesin personalizado incremental para cdigo de paso de seal de SecurID
98
1. Comprobar la poltica de mtodo de autenticacin de punto final de IP de la poltica POP. 2. Comprobar los permisos ACL. 3. Comprobar la poltica de acceso segn la hora del da de la poltica POP. 4. Comprobar la poltica de nivel de auditora de la poltica POP.
6. Los mtodos de autenticacin representan los niveles de autenticacin. Esto significa que es imposible especificar un mecanismo de autenticacin preciso para la autenticacin en ese nivel. Los mtodos de autenticacin pueden estar soportados por varios mecanismos de autenticacin, incluidos los autenticadores locales y los autenticadores externos personalizados. WebSEAL sigue reglas especficas para determinar el autenticador que se debe seleccionar cuando se han configurado varias instancias del mismo tipo de mtodo de autenticacin. 7. Si hay tres niveles configurados, los valores de ndice vlidos son 0, 1 y 2. Si hay algn otro valor de ndice configurado, WebSEAL presenta una pgina de error siempre que se solicita un objeto asociado con esa poltica POP. 8. La configuracin incorrecta de los niveles de autenticacin incremental en el archivo de configuracin webseald.conf da como resultado la inhabilitacin de la funcionalidad incremental en WebSEAL. Esta situacin puede producir comportamientos inesperados de autenticacin como, por ejemplo, la emisin de la pgina de inicio de sesin de contrasea para objetos protegidos por una poltica POP que requiera el mtodo de autenticacin de cdigo de paso de seal. Despus de configurar los niveles de autenticacin incremental, compruebe el archivo webseald.log para ver si hay informes de errores de configuracin.
99
El siguiente objeto est protegido por una POP que requiere el nivel de autenticacin 2:
/WebSEAL/hostA/junction/aplicacinA
Bajo la autenticacin incremental, la autenticacin de nombre de usuario/contrasea es necesaria para acceder a /WebSEAL/hostA/junction. No obstante, la autenticacin de nombre de usuario/cdigo de paso de seal (nivel 2) es necesaria para acceder a /WebSEAL/hostA/junction/aplicacinA. Si el usuario ha iniciado la sesin con un nombre de usuario y una contrasea, aparece una solicitud que solicita la informacin de nombre de usuario y de cdigo de paso de seal (incremental). No obstante, si el usuario inicia la sesin inicialmente en WebSEAL con el nombre de usuario y el cdigo de paso de seal, el acceso a aplicacinA es inmediato (suponiendo que haya una comprobacin positiva de ACL). La autenticacin de mltiples factores requerira ambas autenticaciones de nivel 1 y de nivel 2 para acceder a aplicacinA.
100
Puede utilizar estos valores predeterminados cuando configure la autenticacin basada en la red. En ese caso, unauthenticated (no autenticado) es el nivel 0 y password (contrasea) es el nivel 1. Consulte tambin el apartado Configuracin de los niveles de autenticacin incremental en la pgina 95.
Los niveles de autenticacin configurados estn vinculados a los rangos de direcciones IP. Este mtodo se ha concebido para proporcionar flexibilidad. Si no es
Captulo 4. Poltica de seguridad de WebSEAL
101
importante el filtro de usuarios por direccin IP, puede establecer una sola entrada para anyothernw (cualquier otra red). Este valor afectar a todos los usuarios que accedan, independientemente de la direccin IP, y les solicitar que se autentiquen en el nivel especificado. Sintaxis:
pdadmin> pop modify <nombre-pop> set ipauth anyothernw <ndice-nivel>
De lo contrario, si desea omitir el nivel de autenticacin y permitir o denegar el acceso slo segn la direccin IP, puede utilizar el nivel 0 para los rangos que desee permitir y forbidden (prohibido) para los rangos que desee rechazar. La entrada anyothernw se utiliza como rango de red que coincide con cualquier red que no est especificada en la poltica POP. Este mtodo se utiliza para crear una entrada predeterminada que puede rechazar todas las direcciones IP no coincidentes o permitir el acceso a cualquiera que cumpla el requisito de nivel de autenticacin. anyothernw aparece de forma predeterminada en una poltica POP con el ndice de nivel de autenticacin 0. La entrada aparece como Cualquier otra red en el comando pop show:
pdadmin> pop show test Poltica de objetos protegidos: test Descripcin: Test POP Aviso: no Nivel de auditora: none Calidad de proteccin: none Acceso segn hora del da: sun, mon, tue, wed, thu, fri, sat: anytime:local Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0
Consulte el apartado Configuracin de los niveles de autenticacin incremental en la pgina 95 para obtener informacin detallada acerca de la configuracin de los niveles de autenticacin.
Ejemplos
Para solicitar a los usuarios del rango de direcciones IP 9.0.0.0 y mscara de red 255.0.0.0 la utilizacin del nivel de autenticacin 1 (el valor predeterminado es password):
pdadmin> pop modify test set ipauth add 9.0.0.0 255.0.0.0 1
Para evitar que todos los usuarios (distintos de los especificados en los ejemplos anteriores) tengan acceso al objeto:
pdadmin> pop modify test set ipauth anyothernw forbidden
Por ejemplo:
pdadmin> pop modify test set ipauth remove 9.0.0.0 255.0.0.0
102
Por ejemplo:
pdadmin> pop modify test set qop privacy
103
104
Nota: La entrada unauthenticated es una mscara (una operacin and a nivel de bit) contra la entrada any-authenticated cuando se determinan los permisos. Slo se otorga un permiso para unauthenticated si ste aparece tambin en la entrada any-authenticated. Puesto que unauthenticated depende de any-authenticated, no tiene sentido que una ACL contenga unauthenticated sin any-authenticated. Si una ACL contiene unauthenticated sin any-authenticated, la respuesta predeterminada es no otorgar ningn permiso a unauthenticated. 2. Para requerir el cifrado (SSL), proteja el contenido con una poltica de objetos protegidos (POP) que especifica la privacidad como una condicin. Consulte el apartado Poltica POP de calidad de proteccin en la pgina 103.
105
106
107
identificar la sesin de cliente en el servidor WebSEAL y evitar la sobrecarga de establecer una nueva sesin en cada peticin. v Datos de autenticacin Los datos de autenticacin es informacin del cliente que permite identificarlo en el servidor WebSEAL. Los tipos de datos de autenticacin son los certificados de cliente, las contraseas y los cdigos de seal. Cuando WebSEAL recibe una peticin de cliente, busca siempre en primer lugar los datos de sesin y, a continuacin, los datos de autenticacin. La peticin de cliente inicial no contiene nunca datos de sesin.
Cuando WebSEAL examina una peticin de cliente, busca los datos de autenticacin en el orden especificado en esta tabla. Los mtodos de autenticacin se pueden habilitar e inhabilitar de manera independiente para los transportes HTTP y HTTPS. Si no se habilita ningn
108
mtodo de autenticacin para un transporte determinado, el proceso de autenticacin estar desactivado para los clientes que utilicen ese transporte.
109
La cach de sesin/credenciales de WebSEAL almacena cualquier tipo de informacin de ID de sesin (vea la lista anterior), as como la informacin de credenciales que se haya obtenido para cada cliente. La informacin de credenciales se guarda en la cach para eliminar las consultas repetitivas a la base de datos de registro de usuarios durante las comprobaciones de autorizaciones. v Cach de ID de sesin SSL de GSKit La cach de sesin de GSKit maneja la comunicacin HTTPS (SSL) cuando se utiliza la informacin de ID de sesin SSL para mantener el estado de la sesin. La cach de GSKit tambin mantiene la informacin de estado de la sesin para la conexin SSL entre WebSEAL y el registro de usuarios de LDAP. Hay disponibles varios parmetros de configuracin para cada cach que permiten ajustar el rendimiento de la cach. Estos parmetros se resumen en la siguiente figura
El tiempo de espera predeterminado de la sesin SSL V3 (en segundos) es 7200 (con un valor posible entre 1 y 86400):
110
111
El tiempo de espera predeterminado de duracin de la entrada de cach de sesin (en segundos) es de 3600:
[session] timeout = 3600
Para inhabilitar esta funcin de tiempo de espera, establezca el valor del parmetro en 0.
112
Un valor de configuracin no para este parmetro da como resultado las siguientes condiciones en los clientes que acceden mediante HTTPS: 1. El ID de sesin SSL no se utiliza nunca como informacin de ID de sesin. 2. Las cookies se utilizarn para mantener las sesiones con los clientes que se autentiquen con cookies de resolucin de errores, seales de ID de CDSSO, nombre de usuario y contrasea de formularios, cdigo de paso de seal y certificados de clientes. 3. Las cookies se utilizan en los clientes de autenticacin bsica slo si use-same-session = yes (consulte el apartado siguiente). En caso contrario, se utiliza la cabecera BA para los datos de ID de sesin. 4. La cabecera HTTP se utiliza como informacin de ID de sesin en los clientes que se autentican con cabeceras HTTP. 5. La direccin IP se utiliza como informacin de ID de sesin en los clientes que se autentican con direcciones IP. Si se utilizan cookies para mantener el estado de la sesin, la cookie se enva slo una vez al navegador, despus de iniciar la sesin correctamente. No obstante, algunos navegadores imponen un lmite al nmero de cookies en memoria que pueden almacenar simultneamente. En algunos entornos, las aplicaciones pueden colocar un gran nmero de cookies en memoria por dominio en los sistemas cliente. En este caso, cualquier cookie configurada de sesin de WebSEAL o de resolucin de errores se puede sustituir fcilmente por otra cookie. Cuando se configura WebSEAL para utilizar cookies de sesin (y quizs cookies de resolucin de errores), se puede configurar el parmetro resend-webseal-cookies, que se encuentra en la stanza [session] del archivo de configuracin webseald.conf, para que WebSEAL enve la cookie de sesin y la cookie de resolucin de errores al navegador con cada respuesta. Esta accin permite asegurar que la cookie de sesin y la cookie de resolucin de errores permanecen en la memoria del navegador. El parmetro resend-webseal-cookies tiene un valor predeterminado de no:
[session] resend-webseal-cookies = no
Cambie el valor predeterminado a yes para enviar cookies de sesin de WebSEAL y cookies de resolucin de errores con cada respuesta.
113
El parmetro use-same-session, que se encuentra en la stanza [session] del archivo de configuracin webseald.conf, habilita e inhabilita el reconocimiento de los datos de ID de la misma sesin. De forma predeterminada, este parmetro se establece en no:
[session] use-same-session = no
Un valor de configuracin yes para este parmetro da como resultado las siguientes condiciones: 1. Las cookies de sesin se utilizan para identificar los siguientes tipos de clientes en las conexiones posteriores mediante otro transporte: a. Cookies de resolucin de errores b. Certificados de cliente c. Seal CDSSO ID d. Cdigo de paso de seal e. Nombre de usuario y contrasea de formularios f. Autenticacin bsica 2. La cabecera HTTP se utiliza para los clientes que acceden con cabeceras HTTP. 3. La direccin IP se utiliza para los clientes que acceden con direcciones IP. 4. La configuracin ssl-id-sessions se omite; el comportamiento que se obtiene es el mismo que si se estableciera ssl-id-sessions en no. Esta lgica es importante porque los clientes HTTP no tienen un ID de sesin SSL disponible como datos de sesin. 5. Como las cookies estn disponibles para los clientes HTTP y HTTPS, no se etiquetan como cookies seguras.
114
Clientes HTTPS Mtodo de autenticacin Direccin IP ssl-id-sessions = yes ID de SSL ssl-id-sessions = no use-same-session = no Direccin IP use-same-session = yesssl-id-sessions ignored Direccin IP
Clientes HTTP Mtodo de autenticacin Cookie de resolucin de errores CDSSO Seal Formularios BA Cabecera HTTP Direccin IP use-same-session = no Cookie Cookie Cookie Cookie Cabecera BA Cabecera HTTP Direccin IP use-same-session = yes Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP
El cliente no conoce la configuracin del servidor frontal replicado. El mecanismo de equilibrio de carga es el nico punto de contacto de la direccin URL solicitada.
Captulo 5. Autenticacin de WebSEAL
115
El mecanismo de equilibrio de carga conecta un cliente con un servidor disponible (por ejemplo, WS1). Se establece el estado de la sesin con WS1 y las siguientes peticiones de ese cliente se envan a WS1. El problema que pueden resolver las cookies de resolucin de errores implica una situacin en la que el servidor WS1 deja de estar disponible por alguna razn (por ejemplo, un error del sistema o una interrupcin de la lnea por parte del administrador). Si el servidor WS1 deja de estar disponible, el mecanismo de equilibrio de carga redirecciona la peticin a uno de los otros servidores replicados (WS2 o WS3). Se perder la correlacin original de sesin a credencial. El cliente es nuevo para este servidor sustituto, y normalmente deber volver a autenticarse. Puede configurar los servidores WebSEAL replicados para que cifren los datos de identificacin del cliente en una cookie especfica del servidor. La cookie se coloca en el navegador cuando el cliente se conecta por primera vez. Si el servidor WebSEAL inicial no est disponible temporalmente, la cookie (con la informacin de identidad cifrada) se presenta al servidor sustituto. La cookie de resolucin de errores contiene el nombre de usuario, la indicacin de la hora y el mtodo de autenticacin original. Los servidores WebSEAL replicados comparten una clave comn que puede descifrar la informacin de la cookie. Cuando el servidor WebSEAL sustituto recibe esta cookie, puede utilizar el nombre de usuario y el mtodo de autenticacin para regenerar la credencial del cliente, incluidos los atributos ampliados. El cliente puede establecer ahora una sesin nueva con un servidor WebSEAL replicado sin que tenga que volver a autenticarse. El punto de referencia para la cookie es el DNS del mecanismo de equilibrio de carga. Este nico punto de referencia es importante, ya que la cookie es una cookie especfica del servidor y no una cookie especfica del dominio. La cookie slo puede ser aceptada por un servidor con el mismo nombre DNS que el del servidor que ha creado la cookie. El cliente siempre realiza peticiones a travs del mecanismo de equilibrio de carga. Por lo tanto, siempre se acepta la cookie y se pasa al siguiente servidor disponible durante la operacin de migracin tras error.
Debe definir este parmetro en cada uno de los servidores WebSEAL frontales. Para cada mtodo de autenticacin soportado del entorno de clster de WebSEAL, tambin debe habilitar un parmetro equivalente del mtodo de migracin tras error en la stanza [authentication-mechanisms] del archivo de configuracin webseald.conf. Cada parmetro del mtodo de autenticacin de migracin tras error apunta a una biblioteca compartida de autenticacin especial que imita la biblioteca compartida de autenticacin original y, adems, recupera los atributos ampliados que se colocaron originalmente en la credencial del usuario.
116
Estn disponibles los siguientes parmetros del mtodo de autenticacin de migracin tras error:
[authentication-mechanisms] #failover-password = <biblioteca-contrasea-migracintraserror> #failover-token-card = <biblioteca-tarjeta-seal-migracintraserror> #failover-certificate = <biblioteca-certificados-migracintraserror> #failover-http-request = <biblioteca-peticin-http-migracintraserror> #failover-cdsso = <biblioteca-cdsso-migracintraserror>
WebSEAL proporciona una biblioteca compartida de migracin tras error estndar que funciona para todos los mtodos de autenticacin anteriores. Esta biblioteca se denomina:
Solaris AIX HP-UX Windows libfailoverauthn.so libfailoverauthn.a libfailoverauthn.sl failoverauthn.dll
Como alternativa, puede proporcionar una biblioteca CDAS personalizada que proporciona las posibilidades especficas de autenticacin que necesita el entorno del usuario. Por ejemplo: 1. El usuario autentica en WS1 a travs del nombre de usuario y la contrasea. La biblioteca estndar libldapauthn agrega (a travs de un atributo ampliado HTTP-Tag-Value en la conexin) ciertos atributos ampliados de LDAP a la credencial del usuario. Adems, un mdulo CDAS encadenado agrega otros atributos ampliados a la credencial del usuario a travs de su biblioteca cred-ext-attrs. 2. El servidor WS1 falla y se redirige al usuario al servidor WS2. 3. WS2 recibe la cookie de resolucin de errores desde el navegador del usuario y decodifica la cookie. Dado que el usuario se autentific inicialmente con el mtodo de nombre de usuario y contrasea, la biblioteca libfailoverauthn se conecta al servidor LDAP y recupera los datos de credencial estndar para este mtodo, ms los atributos ampliados que proporciona el mecanismo de cdigo/valor. A continuacin, la identidad del usuario se pasa a la biblioteca cred-ext-attrs personalizada que proporciona sus atributos ampliados adicionales. WS2 ha generado ahora la misma credencial completa para el usuario que WS1 utiliz. Si el entorno de este ejemplo incluye tambin el soporte para la autenticacin de certificados, la stanza [authentication-mechanisms] aparecer de la manera siguiente:
[authentication-mechanisms] passwd-ldap = /opt/pdweb/lib/libldapauthn.so cert-ssl = /opt/pdweb/lib/libsslauthn.so failover-password = /opt/pdweb/lib/libfailoverauthn.so failover-certificate = /opt/pdweb/lib/libfailoverauthn.so cred-ext-attrs = /usr/lib/custom-ext-attrs-CDAS.so
117
que cifra y descifra los datos de la cookie. Especifique la ubicacin (nombre de ruta de acceso completa) del archivo de claves cuando se ejecute el programa de utilidad: UNIX:
# cdsso_key_gen <nombre-ruta-acceso>
Windows:
MSDOS> cdsso_key_gen <nombre-ruta-acceso>
Ejecute el programa de utilidad en uno de los servidores replicados y copie manualmente el archivo de claves en cada uno de los otros servidores replicados. Especifique esta ubicacin del archivo de claves en la stanza [failover] del archivo de configuracin webseald.conf de cada servidor. Si no especifica ningn archivo de claves, se inhabilita la funcin de cookies de resolucin de errores para ese servidor:
[failover] failover-cookies-keyfile = <nombre-ruta-acceso-completa>
118
Autenticacin de certificados de cliente cert-ssl Acceso de cliente con certificado de cliente a travs de SSL.
Autenticacin de cabeceras HTTP o direcciones IP http-request Acceso de cliente mediante cabecera HTTP o direccin IP especiales.
Autenticacin de seal CDSSO ID cdsso Autenticacin de inicio de sesin nico en dominios cruzados.
Puede utilizar la stanza [authentication-mechanisms] para configurar el mtodo de autenticacin y la implementacin en el siguiente formato:
<parmetro-mtodo-autenticacin> = <biblioteca-compartida>
Consulte la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference para obtener ms detalles sobre la creacin y configuracin de una biblioteca compartida personalizada que implemente un servidor CDAS.
119
Generalmente, WebSEAL est habilitado para los accesos TCP y SSL. Por lo tanto, una configuracin tpica de la stanza [authentication-mechanisms] incluye el soporte para nombres de usuario y contraseas (registro LDAP) y soporte para certificados de cliente a travs de SSL. El siguiente ejemplo representa la configuracin tpica de la stanza [authentication-mechanisms] para Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so cert-ssl = libsslauthn.so
Para configurar otros mtodos de autenticacin, agregue el parmetro apropiado con su biblioteca compartida (o mdulo CDAS).
120
pkmslogout
Los clientes pueden utilizar el comando pkmslogout para finalizar la sesin actual si utilizan un mtodo de autenticacin que no proporciona datos de autenticacin con cada peticin. Por ejemplo, pkmslogout no funciona en clientes que utilizan la autenticacin bsica o la autenticacin de direccin IP. En este caso, se debe cerrar el navegador para finalizar la sesin. El comando pkmslogout es adecuado para la autenticacin a travs del certificado del cliente, el cdigo de paso de seal, la autenticacin de formularios y determinadas implementaciones de la autenticacin de cabeceras HTTP. Ejecute el comando como se describe a continuacin:
https://www.tivoli.com/pkmslogout
Puede modificar el archivo logout.html para que se ajuste a sus requisitos. El programa de utilidad pkmslogout tambin da soporte a varias pginas de respuesta de fin de sesin cuando la arquitectura de la red requiere diversas pantallas de salida para los usuarios que finalizan la sesin en sistemas de fondo distintos. La siguiente expresin identifica un archivo de respuesta especfico:
https://www.tivoli.com/pkmslogout?filename=<archivo_fin_sesin_personalizado>
donde archivo_fin_sesin_personalizado es el nombre de archivo de respuesta del fin de sesin. Este archivo debe residir en el mismo directorio lib/html/C que contiene el archivo predeterminado logout.html y ejemplos de otros formularios HTML de respuesta.
pkmspasswd
Puede utilizar este comando para cambiar la contrasea de inicio de sesin cuando se utiliza la autenticacin bsica (BA) o la autenticacin de formularios. Este comando es apropiado a travs de HTTP o HTTPS. Por ejemplo:
https://www.tivoli.com/pkmspasswd
Para garantizar la mxima seguridad cuando se utilice BA con WebSEAL, este comando se comporta de la siguiente forma para un cliente BA: 1. Se cambia la contrasea. 2. Finaliza la sesin del usuario del cliente. 3. Cuando el cliente realiza una peticin adicional, el navegador presenta al cliente una solicitud de BA. 4. El cliente debe volver a iniciar la sesin para continuar realizando peticiones.
121
Este ejemplo slo se aplica a los clientes que utilizan la autenticacin bsica.
122
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitir la configuracin de autenticacin bsica para ese transporte.
123
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitir la configuracin de la autenticacin bsica para ese transporte.
124
Para obtener informacin detallada acerca de los formularios HTML disponibles que se pueden personalizar, consulte el apartado Gestin de pginas personalizadas de gestin de cuentas en la pgina 36.
125
4. Si no hay ninguna coincidencia con esta firma, el navegador informa al usuario de que este certificado ha sido emitido por una entidad emisora de certificados desconocida. A partir de aqu, es responsabilidad del usuario aceptar o rechazar el certificado. 5. Si la firma coincide con una entrada de la base de datos de certificados raz del navegador, las claves de sesin se negocian de forma segura entre el cliente y el servidor WebSEAL. 6. 7. El resultado final de este proceso es un canal seguro. Ahora el cliente enva su certificado de clave pblica al servidor WebSEAL. WebSEAL intenta encontrar la firma del certificado de cliente en una CA conocida. Del mismo modo que un navegador del cliente, el servidor WebSEAL mantiene una lista de certificados raz de CA fiables en su base de datos de claves. Si no hay ninguna coincidencia con esta firma, WebSEAL generar un cdigo de error de SSL y lo enviar al cliente. Si hay una coincidencia con la firma, el certificado es fiable. Access Manager autentica el cliente utilizando la biblioteca compartida incorporada cuando el Nombre distinguido (DN) del campo Asunto del certificado del cliente coincide exactamente con una entrada ya existente de DN en el registro de LDAP, o utilizando un CDAS personalizado para realizar una coincidencia de identidad alternativa. El resultado de una autenticacin correcta es una identidad de Access Manager que luego se utilizar para crear una credencial para ese usuario. Es la credencial lo que se necesita para que el cliente participe en el dominio seguro de Access Manager.
8. 9. 10.
126
CA. Tambin puede utilizar iKeyman para instalar y etiquetar el certificado de sitio nuevo. Utilice el parmetro webseal-cert-keyfile-label en la stanza [ssl] del archivo de configuracin webseald.conf para designar el certificado como el certificado de servidor WebSEAL activo (este valor anula cualquier certificado designado como predeterminado en la base de datos del archivo de claves). Si necesita certificados diferentes para otras situaciones (por ejemplo, para conexiones (junctions) autenticadas mutuamente), puede utilizar el programa de utilidad iKeyman para crear, instalar y etiquetar estos certificados adicionales. Consulte el apartado Configuracin de parmetros de base de datos de claves en la pgina 40.
