Beruflich Dokumente
Kultur Dokumente
SC10-9835-00
SC10-9835-00
Nota Antes de utilizar esta informacin y el producto al que da soporte, lea la informacin del Apndice C, Avisos, en la pgina 543.
Primera edicin (noviembre de 2003) Este manual es la traduccin del original ingls IBM Tivoli Access Manager for e-business WebSEAL Administration Guide, SC32-1359-00. Copyright International Business Machines Corporation 1999, 2003. Reservados todos los derechos.
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
A quin va dirigido este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii Contenido de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviii Publicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin del release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin de Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix Informacin de seguridad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . xx Material de consulta para desarrolladores . . . . . . . . . . . . . . . . . . . . . . . . xx Informacin tcnica complementaria . . . . . . . . . . . . . . . . . . . . . . . . . . xxi Publicaciones relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi IBM Global Security Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM Tivoli Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM DB2 Universal Database . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . xxii IBM Tivoli Access Manager for Business Integration . . . . . . . . . . . . . . . . . . . xxiii IBM Tivoli Access Manager for WebSphere Business Integration Brokers . . . . . . . . . . . . xxiii IBM Tivoli Access Manager for Operating Systems . . . . . . . . . . . . . . . . . . . xxiv IBM Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv Acceso a las publicaciones en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Accesibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv Cmo ponerse en contacto con el soporte de software . . . . . . . . . . . . . . . . . . . . xxvi Convenios utilizados en este manual . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Convenios tipogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi Diferencias entre sistemas operativos . . . . . . . . . . . . . . . . . . . . . . . . . xxvi
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
16 16 16 20 21 21 22
iii
Visin general de la configuracin silenciosa . . . . . . . . . . . . . . . Tareas de configuracin de instancias de servidor. . . . . . . . . . . . . . . Adicin de una instancia de servidor WebSEAL . . . . . . . . . . . . . . Eliminacin de una instancia de servidor . . . . . . . . . . . . . . . . Configuracin del protocolo de comunicaciones . . . . . . . . . . . . . . . . Configuracin de WebSEAL para solicitudes HTTP . . . . . . . . . . . . . . Habilitacin e inhabilitacin del acceso HTTP . . . . . . . . . . . . . . . Definicin del valor de puerto del acceso HTTP . . . . . . . . . . . . . . Configuracin de WebSEAL para solicitudes HTTPS . . . . . . . . . . . . . . Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a Habilitacin e inhabilitacin del acceso HTTPS . . . . . . . . . . . . . . Definicin del valor de puerto del acceso HTTPS . . . . . . . . . . . . . . Restriccin de conexiones de versiones de SSL especficas . . . . . . . . . . . . Parmetros de tiempo de espera para la comunicacin HTTP/HTTPS . . . . . . . . Parmetros adicionales de tiempo de espera del servidor WebSEAL . . . . . . . . Hardware criptogrfico para cifrado y almacenamiento de claves . . . . . . . . . . Condiciones y requisitos previos . . . . . . . . . . . . . . . . . . . . Configuracin del motor Cipher y proceso de modalidad FIPS . . . . . . . . . . Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI. . . . . . Configuracin de WebSEAL para hardware criptogrfico a travs de PKCS#11 . . . . . Instalacin de la tarjeta criptogrfica y el controlador de dispositivo . . . . . . . Creacin de una contrasea y una etiqueta de dispositivo de seal para almacenar claves Configuracin de iKeyman para que utilice el mdulo PKCS#11 (biblioteca compartida) . Apertura del dispositivo de seal de WebSEAL utilizando iKeyman . . . . . . . Solicitud y almacenamiento del certificado de servidor WebSEAL . . . . . . . . Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 Modificacin de la etiqueta del certificado de servidor WebSEAL . . . . . . . . Inhabilitacin de la modalidad de aceleracin para nCipher nForce 300 . . . . . . Reinicio de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . Calidad de niveles de proteccin . . . . . . . . . . . . . . . . . . . . . QOP para redes y hosts individuales . . . . . . . . . . . . . . . . . . . Configuracin de actualizaciones y sondeo de la base de datos de autorizaciones . . . . . Configuracin de la escucha de notificaciones de actualizaciones . . . . . . . . . Configuracin del sondeo de la base de datos de autorizaciones . . . . . . . . . . Gestin de la asignacin de threads de trabajo . . . . . . . . . . . . . . . . . Configuracin de threads de trabajo de WebSEAL . . . . . . . . . . . . . . Configuracin en AIX . . . . . . . . . . . . . . . . . . . . . . . Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) . . . . . Contexto . . . . . . . . . . . . . . . . . . . . . . . . . . . Asignacin global de threads de trabajo para uniones . . . . . . . . . . . . Asignacin por unin de threads de trabajo para conexiones . . . . . . . . . . Notas para la resolucin de problemas . . . . . . . . . . . . . . . . . Soporte para varios entornos locales con UTF-8 . . . . . . . . . . . . . . . . Conceptos de soporte de varios entornos locales . . . . . . . . . . . . . . . Manejo de datos de WebSEAL utilizando UTF-8 . . . . . . . . . . . . . . Dependencia de UTF-8 en la configuracin de registro de usuarios . . . . . . . . Problemas de conversin de datos UTF-8 . . . . . . . . . . . . . . . . Variables de entorno UTF-8 para programas CGI . . . . . . . . . . . . . . Impacto de UTF-8 en la autenticacin . . . . . . . . . . . . . . . . . Los URL slo deben utilizar un tipo de codificacin . . . . . . . . . . . . . Soporte para UTF-8 durante la actualizacin de WebSEAL . . . . . . . . . . . Configuracin del soporte para varios entornos locales . . . . . . . . . . . . . Soporte UTF-8 para localizadores uniformes de recursos . . . . . . . . . . . Soporte UTF-8 para formularios . . . . . . . . . . . . . . . . . . . Soporte UTF-8 en cadenas de consulta . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico entre dominios . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico de e-community . . . . Codificacin UTF-8 de cookies para la autenticacin de la migracin tras error . . . . Codificacin UTF-8 en solicitudes de unin . . . . . . . . . . . . . . . . Mensajes de varios entornos locales . . . . . . . . . . . . . . . . . . . . Manejo de la codificacin de caracteres no vlidos en cadenas de consultas URL . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23 25 25 27 29 29 29 29 29 29 30 31 31 31 32 33 34 34 35 35 35 35 36 37 37 38 38 39 39 40 41 42 42 43 44 44 44 45 45 45 46 47 48 48 48 49 49 50 51 51 52 53 53 54 55 56 56 57 57 59 61
iv
Prevencin de la vulnerabilidad causada por scripts entre sitios . Contexto . . . . . . . . . . . . . . . . . . Configuracin del filtrado de cadenas de direcciones URL . . Servidores WebSEAL frontales replicados . . . . . . . . Platform for Privacy Preferences (P3P) . . . . . . . . . Visin general de las polticas compactas . . . . . . . Declaracin de poltica compacta . . . . . . . . . . Conservacin de la cabecera de unin . . . . . . . . Poltica compacta predeterminada de la cabecera P3P . . . Configuracin de la cabecera P3P . . . . . . . . . . Especificacin de una poltica compacta P3P personalizada . Resolucin de problemas . . . . . . . . . . . . . Supresin de la identidad del servidor . . . . . . . . . Manejo de identificadores BASE HREF . . . . . . . . . Habilitacin del mtodo TRACE de HTTP . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
62 62 62 64 65 65 66 67 67 68 74 75 76 76 76
Contenido
Captura y registro de eventos . . . . . . . . . . . . . . . Tareas de configuracin del registro de eventos . . . . . . . . Configuracin de ejemplo . . . . . . . . . . . . . . . Configuracin del registro HTTP mediante el registro de eventos . . Salida del registro de eventos HTTP . . . . . . . . . . . . Salida del registro de eventos de autenticacin . . . . . . . . Datos de auditora en formato UTF-8 . . . . . . . . . . . Auditora heredada . . . . . . . . . . . . . . . . . . Auditora heredada para autenticacin . . . . . . . . . . . Auditora heredada para HTTP . . . . . . . . . . . . . Habilitacin e inhabilitacin del registro HTTP . . . . . . . Especificacin del tipo de marca de fecha y hora . . . . . . Especificacin de los umbrales de creacin de archivo de registro . Especificacin de la frecuencia de vaciado de los bferes de archivo Formato de registro comn HTTP (para request.log) . . . . . Visualizacin del archivo request.log . . . . . . . . . . Visualizacin del archivo agent.log . . . . . . . . . . . Visualizacin del archivo referer.log . . . . . . . . . . . Datos de registro en formato UTF-8 . . . . . . . . . . .