Los valores adicionales para este parmetro incluyen optional y required. La tabla siguiente muestra una lista que describe los valores permitidos para el parmetro accept-client-certs:
Valor never optional Descripcin No aceptar certificados X.509 de clientes. Solicitar un certificado X.509 a los clientes y utilizar la autenticacin basada en certificados, si se proporciona un certificado. Solicitar un certificado X.509 a los clientes y utilizar la autenticacin basada en certificados. Si el cliente no presenta ningn certificado, no permitir la conexin.
required
127
Puede configurar el mecanismo de autenticacin de certificados especificando el parmetro cert-ssl con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Solaris:
[authentication-mechanisms] cert-ssl= libsslauthn.so
Windows:
[authentication-mechanisms] cert-ssl = sslauthn.dll
Durante la autenticacin de certificados, la biblioteca compartida identifica al usuario de Access Manager cuando el Nombre distinguido (DN) del campo Asunto del certificado del cliente coincide exactamente con una entrada existente de DN en el registro de LDAP.
Condiciones de configuracin
Si la gestin de certificados de cliente se define como required, se omitir el resto de los valores de autenticacin para los clientes HTTPS.
128
De forma predeterminada, esta biblioteca compartida incorporada est codificada de forma que no se puede modificar para dar soporte a datos de cabecera de proxy Entrust.
[auth-headers] header = entrust-client
Debe personalizar este archivo para autenticar otros tipos de datos de cabecera especiales y, de forma opcional, correlacionar estos datos con una identidad de Access Manager. Consulte los recursos API en la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference.
De forma predeterminada, esta biblioteca compartida incorporada est codificada de forma que no se puede modificar para correlacionar datos de cabecera de proxy Entrust con una identidad vlida de Access Manager. Debe personalizar este archivo para autenticar otros tipos de datos de cabecera especiales y, de forma opcional, correlacionar estos datos con una identidad de Access Manager. Consulte los recursos API en la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference. Puede configurar el mecanismo de autenticacin de cabeceras HTTP especificando el parmetro http-request con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] http-request = libhttpauthn.so
Windows:
[authentication-mechanisms] http-request = httpauthn.dll
129
Condiciones de configuracin
1. Las cookies de ID de sesin no se utilizan para mantener el estado si ssl-id-sessions = no. El valor de cabecera exclusiva se utiliza para mantener el estado. 2. Si el cliente encuentra un error de autorizacin, recibe una pgina de No autorizado (HTTP 403). 3. Las cabeceras de cookies no se pueden pasar al mecanismo de autenticacin de cabeceras HTTP.
130
De forma predeterminada, esta biblioteca compartida incorporada est codificada de forma que no se puede modificar para correlacionar datos de cdigo de paso de seal SecurID. Puede personalizar este archivo para autenticar otros tipos de datos de seales especiales y, de forma opcional, correlacionar estos datos con una identidad de Access Manager. Consulte los recursos API en la publicacin IBM Tivoli Access Manager WebSEAL Developers Reference. Puede configurar el mecanismo de autenticacin de seales especificando el parmetro token-cdas con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. La biblioteca compartida debe incluir la opcin y el argumento r <registro>. El tipo de registro debe especificarse como LDAP. Por ejemplo: Solaris:
[authentication-mechanisms] token-cdas = libxtokenauthn.so& -r LDAP
Windows:
[authentication-mechanisms] token-cdas = xtokenauthn.dll& -r LDAP
131
Puesto que WebSEAL mantiene una sesin autenticada para el MPA, debe mantener simultneamente sesiones aparte para cada cliente. Por lo tanto, los datos de sesin y el mtodo de autenticacin que se utilizan para el MPA deben ser distintos (diferentes) de los datos de sesin y el mtodo de autenticacin que utiliza el cliente.
v El cliente no puede utilizar un ID de sesin SSL como tipo de datos de sesin. v Por ejemplo, si el MPA utiliza una cabecera BA para el tipo de datos de sesin, las opciones del cliente para el tipo de datos de sesin slo pueden ser la cabecera HTTP y la cookie. v Si el MPA utiliza una cabecera HTTP para los datos de sesin, el cliente puede utilizar un tipo de cabecera HTTP diferente. v La cookie especfica del servidor contiene slo informacin sobre la sesin; no contiene informacin sobre la identidad. v Si est habilitado el soporte MPA, la funcin de ssl-id-sessions cambia. Normalmente, si ssl-id-sessions=yes, slo se utiliza el ID de sesin SSL para mantener las sesiones de los clientes HTTPS. Para que el MPA pueda mantener una sesin con un ID de sesin SSL y tener clientes manteniendo sesiones con otro mtodo, se debe eliminar esta restriccin. Consulte tambin el apartado Determinacin de los tipos de datos vlidos de ID de sesin en la pgina 114. El mtodo de autenticacin que se utiliza de MPA a WebSEAL debe ser distinto (diferente) del mtodo de autenticacin que se utiliza de cliente a WebSEAL. En la
132
tabla siguiente se muestran los mtodos de autenticacin vlidos para el MPA y el cliente:
Tipos de autenticacin vlidos De MPA a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP Certificados Direccin IP De cliente a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP
v Por ejemplo, si el MPA utiliza la autenticacin bsica, las opciones del cliente para los mtodos de autenticacin incluyen cabeceras HTTP, de formularios y de seales. v Los mtodos de autenticacin de direcciones IP y de certificados no pueden ser utilizados por el cliente. v Normalmente, si se habilita la autenticacin de formularios (o de seales) para un transporte determinado, la autenticacin bsica se inhabilitar automticamente para ese transporte (consulte el apartado Configuracin del mecanismo de autenticacin bsica en la pgina 123. Si est habilitado el soporte MPA, esta restriccin se eliminar. Por ejemplo, esto permite al MPA iniciar la sesin con formularios (o seales) a los clientes iniciar la sesin con autenticacin bsica con autenticacin bsica a travs del mismo transporte.
133
10. El cliente inicia la sesin y se autentica utilizando un mtodo distinto del tipo de autenticacin utilizado por el MPA. 11. WebSEAL crea una credencial a partir de los datos de autenticacin del cliente. 12. El tipo de datos de sesin que utiliza cada cliente debe ser distinto del tipo de datos de sesin que utiliza el MPA. 13. El servicio de autorizaciones permite o rechaza el acceso a los objetos protegidos basndose en la credencial de usuario y los permisos ACL del objeto.
134
v Autenticacin de formularios (nombre de usuario y contrasea) v Autenticacin de seales Adems, se puede escribir un CDAS de nombre de usuario/contrasea personalizado que d soporte a la reautenticacin. La reautenticacin supone que el usuario ha iniciado la sesin inicialmente en el dominio seguro y que existe una credencial vlida para el usuario. Durante la reautenticacin, el usuario debe iniciar la sesin utilizando la misma identidad que gener la credencial existente. Access Manager preserva la informacin de sesin original del usuario, incluida la credencial, durante la reautenticacin. Durante la reautenticacin no se sustituye la credencial. Adems, durante la reautenticacin, WebSEAL guarda en la cach la peticin que activ la reautenticacin. Cuando la reautenticacin se haya realizado correctamente, los datos de la cach se utilizarn para volver a crear la peticin. Consulte el apartado Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL en la pgina 70. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. En cualquiera de estos casos, no se finaliza nunca la sesin del usuario. Utilizando una credencial que an sea vlida, el usuario podr terminar anormalmente el proceso de reautenticacin (solicitando otra direccin URL) y participar en el dominio seguro accediendo a otros recursos que no requieran reautenticacin. Se dispone de la configuracin para restablecer el temporizador de duracin de la cach de sesin de WebSEAL. Adems, se puede configurar un perodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la cach de sesin.
Cualquier usuario que intente acceder a budget.html est forzado a reautenticarse utilizando la misma identidad y el mismo mtodo de autenticacin que generaron la credencial existente.
135
Si el usuario que solicita el recurso no est autenticado, la POP fuerza al usuario a autenticarse. No es necesaria ninguna reautenticacin para este recurso despus de un inicio de sesin inicial correcto. Los detalles acerca del programa de utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Independientemente de la actividad o inactividad de la sesin, la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario. No obstante, el usuario puede configurar el restablecimiento de la duracin de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la cach de sesin. Puede configurar el restablecimiento de la duracin de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 137.
136
Cuando se devuelva el formulario de inicio de sesin a WebSEAL, ya no habr una sesin para ese usuario. Adems, se perdern todos los datos de la peticin de usuario guardada en la cach. Puede configurar una ampliacin de tiempo, o perodo de gracia, para la duracin de la cach de sesin, en caso de que la duracin de la cach de sesin caduque durante la reautenticacin. El parmetro reauth-extend-lifetime de la stanza [reauthentication] del archivo de configuracin webseald.conf proporciona esta ampliacin de tiempo, en segundos. Por ejemplo:
[reauthentication] reauth-extend-lifetime = 20
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental. Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes. Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 137.
137
v Autenticacin de seales Adems, se puede escribir un CDAS de nombre de usuario/contrasea personalizado que d soporte a la reautenticacin. La reautenticacin supone que el usuario ha iniciado la sesin inicialmente en el dominio seguro y que existe una credencial vlida para el usuario. Durante la reautenticacin, el usuario debe iniciar la sesin utilizando la misma identidad que gener la credencial existente. WebSEAL preserva la informacin de sesin original del usuario, incluida la credencial, durante la reautenticacin. Durante la reautenticacin no se sustituye la credencial. Adems, durante la reautenticacin, WebSEAL guarda en la cach la peticin que activ la reautenticacin. Cuando la reautenticacin se haya realizado correctamente, los datos de la cach se utilizarn para volver a crear la peticin. Consulte el apartado Configuracin del almacenamiento en la cach de peticiones del servidor WebSEAL en la pgina 70. Normalmente, una sesin del usuario se regula mediante un valor de inactividad de sesin y un valor de duracin de sesin. Cuando WebSEAL se configura para la reautenticacin basada en la inactividad de sesin, la cach de sesin del usuario se marca con un indicador siempre que caduca el valor de tiempo de espera de inactividad de la sesin. La cach de la sesin (que contiene la credencial del usuario) no se elimina. El usuario puede continuar y acceder a los recursos no protegidos. No obstante, si el usuario solicita un recurso protegido, WebSEAL enva una solicitud de inicio de sesin. Tras realizar una reautenticacin correcta, el indicador de la sesin inactiva se elimina y el temporizador de inactividad se restablece. No obstante, el valor de duracin de la cach de sesin determina, en ltima instancia, la longitud mxima de la sesin. Cuando caduque este valor de duracin, la sesin terminar independientemente de la actividad que haya. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. La cach de sesin sigue marcada con un indicador y el usuario puede continuar como usuario no autenticado hasta que caduque el valor de duracin de la cach de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. Otras dos condiciones pueden terminar una sesin de usuario: el usuario puede finalizar la sesin de forma explcita o un administrador puede terminar una sesin de usuario. Consulte el apartado Terminacin de sesiones de usuario en la pgina 222. Se dispone de la configuracin para restablecer el temporizador de duracin de la cach de sesin de WebSEAL. Adems, se puede configurar un perodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la cach de sesin.
138
Independientemente de la actividad o inactividad de la sesin, la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario. No obstante, el usuario puede configurar el restablecimiento de la duracin de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la cach de sesin. Puede configurar el restablecimiento de la duracin de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 134.
139
Cuando se devuelva el formulario de inicio de sesin a WebSEAL, ya no habr una sesin para ese usuario. Adems, se perdern todos los datos de la peticin de usuario guardada en la cach. Puede configurar una ampliacin de tiempo, o perodo de gracia, para la duracin de la cach de sesin, en caso de que la duracin de la cach de sesin caduque durante la reautenticacin. El parmetro reauth-extend-lifetime de la stanza [reauthentication] del archivo de configuracin webseald.conf proporciona esta ampliacin de tiempo, en segundos. Por ejemplo:
[reauthentication] reauth-extend-lifetime = 20
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental. Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 134.
140
141
1. Cualquier usuario que desee participar en varios dominios debe tener una cuenta de usuario vlida en el dominio principal y una identidad que se pueda correlacionar en una cuenta vlida de cada uno de los dominios remotos participantes. Un usuario no puede invocar la funcionalidad de CDSSO sin autenticarse inicialmente en un dominio seguro inicial (A) que contenga la cuenta del usuario. 2. El usuario realiza una peticin para acceder a un recurso del dominio B a travs de un vnculo personalizado en una pgina web. El vnculo contiene una expresin CDSSO especial:
/pkmscdsso?<direccin-URL-destino>
Por ejemplo:
/pkmscdsso?https://www.domainB.com/index.html
3. En primer lugar, el servidor WebSEAL del dominio A procesa la peticin. WebSEAL crea una seal de autenticacin que contiene la identidad de Access Manager del usuario (nombre corto), el dominio actual (A), informacin adicional del usuario y una indicacin de la hora. La informacin de usuario adicional se obtiene mediante una llamada a la biblioteca compartida CDMF personalizada (cdmf_get_usr_attributes). Esta biblioteca proporciona atributos de usuario que pueden ser utilizados por el dominio B durante el proceso de correlacin de usuarios. WebSEAL cifra mediante DES triple estos datos de seal con la clave simtrica generada por el programa de utilidad cdsso_key_gen. Se comparte y almacena este archivo de claves en la stanza [cdsso-peers] del archivo de configuracin webseald.conf de los servidores WebSEAL del dominio A y el dominio B. La seal contiene una indicacin de la hora configurable (authtoken-lifetime) que define la duracin de la seal. La indicacin de la hora, cuando se configura correctamente, puede evitar los ataques de respuestas. El servidor WebSEAL del dominio A redirige la peticin ms la seal cifrada de vuelta al navegador y, a continuacin, al servidor WebSEAL del dominio B (redireccin HTTP). El servidor WebSEAL del dominio B utiliza su versin del mismo archivo de claves para descifrar y validar la seal como si llegara del dominio en cuestin. En estos momentos, el servidor WebSEAL del dominio B llama a una biblioteca de mecanismo de autenticacin de CDSSO. Como respuesta, esta biblioteca CDSSO llama a la biblioteca CDMF personalizada, que es la que ejecuta la correlacin de usuarios (cdmf_map_usr). La biblioteca CDMF pasa la identidad del usuario, y opcionalmente informacin adicional de atributos de usuarios, a la biblioteca CDSSO. La biblioteca CDSSO utiliza esta informacin para crear una credencial. El servicio de autorizaciones del dominio B permite o rechaza el acceso a los objetos protegidos basndose en la credencial del usuario y los permisos ACL especficos asociados con los objetos solicitados.
4.
5. 6.
7.
142
Figura 26. Proceso de inicio de sesin nico en dominios cruzados con CDMF
Puede configurar el mecanismo de autenticacin de CDSSO especificando el parmetro cdsso con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf.
143
Windows:
[authentication-mechanisms] cdsso = cdssoauthn.dll
En el ejemplo anterior, el archivo A-B.key se generara en una mquina (WebSEAL A, por ejemplo) y se copiara de una forma manual (y segura) en la otra mquina (WebSEAL B, por ejemplo).
144
El parmetro authtoken-lifetime, que se encuentra en la stanza [cdsso] del archivo de configuracin webseald.conf, establece el valor de la duracin de la seal. El valor se expresa en segundos. El valor predeterminado es 180:
[cdsso] authtoken-lifetime = 180
Debe tener en cuenta las diferencias horarias entre los dominios participantes.
Por ejemplo:
/pkmscdsso?https://www.domainB.com/index.html
145
En cada caso, siempre hay un dominio que se designa como dominio inicial o propietario. En el caso de empresas participantes, el dominio inicial posee los acuerdos empresariales que gobiernan la comunidad electrnica. En ambos casos, la informacin de autenticacin sobre los usuarios que participan en la comunidad electrnica (incluidos los nombres de usuario y las contraseas utilizados para la autenticacin) se mantiene en el dominio inicial. Esta disposicin permite tener un nico punto de referencia para cuestiones de administracin, como, por ejemplo, las llamadas al escritorio de ayuda dentro de la comunidad electrnica, que hacen todas referencia al dominio inicial. Como alternativa, puede utilizar Web Portal Manager de Access Manager para delegar la gestin de esta informacin, de manera que los dominios participantes tengan responsabilidades en la administracin de sus propios usuarios. En el siguiente diagrama se muestra un ejemplo de una comunidad electrnica con dos dominios participantes: dominio A (dA.com) y dominio B (dB.com). En este ejemplo, el dominio A representa el dominio inicial o propietario. El dominio B es un dominio participante o remoto.
El dominio inicial es propietario de los usuarios esto es, controla la informacin de autenticacin de los usuarios. Independientemente de dnde haga el usuario la peticin de recursos, el dominio inicial siempre es el dominio donde el usuario se tiene que autenticar. La autenticacin se produce en un servidor maestro de autenticacin (MAS)un servidor (o conjunto de servidores replicados) que se encuentra en el dominio inicial y que est configurado para autenticar todos los usuarios. El diagrama representa el MAS como mas.dA.com. La labor del MAS debe estar restringida a proporcionar servicios de autenticacin. El MAS no debe contener recursos que estn disponibles a otros usuarios.
146
Despus de que el usuario se ha autenticado correctamente en el MAS, el MAS genera una seal de garantizacin. Esta seal se pasa de nuevo al servidor en el que el usuario est realizando la peticin. El servidor considera esta seal de garantizacin como prueba de que el usuario se ha autenticado correctamente en el MAS y puede participar en la comunidad electrnica. La transferencia de informacin entre los dominios de la comunidad electrnica se describe en detalle en el apartado Flujo de proceso de la comunidad electrnica en la pgina 148.
147
148
Servidores de garantizacin v El MAS se utiliza siempre para autenticar el usuario que accede a cualquier parte de la comunidad electrnica por primera vez. El MAS slo se debe utilizar como servidor de autenticaciones, y no como proveedor de recursos. El MAS no se debe configurar para funcionar como servidor maestro de autenticaciones y, simultneamente, proteger los recursos. Esta recomendacin afecta al rendimiento, y no es un requisito de seguridad. v El MAS es siempre el servidor de garantizacin para el dominio inicial (dominio A en este ejemplo). v Se utiliza una cookie de comunidad electrnica especfica del dominio para identificar el servidor de garantizacin para los otros servidores dentro de un dominio dado. El servidor de garantizacin es el primer servidor en un dominio que solicita una seal de garantizacin al MAS. El servidor de garantizacin proporciona informacin de garantizacin para el usuario del dominio. Las siguientes peticiones de servicios de garantizacin en un dominio remoto dado se pueden hacer de forma local mediante este servidor, en lugar de acceder al MAS fuera del dominio. En el dominio inicial, la cookie de comunidad electrnica identifica al MAS como el servidor de garantizacin. (1) PRIMER acceso a la comunidad electrnica : WebSEAL 1 (Dominio A) v El usuario solicita un recurso protegido por WebSEAL 1 (dentro del mismo dominio que MAS). El navegador no contiene ninguna cookie de comunidad electrnica para este dominio. WebSEAL 1 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 1 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. WebSEAL 1 redirecciona el navegador a una direccin URL especial de garantizacin en el MAS. v El MAS recibe la peticin de garantizacin y, al no encontrar las credenciales para ese usuario, solicita al usuario que inicie la sesin. v Si el inicio de sesin es correcto, el MAS crea una credencial para el usuario, la almacena en la cach, y redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 1 con una seal de garantizacin cifrada.
149
Asimismo, se coloca una cookie de comunidad electrnica especfica del dominio A en el navegador para identificar el servidor de garantizacin de este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica un estado de error. Esta seal se construye para que no sea distinguible de una seal de garantizacin de estado correcto. El servidor que realiza la peticin reacciona a una seal de estado de error como si el usuario no hubiera pasado la autenticacin local. v WebSEAL 1 descifra la seal y crea su propia credencial para el usuario. Nota: La correlacin de identidades no debera ser necesaria dentro del mismo dominio. Si se requiere la correlacin de identidades, WebSEAL 1 debe utilizar CDMF (Cross-domain Domain Mapping Framework). v El servicio de autorizaciones permite o rechaza la peticin. (2) PRIMER acceso a la comunidad electrnica : WebSEAL 3 (Dominio B) v El usuario solicita un recurso protegido por WebSEAL 3 (dominio B remoto). El navegador no contiene ninguna cookie de comunidad electrnica para este dominio. WebSEAL 3 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 3 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. WebSEAL 3 redirecciona el navegador a una direccin URL especial de garantizacin en el MAS. v El MAS recibe la peticin de garantizacin y, al no encontrar las credenciales para ese usuario, solicita al usuario que inicie la sesin. v Si el inicio de sesin es correcto, el MAS crea una credencial para el usuario, la almacena en la cach, y redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 3 con una seal de garantizacin cifrada. Asimismo, se coloca una cookie de comunidad electrnica especfica del dominio A en el navegador para identificar el servidor de garantizacin de este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica un estado de error. Esta seal se construye para que no sea distinguible de una seal de garantizacin de estado correcto. El servidor que realiza la peticin reacciona a una seal de estado de error como si el usuario no hubiera pasado la autenticacin local. v WebSEAL 3 descifra la seal y crea su propia credencial para el usuario. v WebSEAL 3 crea y establece una segunda cookie de comunidad electrnica (vlida para el dominio B) en el navegador, que identifica a WebSEAL 3 como el servidor de garantizacin para el dominio B. v El servicio de autorizaciones permite o rechaza la peticin. (3) SIGUIENTE acceso a la comunidad electrnica: WebSEAL 2 (Dominio A) v El usuario solicita un recurso protegido por WebSEAL 2 (dentro del mismo dominio que MAS). El navegador contiene una cookie de comunidad electrnica del dominio A que identifica al MAS como servidor de garantizacin. WebSEAL 2 recibe esta cookie. WebSEAL 2 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 2 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. La presencia de la cookie de comunidad electrnica del dominio A anula la configuracin de WebSEAL 2 para la ubicacin de MAS. La cookie proporciona a WebSEAL 2 la
150
identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, tambin habra una cookie de dominio B mantenida en el navegador que no se enviara a un servidor de dominio A). v WebSEAL 2 redirecciona el navegador a una direccin URL especial de garantizacin en el servidor de garantizacin del dominio A identificado en la cookie (es este caso, el MAS, ya que WebSEAL 2 est en el dominio A). v El MAS recibe la peticin de garantizacin y busca las credenciales para ese usuario en la cach (esto se produce en el ejemplo 1 y 2). v El MAS redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 2 con una seal de garantizacin cifrada. v WebSEAL 2 descifra la seal y crea su propia credencial para el usuario. v El servicio de autorizaciones permite o rechaza la peticin. (4) SIGUIENTE acceso a la comunidad electrnica: WebSEAL 4 (Dominio B) v El usuario solicita un recurso protegido por WebSEAL 4 (dominio B remoto). Si el ejemplo 2 se produce primero, el navegador contiene una cookie de comunidad electrnica del dominio B que identifica a WebSEAL 3 como servidor de garantizacin. WebSEAL 4 no tiene credenciales almacenadas en la cach para el usuario. v La configuracin de WebSEAL 4 tiene habilitada la autenticacin de la comunidad electrnica, y especifica la ubicacin del MAS. La presencia de una cookie de comunidad electrnica del dominio B anula la configuracin de WebSEAL 4 para la ubicacin de MAS. La cookie proporciona a WebSEAL 4 la identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, slo habr una cookie de dominio A mantenida en el navegador que no se enviara a un servidor de dominio B. En su lugar, se utilizar la ubicacin configurada del MAS. WebSEAL 4 se convertir en el servidor de garantizacin para el dominio B.) v Si el ejemplo 2 se produce primero, WebSEAL 4 redirecciona el navegador a una direccin URL especial de garantizacin en el servidor de configuracin del dominio B identificado en la cookie de dominio B (en este caso WebSEAL 3). v WebSEAL 3 recibe la peticin de garantizacin y busca las credenciales para ese usuario en la cach (esto se produce en el ejemplo 2). v WebSEAL 3 redirecciona de nuevo el navegador a la direccin URL solicitada originalmente en WebSEAL 4 con una seal de garantizacin cifrada. v WebSEAL 4 descifra la seal y crea su propia credencial para el usuario. v El servicio de autorizaciones permite o rechaza la peticin. (5) OTRO acceso a la comunidad electrnica: WebSEAL 2 (Dominio A) v El usuario se conecta a WebSEAL 2 (dominio A) con una peticin. Si se ha producido el ejemplo 3, WebSEAL 2 tiene credenciales almacenadas en la cach para el usuario. v El servicio de autorizaciones permite o rechaza la peticin. Fin de sesin de la comunidad electrnica v Si el usuario finaliza la sesin cerrando el navegador, se borrarn todas las sesiones SSL y las cookies de comunidad electrnica. v Si el usuario finaliza la sesin a travs de la pgina /pkmslogout, se borrarn la sesin SSL y la cookie de comunidad electrnica para ese dominio.
151
El servidor receptor comprueba el nombre-comunidad-electrnica para validar la identidad de la comunidad electrnica. El servidor receptor utiliza la direccin-URL-destino de la respuesta de garantizacin para redireccionar de nuevo el navegador a la pgina solicitada originalmente. La direccin URL de garantizacin de pkmsvouchfor se puede configurar. Por ejemplo:
https://mas.dA.com/pkmsvouchfor?companyABC&https://ws5.dB.com/index.html
152
La respuesta de garantizacin La respuesta de garantizacin es la respuesta del servidor de garantizacin al servidor de destino. La respuesta de garantizacin contiene la siguiente informacin:
https://<direccin-URL-destino>?PD-VFHOST=<servidor-garantizacin>&PD-VF=<seal-cifrada>
El parmetro PD-VFHOST identifica al servidor que ha realizado la operacin de garantizacin. El servidor receptor (destino) utiliza esta informacin para seleccionar la clave correcta necesaria para descifrar la seal de garantizacin (PD-VF). El parmetro PD-VF representa la seal de garantizacin cifrada. Por ejemplo:
https://w5.dB.com/index.html?PD-VFHOST=mas.dA.com&PD-VF=3qhe9fjkp...ge56wgb
153
UNIX:
# cdsso_key_gen <nombre-ruta-acceso-absoluta>
Windows:
MSDOS> cdsso_key_gen <nombre-ruta-acceso-absoluta>
La ubicacin de la clave utilizada para asegurar las seales enviadas entre los servidores de un mismo dominio (local y remoto) se especifica como el valor del parmetro intra-domain-key en la stanza [e-community-sso] del archivo de configuracin webseald.conf.
[e-community-sso] intra-domain-key = <nombre-ruta-acceso-completa>
La ubicacin de los archivos de claves utilizados para asegurar las seales enviadas entre el MAS y los servidores de dominios remotos se especifica en la stanza [inter-domain-keys]. Los otros servidores del mismo dominio que MAS no necesitan inter-domain-keys. El MAS es el nico servidor que debe comunicarse con los servidores en los dominios remotos.
[inter-domain-keys] <nombre-dominio> = <nombre-ruta-acceso-completa> <nombre-dominio> = <nombre-ruta-acceso-completa>
Los valores http, https, y both especifican el tipo de comunicacin que utilizan los participantes de la comunidad electrnica. El valor none inhabilita la comunidad electrnica para ese servidor. El valor predeterminado es none. master-http-port Si e-community-sso-auth habilita la autenticacin de la comunidad electrnica HTTP, y el servidor maestro de autenticacin escucha las peticiones HTTP en un puerto distinto del puerto HTTP estndar (puerto 80), el parmetro master-http-port permite identificar el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-http-port = <nmero-puerto>
master-https-port Si e-community-sso-auth habilita la autenticacin de la comunidad electrnica HTTPS, y el servidor maestro de autenticacin escucha las peticiones HTTPS en un puerto distinto del puerto HTTP estndar (puerto 443), el parmetro
154
master-http-port permite identificar el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-https-port = <nmero-puerto>
e-community-name Este parmetro identifica el nmero unificado de la comunidad electrnica para todos los servidores participantes en todos los dominios participantes. Por ejemplo:
[e-community-sso] e-community-name = companyABC
El valor de e-community-name debe ser el mismo para todos los servidores WebSEAL en todos los dominios que participan en la comunidad electrnica. intra-domain-key Este parmetro identifica la ubicacin del archivo de claves que se utiliza para cifrar y descifrar las seales que se intercambian en el dominio de este servidor. Por ejemplo:
[e-community-sso] intra-domain-key = /abc/xyz/key.file
Debe generar este archivo de claves en una ubicacin y copiarlo manualmente (de forma segura) en la ubicacin especificada en los otros servidores WebSEAL dentro del dominio. is-master-authn-server Este parmetro identifica si este servidor es el MAS o no. Los valores posibles son yes o no. Por ejemplo:
[e-community-sso] is-master-authn-server = yes
Se pueden configurar varios WebSEAL para actuar como servidores maestros de autenticacin y, a continuacin, colocarlos detrs de un equilibrador de carga. En este caso, el equilibrador de carga es reconocido como el MAS por lo otros servidores WebSEAL en la comunidad electrnica. master-authn-server Si el parmetro is-master-authn-server se establece en no, este parmetro debe estar especificado y sin comentarios. El parmetro identifica el nombre de dominio completo del MAS. Por ejemplo:
[e-community-sso] master-authn-server = mas.dA.com
vf-token-lifetime Este parmetro establece el valor de tiempo de espera de duracin (en segundos) de la seal de garantizacin. Este valor se comprueba comparndolo con la hora de creacin indicada en la cookie. El valor predeterminado es 180 segundos. Debe tener en cuenta las diferencias horarias entre los servidores participantes. Por ejemplo:
155
vf-url Este parmetro especifica la direccin URL de garantizacin. El valor debe empezar con una barra inclinada (/). El valor predeterminado es /pkmsvouchfor. Por ejemplo:
[e-community-sso] vf-url = /pkmsvouchfor
ec-cookie-lifetime Este parmetro especifica la duracin mxima (en minutos) de la cookie de dominio de comunidad electrnica. El valor predeterminado es 300 minutos. Por ejemplo:
[e-community-sso] ec-cookie-lifetime = 300
Claves entre dominios La ubicacin de los archivos de claves necesarios para cifrar y descifrar las seales entre el MAS y los servidores participantes se especifica en la stanza [inter-domain-keys]. Debe especificar los nombres de dominio completos de los servidores y las rutas de acceso completas de las ubicaciones de los archivos de claves. El siguiente ejemplo proporciona al MAS (dominio A) los archivos de claves para comunicarse con dos dominios remotos:
[inter-domain-keys] dB.com = /abc/xyz/key.fileB dC.com = /abc/xyz/key.fileC
En este ejemplo, key.fileB identifica al archivo de claves utilizado entre el dominio A y el dominio B. key.fileC identifica el archivo de claves utilizado entre el dominio A y el dominio C. Cada servidor remoto necesitar una copia del archivo de claves correspondiente utilizado por el MAS. Para intercambiar seales con el MAS (dominio A), todos los servidores del dominio B necesitan copias de key.fileB.
[inter-domain-keys] dA.com = /efg/hij/key.fileB
Para intercambiar seales con el MAS (dominio A), todos los servidores del dominio C necesitan copias de key.fileC.
[inter-domain-keys] dA.com = /efg/hij/key.fileC
156
cdsso especifica la biblioteca compartida codificada de forma que no se pueda modificar para correlacionar la informacin de autenticacin. v En UNIX, el archivo que proporciona la funcin de correlacin incorporada es una biblioteca compartida denominada libcdssoauthn. v En Windows, el archivo que proporciona la funcin de correlacin incorporada es una DLL denominada cdssoauthn.
Mecanismo de autenticacin cdsso Biblioteca compartida Solaris libcdssoauthn.so AIX libcdssoauthn.a Windows cdssoauthn.dll HP-UX libcdssoauthn.sl
Puede configurar el mecanismo de autenticacin de CDSSO especificando el parmetro cdsso con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin webseald.conf. Por ejemplo: Solaris:
[authentication-mechanisms] cdsso = libcdssoauthn.so
Windows:
[authentication-mechanisms] cdsso = cdssoauthn.dll
157
158
159
archivo de configuracin webseald.conf. El directorio es relativo a la raz del servidor WebSEAL (parmetro server-root de la stanza [server]):
[junction] junction-db = jct
v Cada conexin (junction) est definida en un archivo aparte con una extensin .xml. v Utilice el programa de utilidad pdadmin para crear y gestionar las conexiones (junctions) y las opciones. v El formato XML permite crear, editar, duplicar y hacer copia de seguridad manualmente de los archivos de conexin (junction).
160
v No cree varias conexiones (junctions) WebSEAL que apunten al mismo servidor/puerto de aplicacin de fondo. Este tipo de configuracin puede causar un control imprevisible de acceso a los recursos y, por consiguiente, no es una estrategia de configuracin de Access Manager recomendada o soportada. Cada conexin (junction) WebSEAL puede protegerse mediante un conjunto exclusivo de controles de accesos (ACL). No obstante, la poltica de ACL de cada conexin (junction) recin creada se solapa sobre las polticas de las conexiones (junctions) creadas previamente y conectadas al mismo servidor de fondo/puerto. Las conexiones (junctions) posteriores protegidas con unas ACL ms permisivas pueden comprometer conexiones (junctions) anteriores con unas ACL menos permisivas. WebSEAL y el modelo de autorizacin de Access Manager no pueden garantizar un control de acceso seguro con este tipo de implementacin de conexin (junction). v WebSEAL da soporte a HTTP 1.1 a travs de conexiones (junctions).
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear conexiones (junctions) WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task <identificacin-servidor> create <opciones>
El componente identificacin-servidor de este comando es una combinacin del servidor de Access Manager utilizado por este comando y el nombre de host del servidor de Access Manager.
<servidor-Access-Manager>-<nombre-host>
161
Sintaxis para un solo servidor WebSEAL: Para Access Manager WebSEAL, el servidor-Access-Manager es webseald y el nombre-host es el nombre de la mquina servidor WebSEAL:
pdadmin> server task webseald-<nombre-host> create <opciones>
El servidor WebSEAL inicial instalado en una mquina siempre se denomina segn el nombre de mquina. Por ejemplo, si el nombre de la mquina es cruz, la identificacin de servidor para una sola instalacin de WebSEAL es:
webseald-cruz
Sintaxis para mltiples instancias de WebSEAL: Si instala mltiples instancias de servidor WebSEAL en la misma mquina, el servidor-Access-Manager es el nombre configurado de la instancia de servidor WebSEAL, seguido de webseald y del nombre de host:
<nombre-instancia>-webseald-<nombre-host>
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Por ejemplo:
pdadmin> server task webseald-cruz create -t tcp -h doc.tivoli.com /pubs
Nota: La recomendacin de mejor prctica es que se utilice siempre el nombre de dominio completo del servidor de fondo al especificar el argumento en la opcin h.
162
Para crear una conexin (junction) TCP segura y agregar un servidor inicial, utilice el comando create con la opcin t tcp:
pdadmin> server task webseald-<nombre-instancia> create t tcp h <nombre-host> \ [p <puerto>] <punto-conexin>
El valor de puerto predeterminado para una conexin (junction) TCP (si no se ha especificado) es 80.
Las conexiones (junctions) SSL permiten transacciones seguras de extremo a extremo de navegador a aplicacin. Puede utilizar SSL para proteger las comunicaciones del cliente a WebSEAL y de WebSEAL al servidor de fondo. El servidor de fondo debe tener HTTPS habilitado al utilizar una conexin (junction) SSL. Para crear una conexin (junction) SSL segura y agregar un servidor inicial, utilice el comando create con la opcin t ssl:
pdadmin> server task webseald-<nombre-instancia> create t ssl h <nombre-host> \ [p <puerto>] <punto-conexin>
Captulo 7. Conexiones (junctions) WebSEAL
163
El valor de puerto predeterminado para una conexin (junction) SSL (si no se ha especificado) es 443.
Nota: En el ejemplo anterior, la opcin t ssl establece el puerto predeterminado 443. Host de conexin (junction) travel_svr en el puerto 4443 en el punto de conexin (junction) /travel a travs de SSL:
pdadmin> server task webseald-<nombre-instancia> create t ssl p 4443 \ h travel_svr /travel
164
165
Durante la verificacin de certificados de servidor, el DN contenido en el certificado se compara con el DN definido por la conexin (junction). La conexin con el servidor de fondo falla si los dos DN no coinciden. Para habilitar la coincidencia de DN del servidor, especifique el DN del servidor de fondo cuando cree la conexin (junction) SSL mediante la opcin D <DN>. Para preservar los espacios en blanco de la cadena, especifique la cadena de DN entre comillas. Por ejemplo:
D /C=US/O=Tivoli/OU=SecureWay/CN=Access Manager
Las condiciones para este escenario son: v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con un certificado de cliente. v WebSEAL est configurado (webseald.conf) para que utilice un certificado de cliente especfico para autenticarse en el servidor de fondo (ssl-keyfile-label). v Es muy recomendable que configure la conexin (junction) para la coincidencia de DN (D). La opcin K utiliza un argumento que especifica la etiqueta de clave del certificado requerido tal como est almacenada en la base de datos de claves de GSKit. Utilice el programa de utilidad iKeyman para agregar certificados nuevos a la base de datos de claves. Utilice el parmetro ssl-keyfile-label del archivo de configuracin webseald.conf para configurar la etiqueta de clave. Debe especificar el argumento de etiqueta de clave entre comillas. Por ejemplo:
K cert1_Tiv
Las condiciones para este escenario son: v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con una cabecera de BA. v No configure la conexin (junction) con ninguna opcin b. (Sin embargo, internamente la opcin B utiliza b filter.) v WebSEAL est configurado para pasar la informacin de identidad en una cabecera de BA para autenticarse en el servidor de fondo. v Es muy recomendable que configure tambin la conexin (junction) para la coincidencia de DN (D).
166
Debe especificar los argumentos de nombre de usuario y contrasea entre comillas. Por ejemplo:
U WS1 W abCde
Utilizacin de b supply
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para el nombre de usuario y una contrasea simulada del cliente original. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b ignore
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para el nombre de usuario y una contrasea del cliente original. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b gso
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para la informacin de nombre de usuario y contrasea proporcionada por el servidor GSO. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b filter
v Internamente, la opcin b filter se utiliza cuando se establece la autenticacin de WebSEAL para utilizar la informacin de cabecera de BA. La cabecera de BA de WebSEAL se utiliza para todas las transacciones HTTP subsiguientes. En el servidor de fondo, WebSEAL aparece conectado en todo momento. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin. v Si el servidor de fondo requiere una identidad de cliente real (del navegador), se pueden utilizar las variables de CGI HTTP_IV_USER, HTTP_IV_GROUP y HTTP_IV_CREDS. Para los scripts y servlets, utilice las cabeceras HTTP especficas de Access Manager correspondientes: iv-user, iv-groups e iv-creds.
167
168
La autenticacin mutua se produce en las dos etapas siguientes: v El protocolo SSL permite al servidor WebSEAL de fondo autenticarse en el servidor WebSEAL frontal a travs de su certificado de servidor. v La opcin C habilita el servidor WebSEAL frontal para pasar la informacin de identidad al servidor WebSEAL de fondo en una cabecera de autenticacin bsica (BA). Adems, la opcin C habilita las funciones de la opcin c que le permite colocar la identidad de cliente especfica de Access Manager y la informacin de pertenencia a grupos en la cabecera HTTP de la peticin destinada al servidor WebSEAL de fondo. Los parmetros de cabecera son iv-user, iv-groups e iv-creds. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177. Las siguientes condiciones son aplicables a las conexiones (junctions) de WebSEAL a WebSEAL: v La conexin (junction) slo es apropiada con el tipo de conexin t ssl o t sslproxy. v Ambos servidores WebSEAL deben compartir un registro LDAP o DCE comn. Esto permite al servidor WebSEAL de fondo autenticar la informacin de identidad de servidor WebSEAL frontal.
WebSEAL, como proxy inverso frontal, proporciona servicios de seguridad a servidores de aplicaciones de fondo a travs de la caracterstica de conexin (junction) WebSEAL. Esta caracterstica produce como resultado que se acceda a los recursos a travs de distintas expresiones de direccin URL. Por ejemplo (en un entorno WebSEAL), la direccin URL entrada por un cliente para el mismo recurso en un servidor de aplicaciones de fondo con conexin (junction) debe tener el siguiente aspecto:
http://webseal.abc.com/jct/archivo.html
La caracterstica de conexin (junction) de WebSEAL cambia la informacin de servidor y ruta de acceso que debe utilizarse para acceder a los recursos en los sistemas de fondo con conexin (junction). Un vnculo a un recurso en un servidor de fondo con conexin (junction) slo es vlido si la direccin URL contiene la identidad de la conexin (junction). Para dar soporte a la caracterstica de conexin (junction) y mantener la integridad de las direcciones URL, siempre que sea posible, WebSEAL debe realizar lo siguiente:
169
1. Modificar las direcciones URL (vnculos) que se han encontrado en las respuestas enviadas a los clientes 2. Modificar las peticiones de recursos como resultado de las direcciones URL (vnculos) que WebSEAL no ha podido cambiar Tenga en cuenta que las reglas y los mecanismos de WebSEAL para filtrar y procesar las direcciones URL no se aplican a los vnculos que apuntan a recursos externos al entorno con conexin (junction) de Access Manager. El siguiente diagrama resume las soluciones disponibles en WebSEAL para modificar las direcciones URL de los recursos de fondo con conexin (junction):
Este apartado contiene los temas siguientes: v Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL en la pgina 170 v Filtrado de las direcciones URL en las respuestas en la pgina 171 v Proceso de direcciones URL en las peticiones en la pgina 173
Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL
Es probable que cualquier pgina HTML contenga direcciones URL (vnculos) a otros recursos en ese servidor de fondo o a otro sitio. Pueden aparecer expresiones de direccin URL en los siguientes formatos: v relativo v relativo al servidor v absoluto Las direcciones URL expresadas en formato relativo no requieren nunca ningn tipo de manipulacin por parte de WebSEAL. De forma predeterminada, el navegador gestiona las direcciones URL relativas agregando como prefijo la informacin correcta sobre el esquema, el servidor y el directorio (incluida la conexin (junction)) a la direccin URL relativa. La informacin agregada como prefijo procede de la pgina existente en la que reside el vnculo. Ejemplo de expresiones de direccin URL relativas:
abc.html ./abc.html ../abc.html sales/abc.html
170
No obstante, surgen dificultades con los formatos de ruta de acceso relativos al servidor y absolutos. Los vnculos a recursos de fondo expresados en formatos absolutos o relativos al servidor slo son vlidos si WebSEAL pudo modificar la expresin de ruta de acceso de direccin URL e incluyen informacin sobre la conexin (junction). Ejemplo de expresiones de direccin URL relativas al servidor:
/abc.html /accounts/abc.html
Nota: Es recomendable que todos los programadores de scripts de web utilicen vnculos relativos (ni absolutos ni relativos al servidor) para las direcciones URL generadas dinmicamente.
Estas direcciones URL se modifican para reflejar el punto de conexin (junction) del servidor con conexin (junction), como por ejemplo:
/jct/dir/archivo.html
v Las direcciones URL absolutas indican una posicin de direccin URL en relacin con un nombre de host o una direccin IP y un puerto de red, por ejemplo:
171
http://<nombre-host>[:<puerto>]/archivo.html, o https://<nombre-host>[:<puerto>]/archivo.html
Estas direcciones URL se modifican segn el siguiente conjunto de reglas: 1. Si la direccin URL es HTTP y el host/puerto coincide con un servidor con conexin (junction) TCP, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de conexin (junction). Por ejemplo:
http://<nombre-host>[:<puerto>]/archivo.html
se convierte en:
/tcpjct/archivo.html
2. Si la direccin URL es HTTPS y el host/puerto coincide con un servidor con conexin (junction) SSL, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de conexin (junction). Por ejemplo:
https://<nombre-host>[:<puerto>]/archivo.html
se convierte en:
/ssljct/archivo.html
3. Slo se filtran las direcciones URL de tipos de contenido definidos en la stanza [filter-content-types] del archivo de configuracin webseald.conf. 4. Los indicadores META se filtran siempre para peticiones de actualizacin, por ejemplo:
<META HTTP-EQUIV=Refresh CONTENT=5;URL=http://server/url>
5. Si un indicador BASE contiene un atributo HREF, el indicador se eliminar de la respuesta al cliente. Los parmetros para filtrar direcciones URL a travs de servidores con conexin (junction) se encuentran en la stanza [filter-url] del archivo de configuracin webseald.conf. La stanza [filter-url] contiene una lista de indicadores HTML que el servidor WebSEAL filtra o modifica para ajustar las direcciones URL absolutas que se han obtenido a travs de un servidor con conexin (junction). Todos los indicadores HTML utilizados habitualmente se configuran de forma predeterminada. Es posible que el administrador necesite agregar indicadores HTML adicionales que contengan las direcciones URL.
Nota: Tambin debe utilizar la opcin j para crear la conexin (junction) con el servidor de fondo.
172
El mecanismo script-filter espera direcciones URL absolutas con un esquema, servidor y formato de recurso estndar:
http://server/resource
El mecanismo script-filter sustituye las partes de esquema y servidor del vnculo por la informacin de conexin (junction) correcta.
/nombre-conexin/recurso
Esta solucin analiza el script incorporado en el cdigo HTML y, por consiguiente, requiere una actividad general de proceso adicional que puede tener una influencia negativa en el rendimiento. Limite el uso del parmetro script-filter nicamente a las conexiones (junctions) que requieran soporte para el filtrado de direcciones URL absolutas incorporadas. El diagrama siguiente muestra esta solucin de filtro de direccin URL:
173
navegador del cliente. WebSEAL no tiene nunca la oportunidad de aplicar sus reglas de filtrado estndar a estas direcciones URL generadas dinmicamente. En este apartado se describe cmo WebSEAL procesa los vnculos del cliente relativos al servidor generados dinmicamente que se han encontrado en las peticiones de recursos en los servidores de fondo con conexin (junction). v Gestin de direcciones URL relativas al servidor con cookies de conexin (junction) (-j) en la pgina 174 v Gestin de direcciones URL relativas al servidor con correlacin de conexiones (junctions) en la pgina 175 Nota: No hay soluciones disponibles para gestionar las direcciones URL absolutas generadas en el cliente.
Gestin de direcciones URL relativas al servidor con cookies de conexin (junction) (-j)
Las direcciones URL relativas al servidor que las applets y los scripts han generado en el cliente carecen inicialmente de conocimiento del punto de conexin (junction). WebSEAL no puede filtrar la direccin URL porque se genera en el cliente. Durante una peticin de un recurso por el cliente utilizando esta direccin URL, WebSEAL puede intentar reprocesar la direccin URL relativa al servidor utilizando cookies de conexin (junction). En el siguiente escenario, un script ubicado en la pgina solicitada genera dinmicamente una expresin de direccin URL relativa al servidor al llegar al navegador. Si el cliente solicita el recurso especificado por este vnculo, WebSEAL recibe una peticin de una pgina local. Cuando no encuentre la pgina, devolver el error No encontrado al cliente. La opcin j proporciona una solucin basa en cookies para gestionar direcciones URL relativa al servidor que se generan dinmicamente mediante un script que se ejecuta en la mquina del cliente. Sintaxis general:
pdadmin> server task <nombre-servidor> create ... j ...