. . . . . . . . . . . . . de . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . registro . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
111 111 112 113 114 115 117 119 119 119 120 120 120 121 121 121 122 122 122
vi
Definicin del valor de tiempo de espera de entrada de cach . . . . . . Definicin del valor mximo de entradas simultneas . . . . . . . . . Configuracin de la cach de sesin/credenciales de WebSEAL . . . . . . Definicin del valor mximo de entradas simultneas . . . . . . . . . Definicin del valor de tiempo de espera de duracin de la entrada de cach . Definicin del valor del tiempo de espera de inactividad de entrada de cach . Limitacin de la cach de credenciales . . . . . . . . . . . . . . Mantenimiento del estado con cookies de sesin . . . . . . . . . . . Condiciones de la cookie de sesin . . . . . . . . . . . . . . . Cookies de sesin con cabeceras de autenticacin bsica . . . . . . . . Habilitacin e inhabilitacin de las cookies de ID de sesin . . . . . . . Habilitacin e inhabilitacin de las mismas sesiones . . . . . . . . . Limitacin de la misma sesin con Netscape 4.7x . . . . . . . . . . Determinacin de los tipos de datos vlidos de ID de sesin . . . . . . . Visin general de la configuracin de autenticacin. . . . . . . . . . . . Parmetros del mdulo de autenticacin . . . . . . . . . . . . . . Biblioteca de conversin de autenticacin . . . . . . . . . . . . . . Configuracin predeterminada para la autenticacin de WebSEAL. . . . . . Configuracin de mltiples mtodos de autenticacin . . . . . . . . . . Solicitud de inicio de sesin . . . . . . . . . . . . . . . . . . Configuracin de la notificacin de caducidad de cuenta . . . . . . . . . Comandos de fin de sesin y de cambio de contrasea . . . . . . . . . pkmslogout . . . . . . . . . . . . . . . . . . . . . . . pkmspasswd . . . . . . . . . . . . . . . . . . . . . . Proceso posterior al cambio de contrasea . . . . . . . . . . . . . Autenticacin bsica . . . . . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin bsica . . . . . . . . . Definicin del nombre de dominio . . . . . . . . . . . . . . . . Configuracin del mecanismo de autenticacin bsica . . . . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . Inicios de sesin UTF-8 de mltiples bytes no soportados . . . . . . . . Autenticacin de formularios . . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de formularios. . . . . . . Configuracin del mecanismo de autenticacin de formularios . . . . . . . Condiciones de configuracin . . . . . . . . . . . . . . . . . . Personalizacin de los formularios HTML de respuesta . . . . . . . . . Autenticacin de certificado de cliente . . . . . . . . . . . . . . . . Visin general de la autenticacin de certificado de cliente . . . . . . . . Modalidad de autenticacin de certificado necesario . . . . . . . . . Modalidad de autenticacin de certificado opcional . . . . . . . . . Modalidad de autenticacin de certificado con demora . . . . . . . . Configuracin de la autenticacin de certificado . . . . . . . . . . . . Habilite la autenticacin de certificado . . . . . . . . . . . . . . Especifique el mecanismo de autenticacin de certificado . . . . . . . . Especifique el formulario de inicio de sesin de certificado . . . . . . . Especifique la pgina de error de inicio de sesin de certificado . . . . . Inhabilite los ID de sesin de SSL para realizar el seguimiento de sesiones . . Habilite y configure la cach de ID de SSL de certificado . . . . . . . . Defina el tiempo de espera para la cach de ID de SSL de certificado . . . . Especifique una pgina de error para un protocolo incorrecto . . . . . . Inhabilite la autenticacin de certificado . . . . . . . . . . . . . Inhabilite la cach de ID de SSL de certificado . . . . . . . . . . . Autenticacin de cabeceras HTTP . . . . . . . . . . . . . . . . . Habilitar la autenticacin de cabeceras HTTP . . . . . . . . . . . . . Especificar tipos de cabecera . . . . . . . . . . . . . . . . . . Especificar el mecanismo de autenticacin de cabeceras HTTP . . . . . . . Inhabilitar la autenticacin de cabeceras HTTP . . . . . . . . . . . . Autenticacin de direcciones IP . . . . . . . . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de direcciones IP . . . . . . Configuracin del mecanismo de autenticacin de direcciones IP . . . . . . Autenticacin de seal . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147 147 147 148 148 148 149 149 150 150 151 152 152 153 155 155 156 156 157 157 158 158 158 159 159 160 160 160 160 161 161 162 162 162 163 163 164 164 164 164 164 167 167 168 169 169 169 170 170 171 171 171 172 172 173 173 174 175 175 175 176