Para cada pgina solicitada, se enva al cliente una cookie de conexinidentificador. La cookie contiene la siguiente variable y valor:
IV_JCT_<nombre-servidor-fondo> = </nombre-conexin>
Cuando el cliente efecta una peticin desde esta pgina utilizando una direccin URL relativa al servidor generada dinmicamente, WebSEAL (como antes) recibe una peticin de un recurso local. Al no encontrar el recurso, WebSEAL vuelve a intentar inmediatamente la peticin mediante la informacin de conexin (junction) proporcionada por la cookie. Con la informacin de conexin (junction) correcta en la expresin de direccin URL, el recurso se localiza correctamente. El diagrama siguiente muestra esta solucin para filtrar direcciones URL relativas al servidor:
174
WebSEAL proporciona una solucin alternativa no basada en cookies para gestionar las direcciones URL relativas al servidor generadas dinmicamente. Consulte el apartado Gestin de direcciones URL relativas al servidor con correlacin de conexiones (junctions) en la pgina 175.
El formato para la entrada de datos en la tabla consta del nombre de conexin, un espacio y el patrn de ubicacin del recurso. Tambin se pueden utilizar caracteres comodn para expresar el patrn de ubicacin del recurso. En el ejemplo siguiente del archivo de configuracin de correlaciones de conexin, dos servidores de fondo estn conectados a WebSEAL en /jctA y /jctB:
#jmt.conf #<nombre-conexin> <patrn-ubicacin-recurso> /jctA /documents/release-notes.html /jctA /travel/index.html /jctB /accounts/* /jctB /images/weather/*.jpg
175
La tabla de correlaciones jmt.conf original es un archivo vaco. Cuando haya agregado datos en el archivo, deber utilizar el comando jmt load para cargar los datos y que WebSEAL conozca la nueva informacin.
pdadmin> server task <nombre-servidor> jmt load La tabla JMT se ha cargado correctamente.
Las siguientes condiciones son aplicables a la solucin de tabla de correlaciones de conexiones (junctions): v Esta solucin no requiere la opcin -j ni la cookie de conexin (junction). v La tabla de correlaciones requiere la configuracin y activacin por parte de un administrador de seguridad. v Esta solucin no gestiona los vnculos creados con direcciones URL absolutas. v La coincidencia del patrn de ubicacin del recurso debe ser exclusiva en el espacio web local y los servidores de aplicaciones web con conexin (junction). v Si hay una entrada de patrn duplicada en el archivo, la tabla de correlaciones no se cargar. Sin embargo WebSEAL seguir ejecutndose. v Si se produce algn error al cargar la tabla de correlaciones, sta no estar disponible. Sin embargo WebSEAL seguir ejecutndose. v Si la tabla de correlaciones est vaca o hay algn error en las entradas de la tabla, sta no se cargar. Sin embargo WebSEAL seguir ejecutndose. v Cualquier error que se produzca al cargar la tabla de correlaciones producir entradas de servicio en el archivo de registro del servidor WebSEAL (webseald.log).
176
El siguiente ejemplo (nombre de instancia de servidor = cruz) muestra este procedimiento: 1. Inicie la sesin en pdadmin:
# pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
2. Utilice el comando server task list para mostrar todos los puntos de conexin (junction) actuales:
pdadmin> server task webseald-cruz list /
3. Utilice el comando server task show para mostrar los detalles de la conexin (junction):
pdadmin> server task webseald-cruz show / Punto de conexin (junction): / Tipo: Local Lmite fijo de conexin (junction): 0 - se utilizar el valor global Lmite dinmico de conexin (junction): 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una conexin (junction) local nueva para sustituir el punto de conexin (junction) actual (la opcin -f es necesaria para que se fuerce una nueva conexin (junction) que sobrescriba la conexin (junction) existente):
pdadmin> server task webseald-cruz create -t local -f -d /tmp/docs / Se ha creado una conexin (junction) en /
177
Descripcin Nombre corto o largo del cliente. El valor predeterminado es Unauthenticated si el cliente no est autenticado (desconocido). Lista de grupos a los que pertenece el cliente. Consta de entradas entre comillas separadas por comas. Estructura de datos opacos codificados que representan una credencial de Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
iv-groups = iv-creds =
HTTP_IV_GROUPS = HTTP_IV_CREDS =
Las entradas de cabecera HTTP especficas de Access Manager estn disponibles para los programas CGI como las variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros productos de entornos de aplicaciones, consulte la documentacin del producto para obtener instrucciones acerca de la extraccin de cabeceras de peticiones HTTP.
Sintaxis de c
La opcin c especifica qu datos de cabecera HTTP especfica de Access Manager se envan al servidor de aplicaciones de fondo.
c <tipos-cabecera>
Nota: Utilice iv-user o iv-user-l, pero no ambos. La opcin c all inserta los tres tipos de informacin de identidad en la cabecera HTTP (en este caso se utiliza el formato de nombre corto (iv_user)). Nota: Separe los argumentos mltiples slo con comas. No inserte espacios. Ejemplos:
c all c iv_creds c iv_user,iv_groups c iv_user_l,iv_groups,iv_creds
178
Direccin IP del cliente. Este valor puede representar la direccin IP de un servidor proxy o un traductor de direcciones de red (NAT).
La opcin r especifica que se enve la direccin IP de la peticin entrante al servidor de aplicaciones de fondo. Esta opcin se expresa sin argumentos.
Este parmetro puede ser til si un servidor de aplicaciones de fondo rechaza las cabeceras HTTP generadas por WebSEAL porque son demasiado grandes. Por ejemplo, una cabecera iv-creds para un usuario que pertenece a muchos grupos puede ser demasiado grande. Este parmetro, al configurarse, hace que las cabeceras generadas por WebSEAL que sobrepasen el valor mximo se dividan en varias cabeceras. La salida del ejemplo siguiente de una aplicacin CGI muestra el efecto de las cabeceras divididas:
HTTP_IV_CREDS_1=Version=1, BAKs3DCCBnMMADCCBm0wggZpAgIDkDCCAYUwKzA HTTP_IV_CREDS_2=+0+8eAgI8iAICEdYCAgCkAgFUBAaSVNCJqncMOWNuPXNlY21== HTTP_IV_CREDS_SEGMENTS=2
179
Si habilita esta funcin, debe modificar la aplicacin de fondo para reconocer cabeceras divididas, en lugar de las cabeceras HTTP estndar especficas de WebSEAL.
180
Por ejemplo, en los servidores no sensibles a maysculas y minsculas, estas dos direcciones URL:
http://server/sales/index.htm http://server/SALES/index.HTM
se consideran la misma. Este comportamiento requiere que un administrador defina los mismos controles de acceso (ACL) en ambas direcciones URL. Al conectarse a un servidor de terceros con la opcin i, WebSEAL trata las direcciones URL dirigidas a ese servidor como no sensibles a maysculas y minsculas.
181
frontal. Consulte el apartado Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado (u).
Especificacin de UUID de servidor de fondo para conexiones (junctions) con informacin de estado (u)
Cuando se crea una conexin (junction) nueva con un servidor de aplicaciones web de fondo, WebSEAL suele generar un identificador universal nico (UUID) para identificar el servidor de fondo. Este UUID se utiliza internamente y tambin para mantener conexiones (junctions) con informacin de estado (create s). Cuando se produce la peticin inicial del cliente, WebSEAL coloca una cookie en el sistema del cliente que contiene el UUID del servidor de fondo designado. Cuando el cliente realiza peticiones futuras al mismo recurso, la informacin de UUID de la cookie garantiza que las peticiones se dirijan de forma coherente al mismo servidor de fondo.
Figura 35. Las conexiones (junctions) con informacin de estado utilizan los UUID de servidor de fondo
La gestin de conexiones (junctions) con informacin de estado pasa a ser ms compleja cuando hay varios servidores WebSEAL frontales conectados a varios servidores de fondo. Normalmente, cada conexin (junction) entre un servidor WebSEAL frontal y un servidor de fondo genera un UUID exclusivo para el servidor de fondo. Esto significa que un solo servidor de fondo tendr un UUID diferente en cada servidor WebSEAL frontal. Si hay varios servidores frontales es necesario un mecanismo de equilibrio de carga para distribuir la carga entre los dos servidores. Por ejemplo, se podra establecer un estado inicial en un servidor de fondo a travs del servidor WebSEAL 1 mediante un UUID especfico. Sin embargo, si el mecanismo de equilibrio de carga dirige una futura peticin del mismo cliente a travs del servidor WebSEAL 2, el estado dejar de existir, a menos que el servidor WebSEAL 2 utilice el mismo UUID para identificar el mismo servidor de fondo. Normalmente, no sucede as. La opcin u le permite proporcionar el mismo UUID para un servidor de fondo especfico en cada servidor WebSEAL frontal. Por ejemplo, tenemos dos servidores WebSEAL frontales, replicados, cada uno con una conexin (junction) con informacin de estado con dos servidores de fondo. Al crear la conexin (junction) con informacin de estado entre el servidor WebSEAL 1 y el servidor de fondo 2, se genera un UUID exclusivo (UUID A) para identificar el servidor de fondo 2. Sin embargo, cuando se crea una conexin (junction) con
182
informacin de estado entre el servidor WebSEAL 2 y el servidor de fondo 2, se genera un UUID (UUID B) nuevo y distinto para identificar el servidor de fondo 2.
Se producir un error en el estado establecido entre un cliente y el servidor de fondo 2, mediante el servidor WebSEAL 1 si se dirige una peticin posterior del cliente a travs del servidor WebSEAL 2. Aplique el siguiente proceso para especificar un UUID durante la creacin de una conexin (junction): 1. Cree una conexin (junction) del servidor WebSEAL 1 con cada servidor de fondo. Utilice create s y add. 2. Visualice el UUID generado para cada servidor de fondo durante el paso 1. Utilice show. 3. Cree una conexin (junction) del servidor WebSEAL 2 con cada servidor de fondo y especifique los UUID identificados en el paso 2. Utilice create s u y add u. En la figura siguiente, tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 1 como UUID 1. Y tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 2 como UUID 2.
Figura 37. Especificacin de los UUID de servidor de fondo para conexiones (junctions) con informacin de estado
183
Ejemplo:
En el siguiente ejemplo, v WebSEAL-1 se denomina WS1 v WebSEAL-2 se denomina WS2 v El servidor de fondo 1 se denomina APP1 v El servidor de fondo 2 se denomina APP2
pdadmin> server task webseald-WS1 create t tcp h APP1 s /mnt pdadmin> server task webseald-WS1 add h APP2 /mnt pdadmin> server task webseald-WS1 show /mnt
Cuando un cliente establece una conexin con informacin de estado con el servidor de fondo 2, recibe una cookie que contiene UUID2. El ejemplo anterior garantiza que el cliente se conectar siempre al servidor de fondo 2, independientemente de si las peticiones posteriores se dirigen a travs de WebSEAL-1 o de WebSEAL-2.
El segundo mtodo reconoce el antiguo formato de nombre de archivos 8.3 para que exista compatibilidad inversa. Por ejemplo:
abcdef~1.txt
Al crear conexiones (junctions) en entornos Windows, es importante restringir el control de acceso a una sola representacin de objeto y no permitir la posibilidad de puertas traseras que eludan el mecanismo de seguridad. La opcin w en una conexin (junction) proporciona las siguientes medidas de proteccin: 1. Impide el uso del formato de nombre de archivos 8.3 Cuando la conexin (junction) se configura con la opcin w, un usuario no puede evitar una ACL explcita en un nombre de archivo largo utilizando el formato corto (8.3) del nombre de archivo. El servidor devuelve un error 403 No autorizado en cualquier nombre de archivo de formato corto especificado. 2. Prohbe los puntos de cola en los nombres de directorio y de archivo Si un archivo o un directorio contiene puntos de cola, se devuelve un error 403 No autorizado. 3. Aplica la no sensibilidad a maysculas y minsculas estableciendo la opcin i La opcin w invoca automticamente la opcin i. Esta opcin especifica que WebSEAL trate las direcciones URL como no sensibles a maysculas y
184
minsculas al realizar comprobaciones de autorizacin en una peticin a un servidor de fondo con conexin (junction). Despus de una comprobacin de ACL correcta, el uso original de maysculas o minsculas en la direccin URL se restaura cuando se enva la peticin al servidor de fondo. Nota: Si slo necesita controlar la no sensibilidad de maysculas y minsculas para los nombres de archivo, utilice slo la opcin i en la conexin (junction) en lugar de la opcin w.
Ejemplo:
En un entorno Windows, tambin se puede acceder al archivo:
\Archivos de programa\Company Inc\Release.Notes
a travs de las rutas de acceso siguientes: 1. \archiv~1\compan~2\releas~3.not 2. \Archivos de programa\Company Inc.\Release.Notes 3. \archivos de programa\company inc\release.notes El ejemplo 1 muestra cmo Windows puede crear un alias (para la compatibilidad con DOS) que no contiene espacios en el nombre de archivo y se ajusta al formato 8.3. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 2 muestra cmo Windows puede incluir puntos de cola de extensin. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 3 muestra cmo Windows permite la no sensibilidad a maysculas y minsculas en el nombre de archivo. La opcin w invoca la opcin i para asegurar una comprobacin de ACL no sensible a maysculas y minsculas.
185
Compruebe que exista el documento y que sea idntico en el rbol de documentos de los dos servidores replicados.
186
manualmente en el servidor de terceros. Hay distintos tipos de archivos de programa disponibles, dependiendo de si el servidor de terceros se ejecuta en UNIX o Windows. El gestor del espacio de objetos de Web Portal Manager ejecuta automticamente query_contents en cualquier momento en que el fragmento del espacio de objetos protegidos que representa la conexin (junction) se ampla en el panel de gestin del espacio de objetos. Ahora que Web Portal Manager conoce el contenido del espacio de aplicaciones de terceros, puede ver esta informacin y aplicar las plantillas de poltica a los objetos apropiados.
query_contents.sh
query_contents.c
query_contents.html query_contents.cfg
1. Copie query_contents.sh en un directorio /cgi-bin en funcionamiento en el servidor web de terceros. 2. Elimine la extensin .sh. 3. Establezca el bit de ejecucin de UNIX para la cuenta de administracin del servidor web.
187
Cuando se necesite y se instale el programa query_contents en un servidor de fondo de aplicaciones web de Windows con conexin (junction), se debe utilizar la opcin q al crear la conexin (junction) con ese servidor. El motivo de este requisito es que, de forma predeterminada, WebSEAL busca el programa query_contents en el directorio cgi-bin:
/cgi-bin/query_contents
Si cambia el nombre del programa query_contents o cambia su ubicacin de directorio, debe utilizar la opcin q <ubicacin> al crear la conexin (junction). El argumento de ubicacin especifica la nueva ubicacin y nombre del programa. El nombre del programa query_contents utilizado en la plataforma Windows es query_contents.exe. La presencia de la extensin .exe hace que el nombre del programa sea diferente. Por lo tanto, WebSEAL no puede encontrar el nombre de programa predeterminado. Debe utilizar la opcin y argumento q <ubicacin> para indicar a WebSEAL dnde puede encontrar el archivo. Por ejemplo:
create -t tcp -h <nombre-host> ... -q /cgi-bin/query_contents.exe /<nombre-conexin>
La opcin q no es necesaria para un servidor UNIX porque el nombre y la ubicacin del programa query_contents coinciden con la condicin predeterminada. Procedimiento: Localice el programa ejecutable denominado query_contents.exe y el archivo de configuracin denominado query_contents.cfg en el siguiente directorio: Windows: <ruta-acceso-instalacin>\www\lib\query_contents 1. Asegrese de que el servidor web de terceros tenga el directorio CGI configurado correctamente. 2. Para las comprobaciones, asegrese de que exista un documento vlido en la raz de documentos del servidor web de terceros. 3. Copie query_contents.exe en el directorio CGI del servidor web de terceros. 4. Copie query_contents.cfg en el directorio Windows. En la tabla siguiente aparecen los valores predeterminados de este directorio:
Sistema operativo Windows 95 y 98 Windows NT 4.x y 2000 c:\windows c:\winnt Directorio Windows
5. Edite el archivo query_contents.cfg para especificar correctamente el directorio raz de documentos para el servidor web de terceros. Actualmente, el archivo contiene ejemplos de entradas para los servidores Microsoft Internet Information Server y Netscape FastTrack. Las lneas de este archivo que empiecen con un punto y coma (;) son comentarios y el programa query_contents las omitir. 6. Cree una conexin (junction) con el servidor Windows de fondo y utilice la opcin q para especificar que query_contents.exe es el archivo correcto. Por ejemplo:
pdadmin> server task webseald-<nombre-instancia> create -t tcp -h <nombre-host> ... \ -q /cgi-bin/query_contents.exe /<nombre-conexin>
188
Prueba de la configuracin
1. Desde un indicador de MS-DOS de la mquina Win32, ejecute el programa query_contents del directorio CGI de la siguiente forma:
MSDOS> query_contents dirlist=/
El nmero 100 es un estado de retorno que indica el xito de la operacin. Es importante ver el nmero 100 al menos como el primer valor (y tal vez el nico). Si, por lo contrario, ve un cdigo de error, ello indica que el archivo de configuracin no se encuentra en la ubicacin correcta o bien no contiene una entrada de raz de documentos vlida. Compruebe la configuracin del archivo query_contents.cfg y asegrese de que la raz de documentos existe. 2. Desde un navegador, especifique la siguiente direccin URL:
http://<nombre-mquina-win32>/cgi-bin/query_contents.exe?dirlist=/
Debera aparecer el mismo resultado que en el paso anterior. Si no es as, la configuracin de CGI del servidor web no es correcta. Consulte la documentacin del servidor para corregir el problema.
Personalizacin de query_contents
La tarea de query_contents es devolver el contenido de los directorios incluidos en una peticin de direccin URL. Por ejemplo, para obtener el contenido del directorio raz del espacio web de un servidor, el navegador ejecuta query_contents en una direccin URL, como por ejemplo:
http://servidor-de-terceros/cgi-bin/query_contents?dirlist=/
El script query_contents lleva a cabo las acciones siguientes: 1. Lee $SERVER_SOFTWARE, una variable de entorno de CGI estndar, para determinar el tipo de servidor. Segn el tipo de servidor web, la variable $DOCROOTDIR se establece en una ubicacin raz de documentos tpica. 2. Lee la variable de entorno $QUERY_STRING de la direccin URL solicitada para obtener la operacin solicitada y obtener la ruta de acceso de objetos. El valor de la operacin se almacena en la variable $OPERATION y la ruta de acceso de objetos en $OBJPATH. En el ejemplo anterior, $OPERATION es dirlist y $OBJPATH es /. 3. Crea una lista de directorios (ls) en la ruta de acceso del objeto y coloca los resultados en la salida estndar para que lo utilice el servidor de Access Manager. Las entradas que indican subdirectorios tienen una barra inclinada doble (//) agregada. sta es una salida tpica:
100 index.html cgi-bin// pics//
Captulo 7. Conexiones (junctions) WebSEAL
189
Funcionalidad adicional
El cdigo fuente del programa query_contents (query_contents.c) se distribuye con Access Manager sin necesidad de pagar ningn derecho. Se pueden agregar funciones adicionales a este programa para dar soporte a las caractersticas especiales de algunos servidores web de terceros. Estas caractersticas son: 1. Correlacin de directorios, cuando un subdirectorio que no est por debajo del directorio raz de documentos se correlacione en el espacio web. 2. Generacin de un espacio web que no est basado en el sistema de archivos. Puede tratarse de un servidor web que aloje una base de datos.
Proteccin de query_contents
Access Manager utiliza el programa CGI query_contents para visualizar los espacios de objetos del servidor web con conexin (junction) en Web Portal Manager. Es muy importante proteger este archivo para que no sea ejecutado por usuarios no autorizados. Debe establecer una poltica de seguridad que slo permita a la identidad de Policy Server (pdmgrd) tener acceso al programa query_contents. La siguiente ACL de ejemplo (query_contents_acl) cumple estos requisitos:
group ivmgrd-servers Tl user sec_master dbxTrlcam
Utilice el programa de utilidad pdadmin para asociar esta ACL con el objeto de query_contents.sh (UNIX) o query_contents.exe (Windows) en los servidores con conexin (junction). Por ejemplo (UNIX):
pdadmin> acl attach /WebSEAL/<host>/<nombre-conexin>/query_contents.sh \ query_contents_acl
190
191
El problema de administrar y mantener identidades de inicios de sesin mltiples puede resolverse habitualmente con un mecanismo de inicio de sesin nico (SSO). Una solucin de inicio de sesin nico permite al usuario acceder a un recurso, con independencia de la ubicacin del recurso, utilizando slo un inicio de sesin inicial. Los requisitos de inicio de sesin posteriores de los servidores de fondo se gestionan de una forma transparente para el usuario.
192
En este escenario se supone que el servidor de fondo necesita la autenticacin de una identidad de Access Manager. Al correlacionar un usuario de cliente con un usuario de Access Manager conocido, WebSEAL gestiona la autenticacin para el servidor de fondo y proporciona una sencilla solucin de inicio de sesin nico en todo el dominio. Existen las siguientes condiciones para esta solucin: v WebSEAL est configurado para que proporcione al servidor de fondo el nombre de usuario contenido en la peticin de cliente original ms una contrasea genrica (simulada). v La contrasea simulada est configurada en el archivo de configuracin webseald.conf. v El registro del servidor de fondo debe reconocer la identidad de Access Manager proporcionada en la cabecera de BA HTTP. v Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la conexin (junction), la seguridad de la conexin es importante. Es muy recomendable una conexin (junction) SSL.
Limitaciones
Se utiliza la misma contrasea simulada de Access Manager para todas las peticiones; todos los usuarios tienen la misma contrasea en el registro del servidor
193
de fondo. El uso de la contrasea simulada comn no ofrece ninguna base para que el servidor de aplicaciones compruebe la legitimidad del inicio de sesin del cliente con ese nombre de usuario. Si los clientes pasan siempre a travs de WebSEAL para acceder al servidor de fondo, esta solucin no presenta ningn problema de seguridad. Sin embargo, es importante proteger fsicamente el servidor de fondo de otras posibles formas de acceso. Puesto que este escenario no tiene ninguna seguridad de nivel de contraseas, el servidor de fondo debe fiarse implcitamente de WebSEAL para verificar la legitimidad del cliente. El registro del servidor de fondo debe reconocer tambin la identidad de Access Manager para aceptarla.
194
Si necesita proporcionar al servidor de fondo alguna informacin de cliente, puede combinar esta opcin con la opcin c para insertar la informacin de identidad de cliente de Access Manager en campos de cabecera HTTP. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177.
195
La opcin b gso indica a WebSEAL que debe proporcionar al servidor de fondo la informacin de autenticacin (nombre de usuario y contrasea) obtenida de la configuracin de un servidor para gestionar el inicio de sesin global (GSO). Existen las siguientes condiciones para esta solucin: v Las aplicaciones de servidor de fondo requieren distintos nombres de usuario y contraseas que no estn contenidos en el registro de WebSEAL. v La seguridad es importante para WebSEAL y el servidor de fondo. Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la conexin (junction), la seguridad de la conexin es importante. Es muy recomendable una conexin (junction) SSL. Este mecanismo se describe detalladamente en el apartado Utilizacin de Global Sign-on (GSO).
196
4. WebSEAL inserta la informacin de nombre de usuario y contrasea en la cabecera de autenticacin bsica HTTP de la peticin que se enva a travs de la conexin (junction) con el servidor de fondo.
En este ejemplo, el registro devuelve el nombre de usuario mike y la contrasea 123 a WebSEAL. WebSEAL utiliza esta informacin cuando construye la cabecera de autenticacin bsica en la peticin enviada a travs de la conexin (junction) al servidor de fondo.
Captulo 8. Soluciones de inicio de sesin nico de web
197
A continuacin se muestra una lista de opciones para configurar conexiones (junctions) GSO:
Opciones b gso Descripcin Especifica que GSO debe proporcionar informacin de autenticacin para todas las peticiones que pasan por esta conexin (junction). Especifica el recurso o grupo de recursos de GSO. El nombre de recurso utilizado como argumento para esta opcin debe coincidir exactamente con el nombre de recursos tal como se lista en la base de datos de GSO. Necesario para conexiones (junctions) gso.
T <recurso/grupo-recursos>
Se puede proteger una conexin (junction) utilizada en una solucin WebSEAL/GSO a travs de SSL aplicando tambin la opcin t ssl al crear la conexin. Es recomendable que utilice siempre conexiones (junctions) SSL con GSO para garantizar el cifrado de credenciales y todos los datos.
Para conectar el recurso de aplicaciones payroll-app del host adm_svr con el punto de conexin (junction) /admin y proteger la conexin con SSL:
create t ssl b gso T payroll-app h adm_svr /admin
198
de inactividad y de duracin ms altos aumentan el rendimiento, pero tambin el riesgo de exposicin de la informacin en la memoria de WebSEAL. No habilite la cach de GSO si no se utilizan las conexiones (junctions) GSO en su solucin de red.
Parmetro gso-cache-enabled Descripcin Habilita e inhabilita la funcionalidad de la cach de GSO. Los valores posibles son yes y no. El valor predeterminado es no. Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor para que se aproxime al valor mximo de sesiones de usuario simultneas que acceden a una aplicacin a travs de una conexin (junction) GSO. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando una entrada de cach caduca, la siguiente peticin del mismo usuario requerir una nueva llamada al servidor de registro de usuarios. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva.
gso-cache-size
gso-cache-entry-lifetime
gso-cache-entry-idle-timeout
199
Para aumentar el rendimiento, WebSEAL puede almacenar la cookie LTPA en la cach, y utilizar la cookie LTPA almacenada en la cach para futuras peticiones durante la misma sesin de usuario. Puede configurar los valores de tiempo de espera de duracin y de inactividad (desocupado) para la cookie almacenada en la cach.
200
Parmetro ltpa-cache-size
Descripcin Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor para que se aproxime al valor mximo de sesiones de usuario simultneas que acceden a una aplicacin a travs de una conexin (junction) LTPA. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. El valor predeterminado es 4096 entradas. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando la entrada de cach caduca, la siguiente peticin del mismo usuario requerir la creacin de una nueva cookie LTPA. El valor predeterminado es 3600 segundos. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva. El valor predeterminado es 600 segundos.
ltpa-cache-entry-lifetime
ltpa-cache-entry-idle-timeout
Contexto y objetivos
La autenticacin de formularios de inicio de sesin nico da soporte a las aplicaciones existentes que utilizan formularios HTML para efectuar la autenticacin y no se puede modificar para confiar directamente en la autenticacin realizada por WebSEAL. La habilitacin de la autenticacin de formularios de inicio de sesin nico produce los resultados siguientes: v WebSEAL interrumpe el proceso de autenticacin iniciado por la aplicacin de fondo. v WebSEAL proporciona los datos que necesita el formulario de inicio de sesin y somete el formulario de inicio de sesin en nombre del usuario.
201
v WebSEAL guarda y restaura todas las cookies y las cabeceras v El usuario no sabe que se est realizando un segundo inicio de sesin. v La aplicacin de fondo no sabe que el formulario de inicio de sesin no procede directamente del usuario. WebSEAL debe configurarse para: v Reconocer e interceptar el formulario de inicio de sesin v Rellenar los datos de autenticacin adecuados El administrador habilita el inicio de sesin nico con formularios al realizar lo siguiente: v Crear un archivo de configuracin para especificar cmo se debe reconocer, completar y procesar el formulario de inicio de sesin v Habilitar el inicio de sesin nico con formularios configurando la conexin (junction) adecuada con la opcin S (que especifica la ubicacin del archivo de configuracin)
2. WebSEAL pasa la peticin a la conexin (junction). 3. Dado que la aplicacin de fondo requiere la autenticacin del usuario, la redireccin de la pgina de inicio de sesin de la aplicacin (login.html) se devuelve a travs de la conexin (junction).
202
Nota: Hasta este punto, todos los elementos del flujo de proceso corresponden a la funcionalidad estndar de WebSEAL. 6. WebSEAL se ha configurado para el inicio de sesin nico con formularios (opcin S en la conexin (junction)). WebSEAL reconoce la peticin como una peticin de pgina de inicio de sesin, basndose en la informacin que contiene el archivo de configuracin SSO de formularios. La peticin se pasa a la conexin (junction). WebSEAL guarda todas las cookies enviadas por el navegador para utilizarlas en el paso 8. 7. La aplicacin devuelve la pgina de inicio de sesin y, posiblemente, las cookies especficas de la aplicacin. WebSEAL analiza el cdigo HTML devuelto para identificar el formulario de inicio de sesin. Cuando WebSEAL encuentra un formulario HTML en el documento, compara el URI de accin del formulario con el valor del parmetro login-form-action del archivo de configuracin personalizado. Si hay una coincidencia, WebSEAL utiliza el formulario que ha encontrado. De lo contrario, WebSEAL sigue buscando otros formularios. Si ninguno de los formularios de la pgina coincide con el patrn de URI de accin del archivo de configuracin, WebSEAL anula el proceso de inicio de sesin nico con formularios y devuelve un error al navegador. WebSEAL analiza la pgina HTML para identificar el mtodo de peticin, el URI de accin y cualquier otro campo de entrada del formulario, y los guarda para utilizarlos en el paso 8. 8. WebSEAL genera la peticin de autenticacin (completa el formulario de inicio de sesin) y la enva a la aplicacin de fondo. 9. La aplicacin efecta la autenticacin utilizando los datos de autenticacin proporcionados por WebSEAL en el formulario. La aplicacin devuelve la redireccin a content.html. 10. WebSEAL combina las cookies guardadas de las respuestas de los pasos 7 y 9 y devuelve dichas cookies con la redireccin al navegador. Nota: As se completa la funcionalidad especfica de SSO de formularios. 11. El navegador sigue la redireccin y solicita:
https://webseal/formsso/content.html
12. WebSEAL pasa la peticin a la aplicacin de fondo a travs de la conexin (junction). Durante este proceso, el navegador efecta tres peticiones a WebSEAL. Desde la perspectiva del usuario, slo se efecta una sola peticin de https://webseal/formsso/content.html. Las otras peticiones se producen automticamente a travs de redirecciones HTTP.
203
2. La pgina de inicio de sesin puede incluir ms de un formulario HTML. No obstante, el formulario de inicio de sesin debe identificarse aplicando una expresin regular a los URI de accin de cada uno de los formularios de inicio de sesin, o el formulario de inicio de sesin es el primero de la pgina de inicio de sesin. Tenga en cuenta que si se utiliza el atributo action para identificar el formulario de inicio de sesin, el atributo action no se habr pasado a travs del filtrado HTML de WebSEAL. La expresin regular debe coincidir con el URI de accin antes de aplicar el filtro. 3. Puede utilizarse un script del cliente para validar los datos de entrada, pero no debe modificar dichos datos. Esto incluye el uso de Javascript para establecer cookies en el navegador del usuario. 4. Los datos de inicio de sesin slo se someten en un punto del proceso de autenticacin. 5. La conexin (junction) a la que se dirige la peticin de autenticacin debe ser la misma conexin (junction) en la que se devuelve la pgina de inicio de sesin.
Creacin del archivo de configuracin para el inicio de sesin nico con formularios
El administrador crea de forma personalizada el archivo de configuracin de inicio de sesin nico con formularios y lo guarda en cualquier ubicacin. La opcin S en la conexin (junction) habilita la funcionalidad de inicio de sesin nico con formularios y especifica la ubicacin del archivo de configuracin. Consulte el apartado Habilitacin del inicio de sesin nico con formularios en la pgina 208. Un archivo de configuracin de ejemplo (que contiene instrucciones comentadas) se proporciona con la instalacin de WebSEAL y se ubica en el directorio siguiente: UNIX:
/opt/pdweb/etc/fsso.conf.template
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\fsso.conf.template
El archivo de configuracin debe empezar con la stanza [forms-sso-login-pages] y tiene el formato siguiente
[forms-sso-login-pages] login-page-stanza = <xxxxx> #login-page-stanza = <aaaaa> #login-page-stanza = <bbbbb> [<xxxxx>] login-page = <coinc-pgina-expresin-regular> login-form-action = <coinc-formulario-expresin-regular> gso-resource = <destino-gso> argument-stanza = <yyyyy> [<yyyyy>] <nombre> = <mtodo>:<valor>
La stanza [forms-sso-login-pages]
El archivo de configuracin de inicio de sesin nico con formularios debe empezar siempre con la stanza [forms-sso-login-pages]. La stanza contiene una o ms entradas login-page-stanza que apuntan a otras stanzas con denominacin personalizada que contienen informacin de configuracin para las pginas de inicio de sesin que se encuentran en el servidor de aplicaciones de fondo.
204
La capacidad de dar soporte a mltiples pginas de inicio de sesin en una sola conexin (junction) es importante porque un solo servidor de fondo puede alojar varias aplicaciones y cada una de stas utiliza un mtodo de autenticacin diferente. Por ejemplo:
[forms-sso-login-pages] login-page-stanza = loginpage1 login-page-stanza = loginpage2
login-form-action
gso-resource
argument-stanza
Por ejemplo:
[loginpage1] login-page = /cgi-bin/getloginpage* login-form-action = * gso-resource = argument-stanza = form1-data
Acerca del parmetro login-page: El valor del parmetro login-page es una expresin regular que WebSEAL utiliza para determinar si una peticin entrante es en realidad una peticin de una pgina de inicio de sesin. En caso afirmativo, WebSEAL intercepta esta peticin e inicia el proceso de inicio de sesin nico con formularios. Slo se permite un parmetro login-page en cada stanza de pgina de inicio de sesin personalizada. Debe crear una stanza de pgina de inicio de sesin personalizada para cada parmetro login-page adicional.
Captulo 8. Soluciones de inicio de sesin nico de web
205
La expresin regular login-page se compara con el URI de peticin, que es relativo a la conexin (junction). En el ejemplo siguiente, el URI de una peticin a un servidor WebSEAL denominado websealA para un recurso en una conexin (junction) denominada junctionX puede tener el siguiente aspecto:
https://websealA.ibm.com/junctionX/auth/login.html
La parte de esta direccin URL que se compara con la expresin regular login-page es:
/auth/login.html
Acerca del parmetro login-form-action: El parmetro login-form-action se utiliza para identificar el formulario de inicio de sesin en la pgina interceptada. Slo se permite un parmetro login-form-action en cada stanza. El valor del parmetro login-form-action es una expresin regular que se compara con el contenido del atributo action del indicador form de HTML. El atributo action es un URI expresado como una ruta de acceso relativa, relativa al servidor, o absoluta. El parmetro login-form-action debe coincidir con esta ruta de acceso cuando proviene del servidor de fondo, aunque en circunstancias normales WebSEAL no lo modificara antes de reenviarlo al cliente. Si varios atributos action en la pgina coinciden con la expresin regular, slo se acepta la primera coincidencia en el formulario de inicio de sesin. Si la expresin regular no coincide con ningn formulario en la pgina, se devuelve un error al navegador en el que se informa que no se ha encontrado el formulario. Puede establecer login-form-action = * como una manera sencilla de coincidir con el formulario de inicio de sesin cuando la pgina slo incluye un formulario de inicio de sesin.
En la mayora de los casos, no son necesarios los caracteres especiales porque la peticin de la pgina de inicio de sesin es un URI nico identificable. En algunos
206
casos se puede utilizar * al final de la expresin para que cualquier dato de consulta situado al final del URI no impida la coincidencia de la pgina de inicio de sesin.
La stanza de argumento
La stanza de argumento personalizada contiene una o ms entradas en el formato siguiente:
<nombre> = <mtodo>:<valor>
name El valor del parmetro name se define como igual al valor del atributo name del indicador input de HTML. Por ejemplo:
<input name=uid type=text>Nombreusuario</input>
Este parmetro tambin puede utilizar el valor del atributo name de los indicadores select o textarea de HTML. method:value Esta combinacin de parmetros recupera los datos de autenticacin que necesita el formulario. Los datos de autenticacin pueden incluir los siguientes: v Datos de cadena de literales
cadena:<texto>
La entrada es el nombre de usuario y contrasea de GSO del usuario actual (del destino especificado en la stanza de pgina de inicio de sesin personalizada). v Valor de un atributo en la credencial del usuario
cred:<nombre-atr-ext-cred>
De forma predeterminada, la credencial incluye informacin como el nombre de usuario y DN de Access Manager. Para utilizar el nombre de usuario de Access Manager del usuario como valor de entrada, especifique el valor como:
cred:azn_cred_principal_name
Tambin pueden utilizarse atributos de credencial personalizados (se agregan mediante el mecanismo tag/value). No es necesario especificar campos de entrada ocultos en esta stanza. Estos campos se recuperan automticamente del formulario HTML y se someten con la peticin de autenticacin. Por ejemplo:
[form1-data] uid = string:brian
207
El argumento ruta-acceso-archivo-config especifica la ubicacin del archivo personalizado de configuracin de inicio de sesin nico con formularios. La opcin S en la conexin (junction) habilita la funcionalidad de inicio de sesin nico con formularios en la conexin (junction). Por ejemplo:
pdadmin> server task webseald-<instancia> -t tcp -h websvrA \ -S /opt/pdweb/fsso/fsso.conf /jctX
El archivo de configuracin se lee cuando se crea la conexin (junction) y cada vez que se inicia WebSEAL. Los errores en el archivo de configuracin pueden provocar que WebSEAL falle durante el inicio.
208
Configuracin FSSO de helpnow: [forms-sso-login-pages] login-page-stanza = helpnow [helpnow] # El sitio HelpNow le redirige a esta pgina en # la que tiene que iniciar la sesin. login-page = /bluebase/bin/files/wcls_hnb_welcomePage1.cgi # El formulario de inicio de sesin es el primero de la pgina, # de modo que podemos llamarlo simplemente # *. login-form-action = * # El recurso GSO, helpnow, contiene el nmero de serie de los empleados. gso-resource = helpnow # Siguen los argumentos de autenticacin. argument-stanza = auth-data [auth-data] # El campo data contiene el nmero de serie de los empleados. data = gso:username # El campo Cntselect contiene un nmero que corresponde al # pas de origen del empleado. La cadena 897 corresponde a Estados Unidos. Cntselect = string:897
209
210
211
Descripcin Grupos de Access Manager a los que pertenece el solicitante. Especificados como lista de grupos separados por comas, cada grupo se especifica entre comillas. Estructura de datos opacos codificados que representan una credencial de Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
HTTP_IV_CREDS
Variable REMOTE_USER en un servidor WebSEAL local: En un entorno de servidor local controlado por WebSEAL, el valor de la variable HTTP_IV_USER listado anteriormente se incluye como valor para la variable REMOTE_USER estndar. Observe que la variable REMOTE_USER puede estar tambin presente en el entorno de una aplicacin CGI que se ejecute en un servidor de fondo con conexin (junction). Sin embargo, en esta situacin, WebSEAL no controla su valor.
Variable de entorno de CGI REMOTE_USER Descripcin Contiene el mismo valor que el campo HTTP_IV_USER.
Por ejemplo:
[cgi-environment-variables] #ENV = SystemDrive ENV = SystemRoot ENV = PATH ENV = LANG ENV = LC_ALL ENV = LC_CTYPE ENV = LC_MESSAGES ENV = LOCPATH ENV = NLSPATH
212
Nombre corto o largo del cliente. El valor predeterminado es Unauthenticated si el cliente no est autenticado (desconocido). Lista de grupos a los que pertenece el cliente. Especificada como lista separada por comas de grupos especificados entre comillas. Estructura de datos opacos codificados que representan una credencial de Access Manager. Proporciona credenciales para servidores remotos para que las aplicaciones de medio nivel puedan utilizar la API de autorizacin para llamar al servicio de autorizaciones. Consulte la publicacin IBM Tivoli Access Manager Authorization C API Developers Reference.
Estas cabeceras HTTP estn disponibles para las aplicaciones CGI como variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros entornos de aplicaciones que no son CGI, consulte la documentacin asociada al producto para obtener instrucciones acerca de la extraccin de cabeceras de peticiones HTTP. Consulte tambin el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 177.
213
v Soporte para el filtrado de las direcciones URL absolutas estndar en la pgina 214
Por ejemplo:
-v xyz.ibm.com:7001
Nota: La designacin de puerto slo debe proporcionarse si se utiliza un nmero de puerto no estndar.
214
a WebSEAL el nombre del servidor con conexin (junction) de fondo. Entre los argumentos de esta opcin pueden estar los siguientes: v Nombre de dominio completo del servidor v Nombre corto del servidor v Direccin IP del servidor WebSEAL identifica las direcciones URL absolutas para filtrarlos segn su informacin del nombre de servidor con conexin (junction) de fondo. Dependiendo del entorno de red del usuario, es posible que la configuracinh <nombre-corto> no proporcione informacin suficiente a WebSEAL. En el ejemplo siguiente se crea una conexin (junction) utilizando la opcin y el argumento siguientes para un servidor de fondo que se encuentra en la red ibm.com, con el nombre corto xyz:
-h xyz
Cuando esta pgina pasa al cliente durante una peticin, es posible que WebSEAL no filtre esta direccin URL porque, segn la informacin proporcionada por hno ha podido reconocer xyz.ibm.com como nombre del servidor. Sin el nombre de conexin (junction) en la ruta de acceso, las peticiones del documento de notas del release fallarn. Para dar soporte al filtrado correcto de las direcciones URL absolutas estticas, la recomendacin de ,mejor prctica es que se utilice siempre el nombre de dominio completo del servidor con conexin (junction) en la opcin h al crear o agregar la conexin (junction).
215
4. Para cada peticin de usuario a la direccin URL del portal, WebSEAL utiliza el Servicio de derechos de autorizacin para buscar este espacio de objetos y producir una lista de recursos que cumplan las condiciones de autorizacin de este usuario. 5. WebSEAL coloca esta informacin enuna cabecera HTTP PD_PORTAL que se enva al servidor de fondo del portal con conexin (junction). 6. El servicio de portal personalizado (por ejemplo, un CGI o un servlet) que se encuentra en el servidor de fondo lee el contenido de la cabecera PD_PORTAL y, por ejemplo, correlaciona el contenido con descripciones y vnculos de direcciones URL que se muestran al usuario en la pgina web. Esta informacin representa la lista personalizada de recursos disponibles para el usuario, a partir de los permisos de control de accesos.
2. Edite el archivo de configuracin webseald.conf para agregar una nueva stanza [portal-map]:
[portal-map]
3. La entrada en esta stanza identifica la direccin URL relativa al servidor del programa de servicios del portal y la regin del espacio de objetos donde se buscan los recursos de portal protegidos disponibles, seguido del permiso necesario para el acceso. Esta es la lista que se coloca en la cabecera PD_PORTAL.
[portal-map] <URL> = <regin-espacio-objetos>:<permiso>
Nota: Durante la bsqueda, slo se seleccionan los objetos de recurso con ACL definidas explcitamente que contengan el permiso correspondiente para este usuario. 4. Despus de agregar la stanza y las entradas de correlacin adecuadas, se debe reiniciar WebSEAL (webseald).
v Defina la regin del espacio de objetos protegidos de WebSEAL que contiene los recursos disponibles para el servicio de personalizacin:
pdadmin> pdadmin> pdadmin> pdadmin> pdadmin> objectspace create /Resources Portal Object Hierarchy 10 object create /Resources/Content 10 ispolicyattachable yes object create /Resources/Support 10 ispolicyattachable yes object create /Resources/Content/CGI 11 ispolicyattachable yes object create /Resources/Support/Servlet 11 ispolicyattachable yes
Nota: El argumento ispolicyattachable debe definirse como yes para cada uno de los recursos. El mecanismo de bsqueda slo selecciona objetos de recursos cualificados con ACL definidas explcitamente. v Configuracin de WebSEAL (webseald.conf):
216
217
En la misma credencial, cada entrada de nombre-atr-ampl-cred definida en el archivo de configuracin pd.conf tiene un prefijo con la expresin tagvalue_. Este prefijo impide que haya conflictos con la otra informacin existente en la credencial. Por ejemplo:
Nombre y valor de la clase de objeto inetOrgPerson: Nombre del atributo ampliado de la credencial: Asocia el nombre de atributo con el nombre de datos LDAP de la stanza [ldap-ext-cred-tags]: Nombre y valor de atributo tal como aparecen en la credencial de usuario: employeeNumber:09876 ldap-employee-number ldap-employee-number = employeeNumber
tagvalue_ldap-employee-number:09876
v Esta funcionalidad requiere que el usuario se autentique mediante un nombre de usuario y una contrasea de LDAP. El mecanismo de autenticacin passwd-ldap debe estar habilitado. La biblioteca compartida libldapauthn (ldapauthn) est codificada para realizar bsquedas en la stanza [ldap-ext-cred-tags] del archivo de configuracin pd.conf, para obtener informacin suplementaria de la credencial definida por el usuario. v Los datos LDAP pueden provenir de un campo estndar o personalizado en la clase de objeto inetOrgPerson. v Pueden colocarse varias entradas en la stanza [ldap-ext-cred-tags]. v Todos los atributos ampliados especificados en las entradas de la stanza se colocan en la credencial durante el inicio de sesin del usuario. v Los nombres de los datos LDAP no son sensibles a maysculas y minsculas. v Los nombres de los atributos ampliados de credencial son sensibles a maysculas y minsculas.
218
Un atributo ampliado (nombre-atr) habilita la conexin (junction) para realizar un tipo especfico de funcin. El atributo ampliado HTTP-Tag-Value indica a la conexin (junction) que extraiga un valor determinado de una credencial de usuario y enve el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el siguiente formato:
<nombre-atr-ampl-cred>=<nombre-cabecera-http>
La entrada nombre-atr-ampl-cred aparece exactamente tal como lo hace en la stanza [ldap-ext-cred-tags] del archivo de configuracin pd.conf. El prefijo tagvalue_, que aparece en la credencial, no se utiliza. La entrada es sensible a maysculas y minsculas. La entrada nombre-cabecera-http especifica el nombre de la cabecera HTTP que se ha utilizado para transmitir los datos a travs de la conexin (junction). Por ejemplo:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value ldap-employee-number=employee-id
Cuando WebSEAL procesa una peticin de usuario para un servidor de aplicaciones de fondo, busca si hay algn atributo HTTP-Tag-Value configurado en el objeto de conexin (junction). En este ejemplo, la conexin (junction) configurada busca la credencial del usuario que ha efectuado la peticin, extrae el valor del atributo ampliado de credencial tagvalue_ldap-employee-number y lo coloca en una cabecera HTTP como:
employee-id:09876
En resumen:
Valor del atributo HTTP-Tag-Value ldap-employee-number=employee-id definido en el objeto de conexin (junction): Nombre y valor de atributo tal como aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: tagvalue_ldap-employee-number:09876 employee-id:09876
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
Captulo 9. Integracin de aplicaciones
219
HTTP_<nombre-cabecera-http>
Por ejemplo:
HTTP_employee-id=09876
Se pueden pasar mltiples datos de atributos de usuario al servidor con conexin (junction) utilizando varios comandos pdadmin object modify set attribute para especificar mltiples atributos de conexin (junction) HTTP-Tag-Value (se especifica un atributo por comando).