Contenido
vii
Conceptos de la autenticacin de seal . . . . . . . . . . . . . . . . . . . . Biblioteca de autenticacin de seal . . . . . . . . . . . . . . . . . . . . Autenticacin de seal SecurID . . . . . . . . . . . . . . . . . . . . . Flujo de trabajo de autenticacin para seales de la modalidad de PIN nuevo . . . . . . Uso de la autenticacin de seal con un servidor de intensidad de contraseas . . . . . El cliente SecurID RSA no da soporte a Linux para zSeries . . . . . . . . . . . . Configuracin de la autenticacin de seal . . . . . . . . . . . . . . . . . . Habilite la autenticacin de seal . . . . . . . . . . . . . . . . . . . . . Especifique el mecanismo de autenticacin de seal . . . . . . . . . . . . . . Habilite el acceso a la biblioteca de cliente SecurID . . . . . . . . . . . . . . . Especifique una biblioteca de intensidad de contraseas personalizada . . . . . . . . Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticacin de seal personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . . Inhabilite la autenticacin de seal . . . . . . . . . . . . . . . . . . . . Autenticacin de migracin tras error . . . . . . . . . . . . . . . . . . . . . Conceptos de autenticacin de migracin tras error. . . . . . . . . . . . . . . . Escenario de autenticacin de migracin tras error . . . . . . . . . . . . . . . Biblioteca de autenticacin de migracin tras error . . . . . . . . . . . . . . . Adicin de datos a una cookie de migracin tras error . . . . . . . . . . . . . Extraccin de datos de una cookie de migracin tras error . . . . . . . . . . . . Autenticacin de migracin tras error del dominio . . . . . . . . . . . . . . . Compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . . . Actualizacin de la autenticacin de migracin tras error . . . . . . . . . . . . . Configuracin de la autenticacin de migracin tras error . . . . . . . . . . . . . Especifique el protocolo para la cookie de migracin tras error . . . . . . . . . . . Especifique la biblioteca de autenticacin de migracin tras error . . . . . . . . . . Cree una clave de cifrado para los datos de la cookie . . . . . . . . . . . . . . Especifique la duracin de la cookie . . . . . . . . . . . . . . . . . . . . Especifique la codificacin UTF-8 en las cadenas de cookies . . . . . . . . . . . . Agregue el nivel de autenticacin . . . . . . . . . . . . . . . . . . . . Agregue la marca de fecha y hora de la duracin de la sesin . . . . . . . . . . . Agregue la marca de fecha y hora de actividad de la sesin . . . . . . . . . . . . Agregue un intervalo para actualizar la marca de fecha y hora de actividad . . . . . . Agregue atributos ampliados . . . . . . . . . . . . . . . . . . . . . . Especifique el atributo de nivel de autenticacin despus de la autenticacin de migracin tras Especifique los atributos para la extraccin . . . . . . . . . . . . . . . . . Habilite las cookies de migracin tras error del dominio . . . . . . . . . . . . . Solicite validacin de una marca de fecha y hora de duracin . . . . . . . . . . . Solicite validacin de una marca de fecha y hora de actividad . . . . . . . . . . . Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado . . . . Habilite la compatibilidad con versiones anteriores a la versin 4.1 para cookies . . . . . Protocolo SPNEGO y autenticacin Kerberos . . . . . . . . . . . . . . . . . . . Agentes proxy multiplexor . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de datos de sesin y mtodos de autenticacin vlidos . . . . . . . . . . . . Flujo de proceso de autenticacin para MPA y clientes mltiples . . . . . . . . . . . Habilitacin e inhabilitacin de la autenticacin de MPA . . . . . . . . . . . . . . Creacin de una cuenta de usuario para el MPA. . . . . . . . . . . . . . . . . Adicin de la cuenta de MPA al grupo webseal-mpa-servers . . . . . . . . . . . . Limitaciones de la autenticacin de MPA . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
176 176 176 178 179 179 179 179 180 180 181 181 182 183 183 183 184 186 188 189 190 190 191 193 193 194 194 195 195 195 196 196 197 197 198 199 199 200 200 201 202 203 203 205 205 205 205 206
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . error . . . . . . . . . . . . . . . . . . . . . . . . . . . .