220
El ID de sesin de usuario exclusivo se almacena en una credencial de usuario como un atributo ampliado con un nombre y un valor:
tagvalue_user_session_id = <id-sesin-usuario>
En la misma credencial, el nombre de atributo ampliado de credencial (user_session_id) aparece con el prefijo tagvalue_ para evitar cualquier conflicto con otras informaciones existentes en la credencial. El valor del ID de sesin de usuario es una cadena que identifica de forma exclusiva una sesin especfica para un usuario autenticado. El ID de sesin de usuario es una cadena codificada MIME-64 que incluye el nombre de la instancia de WebSEAL (para dar soporte a mltiples instancias de WebSEAL) y el ID de sesin estndar de WebSEAL para el usuario. Un solo usuario que inicie una sesin varias veces (por ejemplo, desde mquinas distintas) tiene mltiples ID de sesin de WebSEAL. Dado que el ID de sesin de usuario se basa en el ID de sesin de WebSEAL, hay una correlacin de uno a uno entre ambos. El ID de sesin de usuario exclusivo se almacena en la credencial de usuario como un atributo. Esto permite que se pase el valor a travs de una conexin (junction) como una cabecera HTTP (utilizando la funcionalidad de valor de seal) y que quede disponible para una aplicacin de fondo.
Un atributo (nombre-atr) habilita la conexin (junction) para realizar un tipo especfico de funcin. El atributo HTTP-Tag-Value habilita la conexin (junction) para extraer un valor ampliado de credencial y enviar el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el formato siguiente:
<nombre-atr-ampl-cred>=<nombre-cabecera-http>
Para los datos de ID de sesin de usuario, la entrada cred-ext-attr-name es el nombre del atributo ampliado user_session_id en la credencial del usuario. El prefijo tagvalue_, que slo aparece en la credencial, no se utiliza. La entrada es sensible a maysculas y minsculas. El valor de este atributo ampliado contiene el ID de sesin de usuario exclusivo. La entrada nombre-cabecera-http especifica el nombre de la cabecera HTTP que se ha utilizado para transmitir los datos a travs de la conexin (junction).En este ejemplo, se utiliza una cabecera denominada PD-USER-SESSION-ID:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value user_session_id=PD-USER-SESSION-ID
Captulo 9. Integracin de aplicaciones
221
Cuando WebSEAL procesa una peticin de usuario a un servidor de aplicaciones de fondo, busca cualquier atributo ampliado HTTP-Tag-Value que est configurado en el objeto de conexin (junction). En este ejemplo, la conexin (junction) configurada busca la credencial del usuario que ha efectuado la peticin, extrae el valor de ID de sesin de usuario del atributo ampliado tagvalue_user de la credencial y lo coloca en una cabecera HTTP como:
PD-USER-SESSION-ID:<id-sesin-usuario>
En resumen:
Valor del atributo HTTP-Tag-Value definido en el objeto de conexin (junction): user_session_id=PD-USER-SESSION-ID
Nombre y valor de atributo tal como tagvalue_user_session_id:<id-sesin-usuario> aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: PD-USER-SESSION-ID:<id-sesin-usuario>
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
HTTP_<nombre-cabecera-http>
Por ejemplo:
HTTP_PD-USER-SESSION-ID=<id-sesin-usuario>
Para obtener informacin detallada sobre las funciones de seal/valor, consulte Habilitacin de autorizaciones empresariales dinmicas (seal/valor) en la pgina 217.
222
Consulte la publicacin IBM Tivoli Access Manager Administration C API Developers Reference para obtener ms informacin.
La cach de credenciales de WebSEAL se organiza para realizar una referencia cruzada de ID de usuario, ID de sesin de WebSEAL e informacin de entrada de cach. Un usuario tiene siempre un ID de usuario exclusivo en varias sesiones. En cambio, cada ID de sesin de WebSEAL es exclusivo. El comando terminate all_sessions elimina todas las entradas de cach que pertenezcan a id-usuario.
WebSEAL comprueba que haya los permisos adecuados para el administrador que inicia el comando antes de terminar las sesiones de usuario.
223
Todas estas herramientas utilizan direcciones URL dinmicas como elementos de formulario ocultos para comunicar la operacin solicitada (con su valor de parmetro) al servidor de aplicaciones. Una direccin URL dinmica ampla la direccin URL estndar con informacin acerca de la operacin especfica y sus valores de parmetros. El fragmento de la cadena de caracteres de consulta de la direccin URL proporciona operaciones, parmetros y valores para la interfaz de aplicaciones web.
Figura 46. Transferencia de datos a un gateway CGI mediante una direccin URL
La ubicacin de este archivo (relativa a la raz de servidor) est definida por el parmetro dynurl-map en la stanza [server] del archivo de configuracin webseald.conf:
[server] dynurl-map = lib/dynurl.conf
Debe crear este archivo, ya que no existe de forma predeterminada. La existencia de este archivo (con entradas) ofrece la posibilidad de direcciones URL dinmicas. Edite este archivo para modificar las correlaciones. Las entradas del archivo tienen el formato:
<objeto> <plantilla>
Access Manager utiliza un subconjunto de valores que cumplen patrones especficos de shell de UNIX (incluidos los caracteres comodn) para definir el
224
conjunto de parmetros que constituyen un objeto en el espacio de objetos. Cualquier direccin URL que coincida con esos parmetros se correlaciona con ese objeto. Access Manager da soporte a los siguientes caracteres que cumplen patrones especficos de shell de UNIX:
Carcter \ Descripcin El carcter que sigue a la barra inclinada invertida forma parte de una secuencia especial. Por ejemplo, \t es el carcter TAB. Tambin puede actuar como carcter de escape. Carcter comodn que coincide con un solo carcter. Por ejemplo, la cadena de caracteres abcde coincide con la expresin ab?de Carcter comodn que coincide con cero o ms caracteres. Define un conjunto de caracteres del cual puede coincidir cualquiera de los caracteres. Por ejemplo, la cadena abcde coincide con la expresin regular ab[cty]de. Indica una negacin. Por ejemplo, la expresin [^ab] coincide con cualquier carcter excepto los caracteres a o b.
? * []
El ejemplo siguiente muestra el formato de una direccin URL dinmica que realiza una bsqueda de balance de crdito:
http://<nombre-servidor>/home-bank/owa/acct.bal?acc=<nmero-cuenta>
El objeto que representa esta direccin URL dinmica aparecera de la siguiente forma:
http://<nombre-servidor>/home-bank/owa/acct.bal?acc=*
Si observamos la direccin URL dinmica de este ejemplo veremos que describe un nmero de cuenta especfico. El objeto de los balances de cuentas de home-bank muestra que los permisos ACL y POP se aplican a cualquier cuenta, puesto que el ltimo fragmento de la entrada (acc=*) utiliza el carcter comodn asterisco, que coincide con todos los caracteres. La siguiente figura muestra un ejemplo completo de direccin URL dinmica especfica correlacionada con un objeto protegido especfico:
225
226
Observe que si las entradas de correlaciones estuvieran en orden inverso, todos los procedimientos almacenados en el directorio /ows/db-apps/owa se correlacionaran con el objeto /ows/sales/general. Esto podra provocar brechas de seguridad, debido a una resolucin incorrecta del espacio de objetos. Cuando se correlaciona una expresin regular de direccin URL con una entrada de espacio de objetos, el formato de la direccin URL debera tomar el formato tal como se produce con el mtodo GET, independientemente de si se utiliza el mtodo POST o GET. En el mtodo GET de transmisin de datos, los datos dinmicos (como los proporcionados por un usuario en un formulario) se agregan a la direccin URL. En el mtodo POST de transmisin de datos, los datos dinmicos se incluyen en el texto de la peticin.
Observe que este parmetro no limita el tamao mximo de contenido POST (que es ilimitado). El parmetro protege a WebSEAL para que no procese una peticin POST de tamao excesivo. dynurl-allow-large-posts Aunque el parmetro request-body-max-read limita la cantidad de contenido de POST que WebSEAL puede leer y procesar, no impide que la peticin se pase ntegramente a travs del servidor de aplicaciones. En este caso, se pasa un
Captulo 9. Integracin de aplicaciones
227
contenido que no se ha validado a travs del servidor de aplicaciones. Si el servidor de aplicaciones no tiene sus propias posibilidades de autorizacin, la situacin puede suponer un riesgo de seguridad. El parmetro dynurl-allow-large-posts permite controlar la forma en la que WebSEAL maneja las peticiones POST que tienen una longitud de contenido mayor que la especificada en request-body-max-read. Si el valor del parmetro se define como no (predeterminado), WebSEAL rechaza totalmente cualquier peticin POST con una longitud de contenido mayor que la especificada por request-body-max-read.
[server] dynurl-allow-large-posts = no
Si el valor del parmetro se define como yes, WebSEAL acepta la peticin POST completa, pero slo valida la cantidad de contenido equivalente al valor request-body-max-read.
[server] dynurl-allow-large-posts = yes
Ejemplo 1: v Se recibe una peticin POST de gran tamao (mayor que el valor request-body-max-read). v dynurl-allow-large-posts = no v Las direcciones URL dinmicas estn habilitadas. v Resultado: 500 Error de servidor Ejemplo 2: v Se recibe una peticin POST de gran tamao (mayor que el valor post-request-body-max-read). v dynurl-allow-large-posts = yes v Las direcciones URL dinmicas estn habilitadas. v Resultado: WebSEAL compara la cantidad de contenido hasta el valor request-body-max-read con cada una de las expresiones regulares del archivo de configuracin dynurl.conf y realiza una comprobacin de configuracin en el objeto correspondiente si se encuentra una coincidencia. De lo contrario, la comprobacin de autorizacin se realiza en el objeto que corresponde a la direccin URL recibida, como siempre. La parte del cuerpo de la peticin post-request-body-max-read no se valida. v La siguiente plantilla contiene el tipo de disposicin de coincidencia de patrones que crea dificultades debido a una peticin POST de gran tamao:
/rtpi153/webapp/examples/HitCount\?*action=reset*
228
v Despus de procesarse el archivo, el nombre de objeto aparece como recurso hijo en el espacio de objetos de WebSEAL. v La plantilla puede contener un subconjunto de los caracteres de coincidencia de patrones estndares. La plantilla tambin puede ser una cadena exacta sin caracteres de coincidencia de patrones. El siguiente archivo de ejemplo dynurl.conf define tres objetos que representan algunas de las aplicaciones web de ejemplo que forman parte del producto IBM WebSphere:
Entrada de objeto /app_showconfig /app_snoop /app_snoop /app_hitcount/ejb /app_hitcount Plantilla de direccin URL /rtpi153/webapp/examples/ShowConfig* /rtpi153/servlet/snoop /rtpi025/servlet/snoop /rtpi153/webapp/examples/HitCount\?source=EJB /rtpi153/webapp/examples/HitCount*
Notas tcnicas: v Se pueden correlacionar varias plantillas de direccin URL con el mismo objeto (por ejemplo, app_snoop se correlaciona con direcciones URL en dos servidores diferentes). v Los objetos se pueden anidar (por ejemplo, app_hitcount y app_hitcount/ejb). v Una peticin de direccin URL entrante se compara con las plantillas en orden, de arriba a abajo. Cuando se encuentra una coincidencia, el proceso se detiene. Por lo tanto, las plantillas ms restrictivas se colocan en la parte superior del archivo. v Para activar las definiciones en el archivo dynurl.conf, emita el comando dynurl update (utilice pdadmin server task). La actualizacin se produce inmediatamente y el objeto aparece en Web Portal Manager cuando se renueva la vista del espacio de objetos protegidos. v Evite el uso de maysculas en el nombre de objeto. Utilice slo caracteres en minsculas. v No utilice un nombre de objeto que ya exista en el espacio de objetos protegidos. v Antes de suprimir un objeto en el archivo dynurl.conf, elimine las ACL asociadas con el objeto.
La aplicacin
Travel Kingdom es una empresa que ofrece a los clientes un servicio de reserva de viajes a travs de Internet. La empresa quiere utilizar dos aplicaciones de bases de datos de Oracle en su servidor web accesible desde el cortafuegos corporativo y a travs de Internet. 1. Sistema de reserva de viajes
Captulo 9. Integracin de aplicaciones
229
Los clientes autorizados pueden efectuar reservas de forma remota y consultar sus reservas actuales. El personal de Travel Kingdom tambin puede efectuar reservas para los clientes que llaman por telfono, procesar cambios y realizar otras muchas transacciones. Puesto que los clientes externos pagan por los servicios con tarjeta de crdito, la transmisin de esa informacin debe estar altamente protegida. 2. Gestor de administracin Como muchas otras empresas, Travel Kingdom mantiene una base de datos de administracin que contiene salarios, posicin e informacin sobre la experiencia. Estos datos van tambin acompaados de una foto de cada miembro del personal.
La interfaz
Se configura un servidor web de Oracle para proporcionar acceso a los siguientes procedimientos almacenados en la base de datos:
/db-apps/owa/tr.browse Ofrece a todos los usuarios la posibilidad de realizar consultas acerca de los destinos de viajes, precios, etc. Se utiliza para efectuar una reserva (personal de la agencia de viajes o clientes autenticados). Se utiliza para revisar o cambiar las reservas actuales.
/db-apps/owa/tr.book /db-apps/owa/tr.change
/db-apps/owa/admin.browse
Los miembros del personal lo utilizan para ver informacin no restringida acerca de ste, como el nmero de extensin, la direccin de correo electrnico o la fotografa. Proporciona a un miembro del personal la posibilidad de ver o cambiar la informacin de sus datos personales en la base de datos de administracin. El personal de administracin lo utiliza para actualizar la informacin acerca del personal.
/db-apps/owa/admin.resume
/db-apps/owa/admin.update
La poltica de seguridad
Para proporcionar la seguridad apropiada a los recursos web, al mismo tiempo que se mantiene un sistema fcil de usar, la empresa ha establecido los siguientes objetivos de seguridad: 1. El personal de la agencia de viajes tiene un control total sobre todas las reservas. 2. Los clientes autenticados pueden efectuar y cambiar sus propias reservas, pero no pueden interferir con los datos de reservas de otros clientes autenticados. 3. El personal de administracin tiene acceso completo a toda la informacin de administracin.
230
4. El personal de Travel Kingdom que no es del departamento de administracin puede cambiar la informacin de sus propios datos personales y ver una parte de la informacin de otros miembros del personal.
Clientes seguros
El cliente se autentica en WebSEAL a travs de un canal seguro cifrado. Los clientes que deseen utilizar la interfaz web deben registrarse tambin con el administrador de web de Travel Kingdom para recibir una cuenta.
Control de acceso
La tabla siguiente muestra una lista de los controles de acceso derivados de la aplicacin de la informacin anterior:
231
/ows/tr/browse /ows/tr/auth
unauthenticated Tr any_authenticated
Tr
unauthenticated any_authenticated group TKStaff Tr group Customer PTr unauthenticated any_authenticated group Staff Tr unauthenticated any_authenticated group AdminStaff Tr
/ows/admin/forall
/ows/admin/auth
Los grupos Customer (Clientes) y TKStaff (PersonalTK) tienen los mismos privilegios en los objetos de mantenimiento de reservas y planificacin de viajes, con la excepcin de que los clientes deben cifrar la informacin (permiso de privacidad) para proporcionar una mayor seguridad al enviar datos confidenciales (por ejemplo, informacin de tarjetas de crdito) a travs de Internet, que no es fiable.
Conclusin
Este sencillo ejemplo muestra los conceptos de despliegue de un sistema capaz de: v Proteger la informacin confidencial v Autenticar usuarios v Autorizar el acceso a la informacin confidencial Adems, los servidores web de WebSEAL y de Oracle conocen las identidades de los usuarios autenticados del sistema y estn habituados a proporcionar una solucin de inicio de sesin nico con registro.
232
233
[ssl-qop-mgmt-default] v SESIN [session] v CONTENIDO [content] [acnt-mgt] [cgi] [cgi-types] [cgi-environment-variables] [content-index-icons] [icons] [content-cache] [content-mime-types] [content-encodings] v INICIO DE SESIN [logging] v API DE AUTORIZACIN [aznapi-configuration] [aznapi-entitlement-services] v POLICY DIRECTOR [policy-director]
GENERAL DE WEBSEAL Parmetro stanza [server] SISTEMA unix-user unix-group unix-pid-file server-root server-name THREADS Y CONEXIONES worker-threads client-connect-timeout persistent-con-timeout CLIENTE HTTPS https https-port CLIENTE HTTP http http-port Permite el acceso HTTP (TCP) no seguro. Puerto que se debe utilizar en las peticiones HTTP no seguras. Permite el acceso HTTPS. Puerto que se debe utilizar en las peticiones HTTPS seguras. Nmero de threads de trabajo de WebSEAL. Tiempo de espera de conexin inicial del cliente. Tiempo de espera de conexin persistente HTTP/1.1 Cuenta de usuario de UNIX para el servidor WebSEAL. Cuenta de grupo de UNIX para el servidor WebSEAL. Ubicacin del archivo PID. Directorio raz del servidor WebSEAL. Nombre de instancia del servidor WebSEAL. Descripcin
234
CUERPOS Y COLOCACIN EN ANTEMEMORIA DE PETICIN request-body-max-read request-max-cache DYNURL dynurl-map dynurl-allow-large-posts Gestin de URI utf8-url-support-enabled SUPPRESSING SERVER IDENTITY suppress-server-identity Suprime la identidad del servidor WebSEAL en las respuestas de servidor HTTP. Controla cmo WebSEAL interpreta las direcciones URL enviadas desde los navegadores. Ubicacin del archivo de correlacin de objetos de direccin URL a protegidos Limita la capacidad de WebSEAL de leer peticiones POST mayores de lo especificado en post-max-read. Nmero mximo de bytes que se pueden leer como contenido en el cuerpo de las peticiones POST. Cantidad mxima de datos guardados en cach por peticin.
LDAP Parmetro stanza [ldap] ldap-server-config cache-enabled prefer-readwrite-server auth-using-compare Ubicacin del archivo de configuracin ldap.conf (establecido durante la configuracin). Habilita e inhabilita la cach local de LDAP. Permite la seleccin de un servidor LDAP en el que se pueda escribir, cuando est disponible. Permite comprobaciones de autenticacin ms rpidas utilizando una operacin de comparacin de contrasea, en lugar de un enlace LDAP. Comprueba la poltica predeterminada o la poltica especfica del usuario. Bsquedas de rendimiento. Indica que los grupos estn definidos en el mismo sufijo LDAP que el usuario. Habilita e inhabilita SSL para la comunicacin de WebSEAL a LDAP. Ubicacin del archivo de claves SSL. Etiqueta de certificados en el archivo de claves SSL, si existe. Contrasea del archivo de claves SSL. Nombre distinguido del daemon de WebSEAL (establecido durante la configuracin). Contrasea para el daemon de WebSEAL (establecida durante la configuracin). Descripcin
default-policy-override-support user-and-group-in-same-suffix
235
ACTIVE DIRECTORY Parmetro stanza [uraf-ad] ad-server-config bind-id bind-pwd Ubicacin del archivo de configuracin de Active Directory (definida durante la configuracin). Identidad del servidor actual. Contrasea del servidor actual. Descripcin
DOMINO Parmetro stanza [uraf-domino] domino-server-config bind-id bind-pwd Ubicacin del archivo de configuracin de Domino (definida durante la configuracin). Identidad del servidor actual. Contrasea del servidor actual. Descripcin
SSL Parmetro stanza [ssl] webseal-cert-keyfile Ubicacin del archivo de claves que contiene el certificado del servidor enviado a los navegadores por WebSEAL al negociar las sesiones SSL. Contrasea de claves privadas de certificados de WebSEAL. Ubicacin del archivo stash de contraseas de claves privadas de WebSEAL. Nombre del certificado de WebSEAL para utilizar en lugar del predeterminado. Ubicacin del archivo de claves del certificado de WebSEAL utilizado en la comunicacin interna. Contrasea de claves privadas de certificados de WebSEAL (para la comunicacin interna). Ubicacin del archivo stash de contraseas de claves privadas de WebSEAL (para la comunicacin interna). Nombre de certificado para utilizar en lugar del predeterminado (para la comunicacin interna). Inhabilita selectivamente el soporte SSL V2. Inhabilita selectivamente el soporte SSL V3. Inhabilita selectivamente el soporte TLS V1. Tiempo de espera del ID de sesin de la cach de GSKit para las conexiones V2 de SSL. Tiempo de espera del ID de sesin de la cach de GSKit para las conexiones V3 de SSL. Nmero mximo de entradas simultneas en la cach del ID de sesin SSL de GSKit. Descripcin
236
SSL Parmetro gsk-crl-cache-size gsk-crl-cache-entry-lifetime Descripcin Configuracin de la cach CRL. Nmero mximo de entradas simultneas en la cach CRL de GSKit. Configuracin de la cach CRL. Tiempo de espera de duracin de las entradas individuales en la cach CRL de GSKit. Servidor LDAP utilizado para la comprobacin de CRL. Nmero de puerto de escucha de este servidor LDAP para la comprobacin de CRL. Usuario de administracin para el servidor LDAP. Contrasea del usuario de administracin para el servidor LDAP.
CONEXIN (JUNCTION) Parmetro stanza [junction] junction-db jmt-map http-timeout Ubicacin de la base de datos de conexiones (junctions). Ubicacin de la tabla de correlaciones de conexiones (junctions) y peticiones. Tiempo de espera para el envo a una conexin (junction) basada en TCP y para la lectura desde esa conexin. Tiempo de espera para el envo a una conexin (junction) basada en SSL y para la lectura desde esa conexin. Intervalo para la rutina de ping de WebSEAL a servidores con conexin (junction). Contrasea global cuando se suministran datos de autenticacin bsica a travs de conexiones (junctions) -b supply. Porcentaje del total de threads de trabajo que procesan peticiones para una conexin (junction) particular. Porcentaje del total de threads de trabajo que procesan peticiones para una conexin (junction) particular. Tamao del bfer para leer y escribir en una conexin (junction). Tamao mximo, en bytes, de cabeceras HTTP generadas por WebSEAL. Descripcin
https-timeout
ping-time basicauth-dummy-passwd
worker-thread-hard-limit
worker-thread-soft-limit
Atributos de direccin URL que WebSEAL filtra en las respuestas de los servidores con conexin (junction).
237
CONEXIN (JUNCTION) Parmetro stanza [filter-schemes] scheme = <nombre-esquema> Lista de esquemas de direcciones URL que WebSEAL filtra en las respuestas de los servidores con conexin (junction). Descripcin
stanza [filter-content-types] type = text/html> Tipo de contenido de documento que WebSEAL filtra como respuestas de servidores con conexin (junction). Tipo de contenido de documento que WebSEAL filtra como respuestas de servidores con conexin (junction).
type = text/vnd.wap.wml
stanza [script-filtering] script-filter Habilita e inhabilita el filtro de direcciones URL absolutas de scripts en servidores con conexin (junction).
CACH DE GSO stanza [gso-cache] gso-cache-enabled gso-cache-size gso-cache-entry-lifetime gso-cache-entry-idle-timeout CACH DE LTPA stanza [ltpa-cache] ltpa-cache-enabled ltpa-cache-size ltpa-cache-entry-lifetime ltpa-cache-entry-idle-timeout Habilita e inhabilita la cach de LTPA. Nmero de entradas en la cach de LTPA. Duracin mxima de una entrada de cach de LTPA. Duracin mxima de una entrada de cach de LTAPA inactiva. Habilita e inhabilita la cach de GSO. Nmero de entradas en la cach de GSO. Duracin mxima de una entrada de cach de GSO. Duracin mxima de una entrada de cach de GSO inactiva.