viii
Tiempo de espera de la cach de sesin . . . . . . . . . . . . . . . . . . . Autenticacin incremental . . . . . . . . . . . . . . . . . . . . . . . . Reautenticacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de la sesin de usuario . . . . . . . . . . . . . . . . . . . . . . Indicador-valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario. . . . . . Almacenamiento en la cach de solicitudes del servidor . . . . . . . . . . . . . . . . Visin general del almacenamiento en la cach de solicitudes del servidor . . . . . . . . . Configuracin de parmetros del almacenamiento en la cach del servidor . . . . . . . . . Modificacin del parmetro max-client-read . . . . . . . . . . . . . . . . . . Modificacin del parmetro request-body-max-read . . . . . . . . . . . . . . . Modificacin del parmetro request-max-cache . . . . . . . . . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de seguridad . . . . . . . . . . . Condiciones que afectan a la reautenticacin de POP . . . . . . . . . . . . . . . . Creacin y aplicacin de la POP de reautenticacin . . . . . . . . . . . . . . . . . Configuracin del restablecimiento y ampliacin de la duracin de la entrada de la cach de sesin Restablecimiento del valor de duracin de la entrada de la cach de sesin. . . . . . . . Ampliacin del valor de duracin de la entrada de la cach de sesin . . . . . . . . . Personalizacin de formularios de inicio de sesin para la reautenticacin . . . . . . . . . Configuracin de la reautenticacin basada en la poltica de inactividad de sesin . . . . . . . Condiciones que afectan a la reautenticacin de la inactividad . . . . . . . . . . . . . Habilitacin de la reautenticacin por inactividad . . . . . . . . . . . . . . . . . Restablecimiento y ampliacin del valor de duracin de la entrada de la cach de sesin . . . . Restablecimiento del valor de duracin de la entrada de la cach de sesin. . . . . . . . Ampliacin del valor de duracin de la entrada de la cach de sesin . . . . . . . . . Cmo evitar el cierre de la sesin cuando caduca la duracin de la sesin . . . . . . . . Personalizacin de formularios de inicio de sesin para la reautenticacin . . . . . . . . . Redireccin automtica durante el inicio de sesin del usuario . . . . . . . . . . . . . . Visin general de la redireccin automtica . . . . . . . . . . . . . . . . . . . Habilitacin de la redireccin automtica . . . . . . . . . . . . . . . . . . . . Inhabilitacin de la redireccin automtica . . . . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin del proceso posterior al cambio de contrasea . . . . . . . . . . . . . . Condiciones del proceso posterior al cambio de contrasea . . . . . . . . . . . . . . Atributos ampliados para credenciales . . . . . . . . . . . . . . . . . . . . . . Mecanismos para agregar atributos de registro a una credencial . . . . . . . . . . . . Configuracin del servicio de titularidad de atributos de registro . . . . . . . . . . . . Paso 1: Determine los atributos que deben agregarse a la credencial . . . . . . . . . . Paso 2: Defina el uso del servicio de titularidad . . . . . . . . . . . . . . . . . Paso 3: Especifique los atributos que deben agregarse a la credencial . . . . . . . . . . Gestin de uniones de atributos de credencial ampliados . . . . . . . . . . . . . . . Renovacin de credenciales . . . . . . . . . . . . . . . . . . . . . . . . . . Conceptos sobre la renovacin de credenciales . . . . . . . . . . . . . . . . . . Visin general de la renovacin de credenciales . . . . . . . . . . . . . . . . . Reglas de renovacin de credenciales . . . . . . . . . . . . . . . . . . . . Renovacin de la informacin de la credencial almacenada en la cach . . . . . . . . . Sintaxis y uso del archivo de configuracin . . . . . . . . . . . . . . . . . . Valores predeterminados para conservar y renovar . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin de la renovacin de credenciales . . . . . . . . . . . . . . . . . . Paso 1: Especifique los atributos que deben conservarse o renovarse . . . . . . . . . . Paso 2: Habilite los ID de sesin de usuario . . . . . . . . . . . . . . . . . . Paso 3: Habilite la ubicacin del nombre del servidor en una cabecera de unin . . . . . . Uso de la renovacin de credenciales . . . . . . . . . . . . . . . . . . . . . Renovacin de credenciales para un usuario determinado . . . . . . . . . . . . . Resolucin de problemas . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
217 217 218 218 218 218 218 221 221 223 223 223 224 226 226 227 227 227 228 229 230 230 231 231 231 232 233 234 235 235 235 236 236 237 237 238 238 239 239 239 240 241 244 244 244 245 246 247 247 248 249 249 249 249 250 250 251