AUTENTICACIN Parmetro AUTENTICACIN BSICA stanza [ba] ba-auth basic-auth-realm FORMULARIOS stanza [forms] forms-auth Habilita e inhabilita la autenticacin utilizando formularios. Habilita e inhabilita el mecanismo de autenticacin bsica. Nombre de dominio que aparece en la solicitud de inicio de sesin BA del navegador. Descripcin
238
AUTENTICACIN Parmetro SEAL stanza [token] token-auth CERTIFICADO stanza [certificate] accept-client-certs CABECERAS HTTP stanza [http-headers] http-headers-auth stanza [auth-headers] header DIRECCIN IP stanza [ipaddr] ipaddr-auth INCREMENTAL stanza [authentication-levels] level = unauthenticated level = password MULTIPLEXING PROXY AGENTS stanza [mpa] mpa CDSSO stanza [cdsso] cdsso-auth authtoken-lifetime stanza [cdsso-peers] <nombre-mquina> = <ubicacin-archivo-claves> RECUPERACIN TRAS ERROR stanza [failover] failover-auth failover-cookies-keyfile Habilita e inhabilita la aceptacin de las cookies de resolucin de errores. Ubicacin (nombre de ruta de acceso completa) de la clave de cifrado de cookies generada por cdsso_key_gen. Pares de dominio que participan en el CDSSO. Habilita e inhabilita la autenticacin utilizando seales CDSSO. Valor de duracin mxima de una seal de autenticacin de CDSSO. Habilita e inhabilita el soporte para la autenticacin a travs de multiplexing proxy agents. Configuracin de la autenticacin incremental. Habilita e inhabilita la autenticacin utilizando informacin de direcciones IP. Cabeceras HTTP especficas utilizadas para la autenticacin. Habilita e inhabilita la autenticacin utilizando cabeceras HTTP. Configura la gestin de certificados de cliente de WebSEAL. Habilita e inhabilita la autenticacin utilizando cdigos de paso de seal. Descripcin
239
AUTENTICACIN Parmetro failover-cookie-lifetime enable-failover-cookie-for-domain Descripcin Lmite de tiempo para la validez del contenido de la cookie de recuperacin. Cambia el tipo de cookie de resolucin de errores de cookie especfica del servidor a cookie especfica de dominio.
SSO DE COMUNIDAD ELECTRNICA stanza [e-community-sso] e-community-sso-auth e-community-name intra-domain-key Habilita e inhabilita el SSO de la comunidad electrnica. Nombre de la comunidad electrnica que aparece en las peticiones y las seales de garantizacin. Ubicacin del archivo de claves utilizado para asegurar la comunicacin entre las instancias de WebSEAL en un dominio DNS. Designa la mquina local como servidor maestro de autenticacin WebSEAL. Nombre del servidor maestro de autenticacin WebSEAL (si no es la mquina local). Puerto HTTP no estndar para la escucha del servidor maestro de autenticacin. Puerto HTTPS no estndar para la escucha del servidor maestro de autenticacin. Valor de duracin de la seal de garantizacin. La direccin URL de garantizacin. Valor de duracin de la cookie de la comunidad electrnica.
is-master-authn-server master-authn-server master-http-port master-https-port vf-token-lifetime vf-url ec-cookie-lifetime stanza [inter-domain-keys] <nombre-dominio> = <archivo-claves> REAUTENTICACIN stanza [reauthentication] reauth-for-inactive reauth-reset-lifetime
Habilita la reautenticacin a causa del tiempo de espera de inactividad de entrada de cach de sesin. Restablece el temporizador de duracin de entrada de cach de sesin despus de una reautenticacin correcta Ampla el temporizador de duracin de entrada de cach de sesin para completar el proceso de reautenticacin.
reauth-extend-lifetime
240
AUTENTICACIN Parmetro BIBLIOTECAS Y MECANISMOS DE AUTENTICACIN stanza [authentication-mechanisms] passwd-cdas passwd-ldappasswd-uraf token-cdascert-sslcert-cdas http-requestcdssopasswd-strength cred-ext-attrs su-password su-token-card su-certificate su-http-request su-cdsso failover-password failover-token-card failover-certificate failover-http-request failover-cdsso Lista de mecanismos de autenticacin soportados y las bibliotecas compartidas asociadas. Descripcin
GESTIN DE LA CALIDAD SSL DE PROTECCIN stanza [ssl-qop] ssl-qop-mgmt stanza [ssl-qop-mgmt-hosts] <direccin-ip> stanza [ssl-qop-mgmt-networks] <direccin-ip/mscara> stanza [ssl-qop-mgmt-default] default Nivel de cifrado QOP predeterminado para las otras direcciones IP sin correlacin. Nivel de cifrado QOP para las redes individuales. Nivel de cifrado QOP para los hosts individuales. Habilita e inhabilita la gestin de la calidad de proteccin.
SESIN Parmetro stanza [session] max-entries timeout inactive-timeout SESIONES DE CLIENTE SSL ssl-id-sessions SESIONES COMPARTIDAS use-same-session Utiliza el mismo ID de sesin para los clientes que cambian entre HTTP y HTTPS. Utiliza el ID de SSL para mantener los inicios de sesin HTTPS. Nmero mximo de entradas simultneas en la cach de credenciales/sesin de WebSEAL. Duracin mxima de una entrada en la cach de credenciales/sesin de WebSEAL. Duracin de las entradas inactivas en la cach de credenciales de WebSEAL. Descripcin
241
SESIN Parmetro ENVO DE COOKIES DE SESIN resend-webseal-cookies ID DE SESIN DE USUARIO user-session-ids Habilita/inhabilita la creacin y el manejo de los ID de sesin de usuario para la gestin de sesiones. Enva todas las cookies configuradas de resolucin de errores y de sesin al cliente con cada respuesta. Descripcin
CONTENIDO Parmetro stanza [content] DIRECTORIOS Y ARCHIVOS LOCALES doc-root directory-index delete-trash-dir Directorio raz del rbol de documentos web. Nombre del archivo de ndice de directorios. Directorio de eliminacin temporal para archivos suprimidos por el administrador. Descripcin
DIRECTORIOS DE USUARIOS LOCALES user-dir PGINAS DE ERROR error-dir Directorio que contiene los archivos de descripcin de errores de WebSEAL. El directorio es el rbol inicial del usuario que contiene documentos HTML pblicos.
PGINAS DE GESTIN DE CUENTAS stanza [acnt-mgt] mgt-pages-root login login-success logout account-locked passwd-expired passwd-change passwd-change-success passwd-change-failure Raz de las pginas de gestin de cuentas. Nombre del formulario de inicio de sesin estndar. Nombre del formulario de inicio de sesin correcto. Nombre de la pgina que aparece despus de finalizar la sesin correctamente. Nombre de la pgina que aparece si falla la autenticacin debido a una cuenta bloqueada. Nombre de la pgina que aparece si falla la autenticacin debido a una contrasea caducada. Nombre del formulario de cambio de contrasea. Nombre de la pgina que aparece si la peticin de cambio de contrasea se ha ejecutado correctamente. Nombre de la pgina que aparece si la peticin de cambio de contrasea no se ha ejecutado correctamente. Nombre de la pgina que contiene vnculos a pginas de administracin vlidas. Nombre del formulario de inicio de sesin de seales. Nombre del formulario de las siguientes seales.
242
CONTENIDO Parmetro stepup-login switch-user CGI LOCAL stanza [cgi] cgi-timeout stanza [cgi-types] bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76 stanza [cgi-environment-variables] ENV = <nombre-variable> ICONOS stanza [content-index-icons] image/* video/* audio/* text/html text/* application/x-tar application/* stanza [icons] diricon backicon unknownicon CACH DE DOCUMENTOS stanza [content-cache] text/html image/* */* TIPOS MIME stanza [content-mime-types] <extensin> = <tipo> deftype Define el tipo MIME para extensiones de documento especficas. Tipo MIME predeterminado que se debe utilizar cuando el tipo de documento no se encuentra en la lista de la tabla de correlaciones. Define el tipo y tamao de la cach para tipos MIME de documentos especficos que WebSEAL almacena en la memoria. Icono utilizado para subdirectorios. Icono utilizado para el directorio principal. Icono utilizado para tipos de archivo desconocidos. Especifica los iconos grficos que se deben utilizar cuando WebSEAL genera un ndice de directorios (esto sucede cuando no existe index.html). Variables de entorno que heredarn los programas CGI. Designa, para los servidores Win32, el programa que se debe ejecutar para una extensin de archivo CGI determinada. Valor de tiempo de espera para leer y escribir en procesos CGI hijos. Descripcin Nombre del formulario de inicio de sesin de autenticacin incremental. Nombre del formulario de gestin de cambio de usuario.
243
CONTENIDO Parmetro CODIFICACIN DE CONTENIDOS stanza [content-encodings] gz Z Correlaciona la extensin del documento con un tipo de codificacin para navegadores que dan soporte a la codificacin del contenido. Descripcin
INICIO DE SESIN Parmetro stanza [logging] server-log max-size flush-time requests requests-file referers referers-file agents agents-file gmt-time Ubicacin del archivo de registro de errores del servidor. Umbral de creacin de un nuevo archivo de registro para registros HTTP. Frecuencia de vaciado de los bferes de archivos de registro HTTP. Habilita e inhabilita el registro de peticiones HTTP. Ubicacin del registro de peticiones HTTP. Habilita e inhabilita el registro de referentes HTTP. Ubicacin del registro de referentes HTTP. Habilita e inhabilita el registro de agentes HTTP. Ubicacin del registro de agentes HTTP. Registra peticiones con la hora GMT en lugar de la franja horaria local. Descripcin
API DE AUTORIZACIN Parmetro stanza [aznapi-configuration] db-file cache-refresh-interval Ubicacin del archivo de cach de la base de datos de polticas del cliente local. Define el intervalo entre las comprobaciones de actualizaciones (sondeos) en el servidor maestro de autorizaciones. Habilita e inhabilita los indicadores para la recepcin de las modificaciones de actualizacin de la cach de polticas. Descripcin
listen-flags
REGISTRO DE API DE AUTORIZACIN logclientid=webseald logsize logflush logaudit auditlog auditcfg = azn Umbral de creacin de un nuevo archivo de registro para el registro de auditora de gestin. Frecuencia de vaciado de los bferes de archivos de registro de auditora de gestin. Habilita e inhabilita la auditora. Ubicacin del registro de auditora. Captura de los eventos de autorizacin.
244
API DE AUTORIZACIN Parmetro auditcfg = authn auditcfg = http Descripcin Captura de los eventos de autenticacin. Captura de los eventos de WebSEAL.
POLICY DIRECTOR Parmetro stanza [policy-director] config-file Ubicacin del archivo de configuracin pd.conf. Descripcin
245
246
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear conexiones (junctions) WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task <identificacin-servidor> create <opciones>
El componente identificacin-servidor de este comando es una combinacin del servidor de Access Manager utilizado por este comando y el nombre de host del servidor de Access Manager.
<servidor-Access-Manager>-<nombre-host>
Sintaxis para un solo servidor WebSEAL: Para Access Manager WebSEAL, el servidor-Access-Manager es webseald y el nombre-host es el nombre de la mquina servidor WebSEAL:
pdadmin> server task webseald-<nombre-host> create <opciones>
247
El servidor WebSEAL inicial instalado en una mquina siempre se denomina segn el nombre de mquina. Por ejemplo, si el nombre de la mquina es cruz, la identificacin de servidor para una sola instalacin de WebSEAL es:
webseald-cruz
Sintaxis para mltiples instancias de WebSEAL: Si instala mltiples instancias de servidor WebSEAL en la misma mquina, el servidor-Access-Manager es el nombre configurado de la instancia de servidor WebSEAL, seguido de webseald y del nombre de host:
<nombre-instancia>-webseald-<nombre-host>
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Opciones obligatorias de comandos de conexin (junction): Las opciones de comando obligatorias necesarias para crear una conexin (junction) WebSEAL bsica son: v Nombre de host del servidor de aplicaciones de fondo (opcin h) v Tipo de conexin (junction) tcp, ssl, tcpproxy, sslproxy, local (opcin t) v Punto de conexin (junction) (punto de montaje)
pdadmin> server task webseald-<nombre-host> create t <tipo> h <nombre-servidor> <punto-conexin>
248
Comando list
Descripcin Muestra una lista de todos los puntos de conexin (junction) de este servidor. Sintaxis: list
show
El comando jmt load proporciona a WebSEAL los datos de la tabla de correlaciones de conexiones (junctions) (jmt.conf) para gestionar el proceso de las direcciones URL relativas al servidor generadas dinmicamente. El comando jmt clear elimina los datos de la tabla de correlaciones de conexiones (junctions) WebSEAL.
help
Muestra la ayuda detallada de un comando de conexin (junction) especfico. Sale del programa de utilidad pdadmin. Sintaxis: exit
249
U <nombre-usuario>
Nombre de usuario de WebSEAL. Utilcelo con B para enviar informacin de cabecera de BA al servidor de fondo. Contrasea de WebSEAL. Utilcelo con B para enviar informacin de cabecera de BA al servidor de fondo. Especifica el Nombre distinguido del certificado de servidor de fondo. Este valor, que coincide con el DN de certificado real, mejora la autenticacin.
W <contrasea> D <DN>
Opciones de conexin (junction) de proxy (requiere t tcpproxy o t sslproxy) H <nombre-host> P <puerto> Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Especificacin de la informacin de cabecera de BA b <valor-BA> Define cmo el servidor WebSEAL transfiere la informacin de autenticacin BA HTTP al servidor de fondo. Puede ser: filter (valor predeterminado), ignore, supply, gso Opciones generales de conexin (junction) TCP y SSL c <tipos-id> Inserta la identidad de cliente de Access Manager en las cabeceras HTTP a travs de la conexin (junction). El argumento id-types puede incluir cualquier combinacin de los tipos siguientes de cabecera HTTP de Access Manager: iv-user, iv-user-l, iv-groups, iv-creds, all. El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas. Proporciona la identificacin de conexin (junction) en una cookie para gestionar direcciones URL relativas al servidor generadas por script. Enviar cookie de sesin al servidor de portal de fondo. Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para conexiones (junctions) TCP; 443 para conexiones (junctions) SSL. Ruta de acceso relativa para el script query_contents. De forma predeterminada, Access Manager busca query_contents en /cgi_bin/. Si este directorio es distinto o si el nombre del archivo query_contents es distinto, utilice esta opcin para indicar a WebSEAL la nueva direccin URL para el archivo. Es necesario para los servidores Windows de fondo. Insertar direccin IP entrante en la cabecera HTTP a travs de la conexin (junction). Especifica que la conexin (junction) debe dar soporte a aplicaciones con informacin de estado. De forma predeterminada, las conexiones (junctions) no tienen informacin de estado. Nombre de recurso o grupo de recursos de GSO. Obligatorio y utilizado slo con la opcin b gso.
i j
k p <puerto>
q <ubicacin>
r s
T <recurso/ grupo-recursos>
250
u <UUID>
Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una conexin (junction) con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con conexin (junction) de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La peticin de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las peticiones destinadas a una configuracin de servidor de fondo como host virtual.
v <nombre-hostvirtual>[:<puerto>]
Imparcialidad de conexin (junction) l <valor-porcentaje> L <valor-porcentaje> Define el lmite dinmico de consumo de threads de trabajo. Define el lmite fijo de consumo de threads de trabajo.
Conexiones (junctions) LTPA A F <archivo-claves> Z <contrasea-archivoclaves> Habilitar e inhabilitar las conexiones (junctions) LTPA. Ubicacin del archivo de claves utilizado para cifrar la cookie LTPA. Contrasea del archivo de claves
Conexiones (junctions) SSL de WebSEAL a WebSEAL C Autenticacin mutua entre un servidor WebSEAL frontal y un servidor WebSEAL de fondo a travs de SSL. Requiere el tipo t ssl o t sslproxy.
Inicio de sesin nico de formularios S <archivo-config> Ubicacin del archivo de configuracin de inicio de sesin nico de formularios.
Opciones de conexin (junction) local (utilcelo con t local) d <dir> f Punto de conexin (junction) Ubicacin en el espacio de nombres de WebSEAL para crear la conexin (junction). Directorio local de la conexin (junction). **Obligatorio.** Forzar la sustitucin de una conexin (junction) existente.
251
Nombre de host h <nombre-host> **Obligatorio** Nombre de host DNS o direccin IP del servidor de fondo de destino. Opciones Autenticacin mutua a travs de SSL D <DN> Especifica el Nombre distinguido del certificado de servidor de fondo. Este valor, que coincide con el DN de certificado real, mejora la autenticacin.
Opciones de conexin (junction) de proxy (obligatorio con t tcpproxy y t sslproxy) H <nombre-host> P <puerto> Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Opciones generales de conexin (junction) TCP y SSL i p <puerto> El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas. Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para conexiones (junctions) TCP; 443 para conexiones (junctions) SSL. Direccin URL relativa para el script query_contents. Access busca query_contents en /cgi_bin/. Si este directorio es distinto o si se ha cambiado el nombre del archivo query_contents, utilice esta opcin para indicar a WebSEAL la direccin URL nueva para el archivo. Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una conexin (junction) con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con conexin (junction) de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La peticin de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las peticiones destinadas a una configuracin de servidor de fondo como host virtual. w Punto de conexin (junction) Agrega un servidor al punto de conexin (junction) existente. Soporte para el sistema de archivos Win32.
q <url>
u <UUID>
v <nombre-host-virt>
252
Apndice C. Avisos
Esta informacin se ha desarrollado para productos y servicios que se ofrecen en Estados Unidos. Es posible que en otros pases IBM no ofrezca los productos, los servicios o las caractersticas que se describen en este documento. Pngase en contacto con el representante local de IBM para obtener informacin sobre los productos y servicios disponibles actualmente en su rea. Las referencias a programas, productos o servicios de IBM no pretenden indicar ni implicar que slo puedan utilizarse los productos, programas o servicios de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y comprobar el funcionamiento de cualquier producto, programa o servicio que no sea de IBM. IBM puede tener patentes o solicitudes de patentes en trmite que afecten a los temas tratados en este documento. La posesin de este documento no otorga al usuario ninguna licencia sobre esas patentes. Puede enviar consultas sobre licencias, por escrito, a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 Estados Unidos Para consultas sobre licencias en las que se solicite informacin sobre el juego de caracteres de doble byte (DBCS), pngase en contacto con el departamento de propiedad intelectual de IBM de su pas o enve directamente las consultas por escrito a: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome Minato-ku Tokio 106 Japn El siguiente prrafo no se aplica al Reino Unido ni a ningn otro pas donde estas disposiciones sean incompatibles con la legislacin vigente: INTERNATIONAL BUSINESS MACHINES CORPORATION FACILITA ESTA PUBLICACIN TAL CUAL, SIN GARANTAS DE NINGN TIPO, NI EXPLCITAS NI IMPLCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTAS IMPLCITAS DE NO INFRACCIN, COMERCIALIZACIN O ADECUACIN A UN FIN CONCRETO. Algunos estados o pases no permiten la renuncia a las garantas explcitas o implcitas en ciertas transacciones; por tanto, es posible que esta declaracin no resulte aplicable a su caso. Este documento puede contener imprecisiones tcnicas o errores tipogrficos. Peridicamente se efectan cambios en la informacin aqu contenida; dichos cambios se incorporarn en nuevas ediciones de la publicacin. IBM se reserva el
253
derecho a realizar, si lo considera oportuno, cualquier modificacin en los productos o programas que se describen en esta informacin y sin notificarlo previamente. Las referencias en este documento a sitios web que no sean de IBM se proporcionan nicamente como ayuda y no se consideran en modo alguno sitios web aprobados por IBM. Los materiales de dichos sitios web no forman parte de este producto de IBM y la utilizacin de los mismos ser por cuenta y riesgo del usuario. IBM puede utilizar o distribuir la informacin que se le suministre de cualquier modo que considere adecuado sin incurrir por ello en ninguna obligacin con el remitente. Los titulares de licencias de este programa que deseen informacin sobre el mismo con el fin de permitir: (i) el intercambio de informacin entre programas creados independientemente y otros programas (incluido ste) y (ii) la utilizacin mutua de la informacin intercambiada, deben ponerse en contacto con: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 Estados Unidos Dicha informacin puede estar disponible, sujeta a los trminos y condiciones adecuados, incluido, en algunos casos, el pago de una tasa. El programa bajo licencia que se describe en este documento, y todos los materiales bajo licencia disponibles para el mismo, los proporciona IBM bajo los trminos del Acuerdo con el Cliente IBM, del Acuerdo Internacional de Licencias para Programas IBM o de cualquier acuerdo equivalente entre el cliente e IBM. Todos los datos de rendimiento contenidos en el presente documento se han determinado en un entorno controlado. Por consiguiente, los resultados obtenidos en otros entornos operativos pueden ofrecer variaciones importantes. Algunas mediciones se pueden haber realizado en sistemas de nivel de desarrollo, por lo que no existe ninguna garanta de que dichas mediciones sean iguales en los sistemas disponibles generalmente. Adems, alguna medicin se puede haber estimado mediante extrapolacin. Los resultados reales pueden variar. Los usuarios de este documento deben verificar los datos aplicables para su entorno especfico. La informacin relacionada con productos que no son de IBM se ha obtenido de los proveedores de dichos productos, sus anuncios publicados o de otras fuentes disponibles pblicamente. IBM no ha probado estos productos y no puede confirmar la precisin de su rendimiento, compatibilidad o cualquier otra reclamacin relacionada con los productos que no son de IBM. Las preguntas relacionadas con las posibilidades de los productos que no son de IBM se deben dirigir a los proveedores de dichos productos. Todas las declaraciones relacionadas con la orientacin o los propsitos futuros de IBM se pueden cambiar o retirar sin previo aviso y nicamente representan metas y objetivos. Esta informacin contiene ejemplos de datos e informes utilizados en operaciones empresariales diarias. Para ilustrarlos lo ms claramente posible, los ejemplos
254
incluyen nombres de individuos, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con los nombres y direcciones utilizados en empresas reales es coincidencia. LICENCIA DE COPYRIGHT: Esta informacin contiene programas de aplicacin de ejemplo en lenguaje fuente que ilustran tcnicas de programacin en diferentes plataformas operativas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con la interfaz de programacin de aplicaciones que corresponde a la plataforma operativa para la que se han escrito dichos programas de ejemplo. stos no han sido probados en su totalidad en todas las situaciones posibles. IBM, por tanto, no puede garantizar la fiabilidad, servicio o funcionalidad de estos programas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con las interfaces de programacin de aplicaciones de IBM. Cada copia o cualquier fragmento de estos programas de ejemplo o cualquier trabajo que derive de ellos debe incluir un aviso de copyright como el siguiente: (el nombre de su empresa) (ao). Partes de este cdigo se derivan de Programas de ejemplo de IBM Corp. Copyright IBM Corp. _escriba el ao o aos_. Reservados todos los derechos.
Marcas registradas
Los siguientes trminos son marcas registradas de International Business Machines Corporation en Estados Unidos, en otros pases o en ambos: AIX DB2 IBM Logotipo de IBM SecureWay Tivoli Logotipo de Tivoli WebSphere Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos y/o en otros pases. Java y todos los logotipos y marcas registradas basados en Java son marcas registradas de Sun Microsystems, Inc. en Estados Unidos y en otros pases. UNIX es una marca registrada de The Open Group en Estados Unidos y en otros pases. Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicios de terceros.
Apndice C. Avisos
255
256
ndice A
accept-client-certs 127 account-locked 36 acct_locked.html 37 ACL 5 ACL, polticas caracteres vlidos para nombres de ACL 90 definicin 4 especficas de WebSEAL 89 explcita 6 heredada 6 actualizaciones y sondeo de la base de datos de autorizaciones 51 agent.log 43 ejemplo 45 formato de registro de eventos 47 agents 43 agents-file 43 agrupacin de eventos http 46 http.agent 46 http.clf 46 http.cof 46 http.ref 46 agrupacin de eventos http 46 almacenamiento en la cach de peticiones 70 almacenamiento en la cach de peticiones del servidor 70 almacenamiento en la cach de peticiones POST 70 aplicador de polticas 7 archivo de direccionamiento 47 archivo de registro, WebSEAL 23 argument-stanza 205 atributos ampliados document-cache-control (POP) 32 en credenciales de usuario 218 HTTP-Tag-Value, conexin (junction) 218, 221 reauth (POP) 135 autenticacin acceso autenticado a los recursos 11 acceso no autenticado a los recursos 11 autenticacin bsica 122 Cabecera HTTP 128 cambio de usuario 62 CDSSO 141 certificado 125 comunidad electrnica 145 configuracin de varios mtodos de autenticacin 120 configuracin predeterminada 119 direccin IP 130 formularios 123 informacin sobre el proceso 107 inicio de sesin nico con formularios 201 mtodos soportados 108 Multiplexing Proxy Agents (MPA) 131 objetivos 10 parmetro locales 119 parmetros de CDAS externo 119 reautenticacin 134, 137 seal 130 solicitud de inicio de sesin 120 tipos de datos de sesin soportados 108 Copyright IBM Corp. 1999, 2002 autenticacin (continuacin) visin general 10 visin general de la configuracin 118 autenticacin bsica configuracin 122 autenticacin de CDSSO 141 autenticacin de certificados 125 autenticacin de comunidad electrnica 145 caractersticas 147 cifrado de la seal de garantizacin 153 configuracin 154 cookie de comunidad electrnica 152 flujo de proceso 148 peticin y respuesta de garantizacin 152 seal de garantizacin 153 autenticacin de direcciones IP 130 autenticacin de formularios 123 solucin de inicio de sesin nico 201 autenticacin de mltiples factores 100 autenticacin de seales 130 autenticacin incremental 95 autenticacin MPA 131 authentication-levels, stanza 95, 101 authentication-mechanisms, stanza 67 authtoken-lifetime 144 autorizaciones empresariales (dinmicas) 217
B
ba-auth 122 backicon 29 basic-auth-realm 122 basicauth-dummy-passwd 193 biblioteca compartida CDMF 141 biblioteca compartida libfailoverauthn 117
C
cabecera 129 cabecera HOST, mejores prcticas para conexiones (junctions) 214 Cabecera HTTP lmite de tamao 179 PD-USER-SESSION-ID 221 cabecera PD_PORTAL 216 cach GSKit (SSL) 109 WebSEAL, credenciales 109 cach CRL, configuracin 42 gsk-crl-cache-entry-lifetime 42 gsk-crl-cache-size 42 cach de credenciales 109 configuracin 111 mximo de entradas 111 tiempo de espera de duracin 111 tiempo de espera de inactividad 112 visin general y estructura 12 cach de documentos 31 document-cache-control POP 32 vaciar cachs 32
257
cach de GSO, configurar 198 cach de LTPA, configurar 200 cach de sesin configuracin 110, 111 GSKit (SSL) 109 tiempo de espera de duracin 111 tiempo de espera de inactividad 112 visin general y estructura 12 WebSEAL, credenciales 109 cache-refresh-interval 52 calidad de proteccin hosts 50 nivel predeterminado 49 POP, poltica 103 redes 50 cambio de usuario 62 biblioteca compartida CDAS 68 biblioteca compartida incorporada 67 exclusin de usuarios 66 flujo de proceso 63 habilitacin 64 influencia en funciones de WebSEAL 69 mecanismo de autenticacin 67 mtodos de autenticacin vlidos 66 securitygroup 63 su-admin, atributo ampliado 70 su-admins, grupo 63 su-excluded, grupo 63 caracteres codificados UTF-8 73 cdsso 119, 143 cdsso-auth 143 cdsso_key_gen 117, 144, 153 cdsso-peers, stanza 144 cdssoauthn 143 cert-cdas 119 cert-ssl 119, 127 certificados gestin 38 GSKit 38 iKeyman 38 tipos de archivos de base de datos de claves 39 cgi-timeout 27 client-connect-timeout 26 conectividad SSL 26 conectividad TLS 26 conexiones escalabilidad 16 visin general 14 conexiones (junctions) -b filter 195 -b gso 195 -b ignore 194 -b supply 193 aplicar permisos 186 asignacin de threads de trabajo (-l) 54 asignacin de threads de trabajo (-L) 54 autenticacin de certificados 186 autenticadas mutuamente (-D, -K, -B, -U, -W) 165 autenticar con cabecera de BA (-B, -U, -W) 166 certificado de cliente (WebSEAL) (-K) 166 certificado de cliente de WebSEAL (-K) 166 coincidencia de Nombre distinguido (DN) (-D) 165 conexiones (junctions) de proxy (-H, -P) 168 consulta de comandos 247 cookie de sesin al servidor de portal (-k) 180 de WebSEAL a WebSEAL (-C) 168
conexiones (junctions) (continuacin) direcciones URL no sensibles a maysculas y minsculas (-i) 180 directrices para la creacin 160 especificar direccin IP en cabeceras HTTP (-r) 179 especificar identidad del cliente en cabeceras HTTP (-c) 177 especificar UUID de fondo (-u) 182 filtrar direcciones URL absolutas con filtrado de scripts 172 filtrar direcciones URL en las respuestas 171 forzar una nueva conexin (junction) (-f) 29, 176 global sign-on (GSO) 196 HTTP/1.0 y 1.1, respuestas 22 HTTP-Tag-Value, atributo 221 impacto de las opciones -b en las conexiones (junctions) autenticadas mutuamente 167 inicio de sesin nico con formularios (-S) 208 LTPA (-A, -F, -Z) 200 mejores prcticas 213 mejores prcticas de cabecera HOST (-v) 214 modificacin de direcciones URL en aplicaciones de fondo 169 montaje de varios servidores 185 nombre de host virtual (-v) 214 opcin de host (-h) 162 opcin de tipo (-t) 162 opciones gso (-b gso, -T) 198 opciones necesarias 162 pdadmin server task 161 procesar direcciones URL relativas al servidor con cookies 174 procesar direcciones URL relativas al servidor con correlacin de conexiones (junctions) 175 proceso de direcciones URL en las peticiones 173 query_contents 186 sistemas de archivos Windows (-w) 184 soporte para conexiones (junctions) con informacin de estado (-s, -u) 181 tabla de correlaciones de conexiones 175 visin general 159 conexiones (junctions) autenticadas mutuamente 165 conexiones (junctions) con informacin de estado 181, 182 conexiones (junctions) WebSEAL, vase junctions 159 Content-Length, cabecera 173 cookie de comunidad electrnica 152 cookies conexin (junction) 174 sesin 112, 180 cookies de conexin (junction) 174 cookies de resolucin de errores cifrado/descifrado de datos de cookie 117 configuracin 115 configuracin de la duracin de cookie 118 habilitacin 116 habilitar cookies de dominio 118 cookies de sesin 112 habilitacin 113 cred-ext-attrs 119 credenciales atributos ampliados 217, 221 insercin de ID de sesin de usuario en cabecera HTTP 221 insertar datos en cabeceras HTTP 218 insertar datos LDAP 217 visin general 13 CRL, comprobacin 42
258
D
datos de LDAP en cabeceras HTTP 217 db-file 51 derechos empresariales dinmicos 217 detencin de WebSEAL 22 dinmicos, derechos empresariales 217 direcciones URL dinmicas actualizar, dynurl update 226 colocar limitaciones en peticiones POST 227 correlacionar objetos ACL 224 dynurl-allow-large-posts 227 dynurl-map 224 ejemplo 229 mtodos GET y POST 227 proporcionar control de acceso 223 request-body-max-read 227 resolver 226 resumen y notas tcnicas 228 visin general 223 directorio raz de documentos cambiar ubicacin 28 directorio raz de instalacin de WebSEAL. 21 directorio raz de servidor 25 directory-index 29 diricon 29 disable-ssl-v2 26 disable-ssl-v3 26 disable-tls-v1 26 doc-root 28 document-cache-control, atributo ampliado de POP 32 dynurl-allow-large-posts 227 dynurl.conf 224 dynurl-map 224 dynurl update 226
estadsticas (continuacin) pdweb.http 81 pdweb.https 81 pdweb.jct.# 85 pdweb.jmt 82 pdweb.sescache 83 pdweb.threads 82 restablecer (stats reset) 80 sintaxis de comando stats 77 stats, parmetro 85 tipos de actividad 80 visualizar (stats get) 79 estado de la sesin configuracin de cach de credenciales de WebSEAL 111 configuracin de cach de ID de sesin SSL de GSKit 110 cookies de resolucin de errores 115 cookies de sesin 112 entre cliente y de fondo 220 gestin 109 gestin de ID de sesin de usuario 220 habilitar cookies de sesin 113 terminar sesin de usuario nica 222 terminar todas las sesiones de usuario 223 tipos de datos de ID de sesin vlidos 114 expresiones regulares lista de 206 para direcciones URL dinmicas 225 para inicio de sesin nico con formularios 206
F
failover-auth 116 failover-cdsso 117 failover-certificate 117 failover-cookie-lifetime 118 failover-cookies-keyfile 117 failover-http-request 117 failover-password 117 failover-token-card 117 fatal.log 47 filter-content-types, stanza 33 filter-schemes, stanza 33 filtrado Content-Length, cabecera X-Old-Content-Length 173 direcciones URL absolutas 171 direcciones URL relativas al servidor 171 documentos estticos 171 filtrar direcciones URL absolutas con filtrado de scripts 172 mejores prcticas para las direcciones URL absolutas 214 proceso de direcciones URL en las peticiones 173 reglas de filtrado de direcciones URL estndar para WebSEAL 171 text/html 171 text/vnd.wap.wml 171 tipos MIME de documento 33 filtrado de documentos 33 filtrado de las direcciones URL absolutas, mejores prcticas 214 filtrar direcciones URL Content-Length, cabecera 173 filtrado de scripts para direcciones URL absolutas 172 proceso de direcciones URL en las peticiones 173 reglas de filtrado estndar 171 fin de sesin 121 flush-time 44 ndice
E
e-community-name 155 e-community-sso-auth 154 ec-cookie-lifetime 156 enable-failover-cookie-for-domain 118 entrust-client 129 error.log 47 escalabilidad 16 servidores de fondo replicados 18 servidores frontales replicados 16 escucha de notificaciones de actualizaciones 51 espacio de objetos protegidos 4 objeto protegido 4 objetos de gestin 4 objetos definidos por el usuario 4 objetos web 4 recurso del sistema 4 server-name WebSEAL 22 estadsticas 77 comandos de estadsticas 77 componentes 80 habilitacin mediante el registro de eventos 85 habilitar (stats on) 77 inhabilitar (stats off) 79 listar (stats list) 80 logcfg, parmetro 85 mostrar (stats show) 79 pdweb.authn 80 pdweb.authz 81 pdweb.doccache 83
259
fondo, soporte para aplicaciones de 213 formato combinado NCSA 46 formato de registro comn (request.log) 45 formato de registro HTTP comn 45 forms-auth 123 forms-sso-login-pages, stanza 204 fsso.conf.template 204
I
iconos de ndice de directorios 29 ID de sesin SSL 113 identidad de servidor (HTTP), supresin 76 identidad de servidor HTTP, supresin 76 iKeyman 40 certificado de prueba de WebSEAL 126 conexiones (junctions) SSL autenticadas mutuamente 165 SSL, conexiones (junctions) de tipo 164 visin general 41 illegal-url-substrings, stanza 76 imparcialidad de conexiones (junction) 53 inactive-timeout 112 inicio de sesin condiciones de solicitud 120 inicio de sesin en dominios cruzados CDSSO 141 comunidad electrnica 145 inicio de sesin nico -b filter 195 -b gso 195 -b ignore 194 -b supply 193 autenticacin de formularios 201 CDSSO 141 comunidad electrnica 145 conceptos 191 configurar cach de GSO 198 especificar identidad del cliente en cabeceras de BA 192 global sign-on (GSO) 196 LTPA (WebSphere) 199 inicio de WebSEAL 22 intra-domain-key 153, 155 ipaddr-auth 130 is-master-authn-server 155 iv-creds 177, 213 iv-groups 177, 213 iv-remote-address 179 iv-user 177, 213 ivweb_setup 59 ivweb_uninst 61
G
gestin de ID de sesin 220 gestin de ID de sesin de usuario 220 tagvalue_user_session_id 220 user-session-ids 220 gestor de recursos 7 global sign-on (GSO) 196 gmt-time 44 gsk-crl-cache-entry-lifetime 42 gsk-crl-cache-size 42 GSKit 38 cach CRL 42 tipos de archivos 39 GSKit (SSL), cach de sesin de 109 configuracin 110 GSO 196 configurar cach de GSO 198 gso-cache-enabled 199 gso-cache-entry-idle-timeout 199 gso-cache-lifetime 199 gso-cache-size 199 gso-resource 205
H
help 36 help.html 37 HTML, pginas personalizadas 36 http 26 HTTP, autenticacin de cabeceras 128 HTTP, mensajes de error 33 soporte para macros 36 HTTP, registro utilizacin del registro de eventos 46 valor predeterminado 43 HTTP/1.1, respuestas 22 http.agent, agrupacin de eventos 46 http.clf, agrupacin de eventos 46 http.cof, agrupacin de eventos (NCSA) 46 http-headers-auth 128 HTTP_IV_CREDS 177, 211, 213 HTTP_IV_GROUPS 177, 211, 213 HTTP_IV_REMOTE_ADDRESS 179 HTTP_IV_USER 177, 211, 213 HTTP_PD_USER_SESSION_ID 220 HTTP_PD-USER-SESSION-ID 222 http-port 26 http.ref, agrupacin de eventos 46 http-request 119, 129 HTTP-Tag-Value, atributo de conexin (junction) http-timeout (junctions) 27 httpauthn 129 https 26 https-port 26 https-timeout (junctions) 27
J
jmt.conf 175 jmt load 175 jmt-map 175 junction, stanza 53 junction-db 159
L
ldapauthn 123, 124 libcdssoauthn 143 libhttpauthn 129 libldapauthn 123, 124 libsslauthn 127 libsuauthn 67 libtokenauthn 131 lista de control de accesos (ACL) listen-flags 51 logcfg 46, 85 login 36 login-form-action 205 login.html 37, 124 login-page 205
219, 221
260
login-page-stanza 204 login_success.html 37 logout 36 logout.html 37 LTPA (WebSphere) 199 configurar cach de LTPA 200 configurar conexin (junction) 200 ltpa-cache-enabled 200 ltpa-cache-entry-idle-timeout 200 ltpa-cache-entry-lifetime 200 ltpa-cache-size 200
P
pginas de gestin de cuentas 36 pginas de gestin de cuentas HTML soporte para macros 37 parmetros de tiempo de espera HTTP y HTTPS 26 SSL de GSKit cach de sesin de 110 WebSEAL, cach de credenciales/sesin de 111 passwd-cdas 119 passwd-change 36 passwd-change-failure 36 passwd-change-success 36 passwd_exp.html 37 passwd-expired 36 passwd.html 37 passwd-ldap 119, 123, 124 passwd_rep.html 37 pd.conf 218 pd_start, comando de estado 61 PD-USER-SESSION-ID HTTP, cabecera 221 pdadmin server task terminate all_sessions 223 pdadmin server task (junctions) 161 pdweb, comando 22, 61 pdweb.authn, estadsticas 80 pdweb.authz, estadsticas 81 PDWeb_config 56 pdweb.debug (trace) 87 pdweb.doccache, estadsticas 83 pdweb.http, estadsticas 81 pdweb.https, estadsticas 81 pdweb.jct.#, estadsticas 85 pdweb.jmt, estadsticas 82 pdweb.sescache, estadsticas 83 pdweb.threads, estadsticas 82 PDWeb_unconfig 61 persistent-con-timeout 26 peticin y respuesta de garantizacin 152 ping-time (junctions) 27 pkmscdsso 145 pkmslogout 121 pkmspasswd 121 pkmsvouchfor 152, 156 poltica de ACL default-webseal 90 poltica de ACL explcita 6 poltica de ACL heredada 6 poltica de inicio de sesin en tres intentos 91 poltica de intensidad de contraseas 92 poltica de pdadmin disable-time-interval 91 max-login-failures 91 max-password-repeated-chars 92 min-password-alphas 92 min-password-length 92 min-password-non-alphas 92 password-spaces 92 poltica de seguridad identificacin de tipos de contenido 9 niveles de proteccin 9 planificacin e implementacin 8 poltica POP de autenticacin basada en la red 101 poltica POP de intensidad de autenticacin 95, 101 polticas de objetos protegidos 5 ndice
M
master-authn-server 155 master-http-port 154 master-https-port 154 max-entries 111 max-size 44 max-webseal-header-size 179 mejores prcticas filtrado de las direcciones URL absolutas 214 informacin de cabecera HOST (-v) 214 mensajes 47 archivo de direccionamiento 47 error.log 47 fatal.log 47 notice.log 47 warning.log 47 mensajes de error HTTP 33 servicios 47 soporte para macros para HTTP 36 mensajes de servicios 47 archivo de direccionamiento 47 error.log 47 fatal.log 47 notice.log 47 warning.log 47 mtodo GET 227 mtodo POST 227 configurar limitaciones 227 mtodos de autenticacin, resumen 108 mgt-pages-root 36, 65 mpa 134 mltiples instancias de WebSEAL comandos de inicio, detencin, reinicio y estado del servidor 61 configuracin en UNIX 56 configuracin en Windows 59 desconfiguracin 61 sintaxis en comandos pdadmin 162, 248 visin general de la configuracin 56 Multiplexing Proxy Agents (autenticacin) 131
N
net command (Windows) next-token 36 nexttoken.html 37 notice.log 47 62
O
objeto protegido 4 objetos de gestin 4
261
POP 5 POP, poltica autenticacin basada en la red 101 calidad de proteccin 103 definicin 4 document-cache-control, atributo ampliado 32 intensidad de autenticacin (incremental) 95 reauth, atributo ampliado 135 portal-map, stanza 216 programa de utilidad de rastreo (trace) 86 pdweb.debug, componente 87 trace list 87 trace set 87 trace show 87 programacin de CGI soporte 211 soporte para variables de entorno WIN32 212
S
script-filter 172 scripts de sitios cruzados illegal-url-substrings, stanza 76 prevencin de vulnerabilidad 75 securitygroup 63, 65, 66 server-log 23 server-name 22, 55 server-root 25, 65 servicio de autorizaciones 7 servicio de personalizacin configuracin de WebSEAL 216 ejemplo 216 visin general 215 servidores WebSEAL frontales replicar 55 solicitud de inicio de sesin condiciones 120 sondeo 51 sondeo de la base de datos de autorizaciones soporte para aplicaciones de fondo 213 soporte para aplicaciones del servidor 213 soporte para macros HTTP, mensajes de error 36 pginas de gestin de cuentas HTML 37 ssl-id-sessions 113 ssl-keyfile 41 ssl-keyfile-label 41 ssl-keyfile-pwd 41 ssl-keyfile-stash 41 ssl-ldap-server 42 ssl-ldap-server-port 42 ssl-ldap-user 42 ssl-ldap-user-password 42 ssl-max-entries 111 ssl-qop-mgmt 49 ssl-v2-timeout 110 ssl-v3-timeout 110 sslauthn 127 stanza acnt-mgt 36, 65 stanza aznapi-configuration 46, 51, 85 stanza cgi-environment-variables 212 stanza cgi-types 30 stanza content-caches 31 stanza filter-url 172 stanza inter-domain-keys 153, 156 stanza ldap-ext-cred-tags 218, 219 stanza logging 23 stanza ltpa-cache 200 stanza script-filtering 172 stanza ssl-qop-mgmt-default 49 stanza ssl-qop-mgmt-hosts 50 stanza ssl-qop-mgmt-networks 50 stats 85 stats, comandos 77 stepup-login 36, 97 stepuplogin.html 37, 97 su-admin, atributo ampliado 70 su-admins, grupo 63, 65, 66 su-excluded, grupo 63, 65, 66 suauthn 67 suppress-server-identity 76 switch-user 65
Q
query_contents 186 instalar 187 personalizar 189 proteger 190 query_contents.c 187 query_contents.cfg 187 query_contents.exe 187 query_contents.html 187 query_contents.sh 187
52
R
reautenticacin basada en inactividad de sesin 137 poltica basada en la seguridad (POP) 134 reauth, atributo ampliado de POP 135 reauth-extend-lifetime 137, 140 reauth-for-inactive, parmetro 139 reauth-reset-lifetime 136, 139 reauth, atributo ampliado de POP 135 reauth-extend-lifetime 137, 140 reauth-for-inactive 139 reauth-reset-lifetime 136, 139 recurso del sistema 4 referer.log 43 ejemplo 45 formato de registro de eventos 47 referers 43 referers-file 43 registro HTTP (registro de eventos) 46 HTTP predeterminado 43 registro de eventos estadsticas 85 HTTP, registro 46 REMOTE_USER 211 replicar servidores WebSEAL frontales 55 request-body-max-read 72, 227 request.log 43 ejemplo 45 formato de registro de eventos 46 request-max-cache 72 requests 43 requests-file 43 resend-webseal-cookies 113
262
T
tabla de correlaciones de conexiones 175 tagvalue_user_session_id 221 tcp-port 51 terminar sesin de usuario nica 222 terminar todas las sesiones de usuario 223 threads de trabajo asignacin global 53 asignacin por conexin (junction) 54 conexiones (junctions) 53 gestin 52 imparcialidad de conexiones (junction) 53 WebSEAL 52 timeout 111, 136, 139 tipo, MIME 33 tipos de archivos de base de datos de claves 39 tipos de datos de ID de sesin 114 tipos de datos de sesin 108 token-auth 130 token-cdas 119, 131 token-login 36 tokenauthn 131 tokenlogin.html 37 Transport Layer Security (TLS) 26
WebSEAL (continuacin) en espacio de objetos 22 estadsticas 77 HTTP/1.1, respuestas 22 iniciar y detener el servidor 22 server-name 22 visin general 1 webseald.conf, archivo de configuracin 23 WebSEAL, cach de credenciales/sesin de configuracin 111 visin general 109 visin general y estructura 12 webseal-cert-keyfile 40 webseal-cert-keyfile-label 40, 126, 186 webseal-cert-keyfile-pwd 40 webseal-cert-keyfile-stash 40 webseal-mpa-servers, grupo 133, 134 webseald.conf consulta 233 ubicacin 23 visin general 23 WebSphere LTPA 199 worker-thread-hard-limit 53 worker-thread-soft-limit 53 worker-threads 52, 53
U
ubicacin de bases de datos de autorizaciones replicadas 51 ubicacin de rplicas de base de datos de autorizaciones 51 udp-port 51 unknownicon 29 URL acerca de las rutas de acceso absolutas 170 acerca de las rutas de acceso relativas 170 acerca de las rutas de acceso relativas del servidor 170 gestin de UTF-8 73 informacin sobre tipos de ruta de acceso 170 modificacin de direcciones URL en recursos de fondo 169 opciones de filtrado 171 tabla de correlaciones de conexiones (junctions) 175 uso de cookies de conexin (junction) 174 use-same-session 113 user-session-ids 220 usuarios no autenticados, controlar 104 utf8-url-support-enabled 74
V
vaciar cachs 32 valor de indicador 217, 221 variables de entorno de, soporte vf-token-lifetime 155 vf-url 156 212
W
warning.log 47 Web Portal Manager 6 WebSEAL archivo de registro 23 configuracin de mltiples instancias 56 directorio raz de instalacin 21 directorio raz de servidor 25 directorio raz del rbol de documentos 28 ndice
263
264
GC10-3839-00