Contenido
ix
Tipos de archivo de base de datos de claves de GSKit . . . . . . . . . Configuracin de los parmetros de la base de datos de claves de WebSEAL . Utilizacin de la utilidad de gestin de certificados iKeyman . . . . . . Configuracin de la comprobacin de CRL . . . . . . . . . . . . Configuracin de la cach de CRL . . . . . . . . . . . . . . . Definicin del nmero mximo de entradas de cach . . . . . . . . Definicin del valor de tiempo de espera de duracin de la cach de GSKit
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
Configuracin de la funcionalidad de consumo de seal predeterminada en el servidor receptor Habilitacin e inhabilitacin de la autenticacin de e-community . . . . . . . . . . . Especificacin de un nombre de e-community. . . . . . . . . . . . . . . . . . Configuracin de un mecanismo de autenticacin de inicio de sesin nico . . . . . . . . Cifrado de la seal de garantizacin . . . . . . . . . . . . . . . . . . . . . Claves de dominio de e-community . . . . . . . . . . . . . . . . . . . . . 5. Configuracin de un nombre de etiqueta de la seal de garantizacin. . . . . . . . . . 6. Especificacin del servidor de autenticacin maestro (MAS) . . . . . . . . . . . . . 7. Especificacin de la direccin URL de garantizacin . . . . . . . . . . . . . . . 8. Configuracin de los valores de duracin de seal y ec-cookie . . . . . . . . . . . . Habilitacin del acceso no autenticado . . . . . . . . . . . . . . . . . . . . . Codificacin UTF-8 de seales para el inicio de sesin nico de e-community . . . . . . . . Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 . . . . . . . . . . Habilitacin de la compatibilidad con versiones anteriores para seales de la versin 4.1 . . . . Especificacin de los atributos ampliados que deben agregarse a la seal . . . . . . . . . Especificacin de los atributos ampliados que deben extraerse de la seal . . . . . . . . . 1. 2. 3. 4.
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
293 293 294 294 295 295 296 296 297 298 298 299 299 299 300 301
. . . . . . . . . . . . . . . . . . . . . . . . 303
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 304 304 304 304 305 306 306 306 306 308 309 309 309 310 310 310 310 312 312 312 313 313 314 314 314 314 314 316 317 318 319 319 320 321 322 322 323 324 325 326 327 327
Visin general de las uniones WebSEAL . . . . . . . . . . . . . . Ubicacin y formato de la base de datos de uniones . . . . . . . . . Aplicacin del control de accesos flexible: resumen . . . . . . . . . . Aplicacin del control de accesos estricto: resumen . . . . . . . . . . Directrices para la creacin de uniones WebSEAL . . . . . . . . . . Informacin de consulta adicional para uniones WebSEAL . . . . . . . Gestin de uniones con Web Portal Manager . . . . . . . . . . . . . Creacin de una unin con Web Portal Manager . . . . . . . . . . Lista de uniones utilizando Web Portal Manager . . . . . . . . . . Eliminacin de uniones utilizando Web Portal Manager . . . . . . . . Utilizacin de pdadmin para crear uniones . . . . . . . . . . . . . Configuracin de una unin WebSEAL bsica . . . . . . . . . . . . Creacin de uniones de tipo TCP . . . . . . . . . . . . . . . . Creacin de uniones de tipo SSL . . . . . . . . . . . . . . . . Verificacin del certificado de servidor de fondo. . . . . . . . . . Ejemplos de uniones de SSL . . . . . . . . . . . . . . . . Inhabilitacin de las versiones de protocolo SSL para las uniones . . . . Adicin de servidores de fondo a una unin . . . . . . . . . . . . Uniones SSL autenticadas mutuamente . . . . . . . . . . . . . . . WebSEAL valida el certificado de servidor de fondo . . . . . . . . . Coincidencia de Nombre distinguido (DN) . . . . . . . . . . . . WebSEAL se autentica con un certificado de cliente . . . . . . . . . WebSEAL se autentica con una cabecera de BA . . . . . . . . . . . Gestin de informacin de identidad de cliente entre uniones . . . . . . Utilizacin de b supply. . . . . . . . . . . . . . . . . . Utilizacin de b ignore . . . . . . . . . . . . . . . . . . Utilizacin de b gso . . . . . . . . . . . . . . . . . . . Utilizacin de b filter . . . . . . . . . . . . . . . . . . Creacin de uniones de proxy TCP y SSL . . . . . . . . . . . . . . Uniones WebSEAL a WebSEAL a travs de SSL . . . . . . . . . . . . Modificacin de las direcciones URL de recursos de fondo . . . . . . . . Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL Filtrado de las direcciones URL en las respuestas . . . . . . . . . . Reglas de filtrado estndar de direcciones URL para WebSEAL . . . . . Modificacin de las direcciones URL absolutas con filtrado de scripts . . El filtrado cambia la cabecera Content-Length . . . . . . . . . . Limitacin con vnculos relativos al servidor no filtrados . . . . . . . Proceso de direcciones URL en las solicitudes . . . . . . . . . . . Gestin de direcciones URL relativas al servidor con cookies de unin (-j) . Gestin de direcciones URL relativas al servidor con correlacin de uniones Proceso de solicitudes de unin raz . . . . . . . . . . . . . . Gestin de cookies de servidores a travs de mltiples uniones -j . . . . . Parte 1: Las uniones -j modifican los atributos de ruta de acceso Set-Cookie
Contenido
xi
Parte 2: Las uniones -j modifican los atributos de nombre de Set-Cookie. Cmo conservar nombres de cookie . . . . . . . . . . . . . Opciones adicionales de unin . . . . . . . . . . . . . . . . Cmo forzar una nueva unin (f) . . . . . . . . . . . . . . Especificacin de la identidad del cliente en cabeceras HTTP (c) . . . . Sintaxis de c . . . . . . . . . . . . . . . . . . . . Especificacin de las direcciones IP de cliente en cabeceras HTTP (r) . . Limitacin del tamao de cabeceras HTTP generadas por WebSEAL . . . Transferencia de cookies de sesin a servidores de portal con unin (k) . Soporte para direcciones URL no sensibles a maysculas y minsculas (i) . Soporte para unin con informacin de estado (s, u) . . . . . . . Especificacin de UUID de servidor de fondo para uniones con informacin Ejemplo: . . . . . . . . . . . . . . . . . . . . . . Unin con sistemas de archivos de Windows (w) . . . . . . . . . Ejemplo: . . . . . . . . . . . . . . . . . . . . . . Las ACL y las POP deben asociarse a nombres de objeto en minsculas . Especificacin de la codificacin UTF-8 para datos de cabecera HTTP . . Notas tcnicas para utilizar uniones WebSEAL . . . . . . . . . . . Montaje de varios servidores en la misma unin . . . . . . . . . Excepciones a la aplicacin de permisos entre uniones. . . . . . . . Certificacin de autenticacin entre uniones . . . . . . . . . . . Gestin de cookies de dominio . . . . . . . . . . . . . . . WebSEAL devuelve HTTP/1.1 . . . . . . . . . . . . . . . . Aplicacin con unin con Web Portal Manager . . . . . . . . . . Utilizacin de query_contents con servidores de terceros . . . . . . . . Instalacin de los componentes de query_contents . . . . . . . . . Instalacin de query_contents en servidores UNIX de terceros . . . . . Instalacin de query_contents en servidores Win32 de terceros . . . . . Prueba de la configuracin . . . . . . . . . . . . . . . . Personalizacin de query_contents . . . . . . . . . . . . . . Personalizacin del directorio raz de documentos . . . . . . . . Funcionalidad adicional . . . . . . . . . . . . . . . . . Proteccin de query_contents . . . . . . . . . . . . . . . . Resolucin de problemas . . . . . . . . . . . . . . . . .
. . . . . . . . . . . de . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . estado (u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
328 329 330 330 331 331 332 333 333 334 335 335 337 338 339 339 339 341 341 341 341 342 342 342 344 344 345 345 346 346 347 347 347 348
. . . . . . . 349
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 350 350 351 351 352 352 353 354 355 356 356 356 358 358 359 359 361 361 361 363 363 364 364 366
xii
La stanza de argumento . . . . . . . . . . . Habilitacin del inicio de sesin nico con formularios . Ejemplo de archivo de configuracin para IBM HelpNow
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
Contenido
xiii
Ubicaciones de las tablas . . . . . . . . . . . . Registro . . . . . . . . . . . . . . . . . . Limitacin del nmero de clientes y de sesiones . . . . . Opciones varias . . . . . . . . . . . . . . . Mdulos de protocolos que deben cargarse en la inicializacin Edicin de las tablas de datos . . . . . . . . . . . . . Tabla ProviderTable . . . . . . . . . . . . . . . Subelementos del elemento Provider . . . . . . . . Tabla ProviderTable de ejemplo . . . . . . . . . . Tabla ContainerDescriptorTable . . . . . . . . . . . Subelementos del elemento ContainerDescriptor . . . . . Correlacin de atributos . . . . . . . . . . . . . Tabla ContainerDescriptorTable de ejemplo . . . . . . Tabla ProtocolTable . . . . . . . . . . . . . . . Subelementos del elemento Protocol . . . . . . . . . Tabla ProtocolTable de ejemplo . . . . . . . . . . Creacin de plug-ins de protocolo personalizados . . . . . . Visin general . . . . . . . . . . . . . . . . . Creacin del plug-in de protocolo . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . .
404 405 406 406 406 408 408 408 409 409 409 410 411 411 411 412 413 413 413
xiv
Filtrado de manejadores de eventos . . . . . . . . Filtrado de esquemas . . . . . . . . . . . . . Filtrado de tipos MIME y cabeceras . . . . . . . . Filtrado de scripts . . . . . . . . . . . . . . Renovacin de credenciales . . . . . . . . . . . Nombres de cabecera . . . . . . . . . . . . . Cach de Global Sign-On . . . . . . . . . . . Cach de LTPA (Lightweight Third Party Authentication) Registro . . . . . . . . . . . . . . . . . . Auditora . . . . . . . . . . . . . . . . . . Base de datos de polticas . . . . . . . . . . . . Servicios de titularidad . . . . . . . . . . . . . Policy Server . . . . . . . . . . . . . . . . Platform for Privacy Preferences (P3P) . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
507 509 510 511 513 513 514 516 518 521 524 526 527 528
. . . . . . . . . . 537
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 538 539 541
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Contenido
xv
xvi
Prefacio
Bienvenido a IBM Tivoli Access Manager for e-business WebSEAL Gua de administracin. IBM Tivoli Access Manager WebSEAL es el gestor de seguridad de recursos para los recursos basados en web de un dominio seguro de Tivoli Access Manager. WebSEAL es un servidor web de alto rendimiento y de threads mltiples que aplica una poltica de seguridad detallada al espacio de objetos web protegidos. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. Esta gua de administracin ofrece un conjunto exhaustivo de procedimientos e informacin de consulta para la gestin de los recursos de los dominios web seguros. Tambin incluye informacin general y de conceptos til para la gran variedad de funciones de WebSEAL. IBM Tivoli Access Manager (Tivoli Access Manager) es el software de base necesario para ejecutar aplicaciones en los productos IBM Tivoli Access Manager. Permite la integracin de aplicaciones de IBM Tivoli Access Manager que proporcionan una amplia gama de soluciones de autorizacin y gestin. Estos productos, que se proporcionan como una solucin integrada, proporcionan una solucin de gestin de control de accesos que centraliza la poltica de seguridad de aplicaciones y redes para aplicaciones de e-business. Nota: IBM Tivoli Access Manager es el nuevo nombre del software previamente comercializado con el nombre de Tivoli SecureWay Policy Director. Adems, para los usuarios familiarizados con el software Tivoli SecureWay Policy Director y su documentacin, el trmino Management Server ahora ha pasado a denominarse Policy Server.
xvii
xviii
v v
En este captulo se describen soluciones de inicio de sesin nico para el componente interno de la configuracin proxy de WebSEAL, entre el servidor WebSEAL y el servidor de fondo de aplicaciones con unin. Captulo 12: Integracin de aplicaciones En este captulo se describen distintas posibilidades de WebSEAL para integrar la funcionalidad de aplicaciones de terceros. Captulo 13: Recuperacin de informacin de decisiones de autorizacin En este captulo se describen distintos mecanismos para obtener informacin de decisiones de autorizacin (ADI) de WebSEAL para dar soporte a la evaluacin de las reglas de autorizacin en los recursos protegidos. Captulo 14: Informacin de consulta del servicio de recuperacin de atributos En este captulo se describe la administracin y la configuracin del servicio de recuperacin de atributos. Apndice A: Informacin de consulta del archivo de configuracin de WebSEAL Apndice B: Informacin de consulta de las uniones WebSEAL
Publicaciones
Revise las descripciones de la biblioteca de Tivoli Access Manager, las publicaciones que constituyen un requisito previo y las publicaciones relacionadas para determinar qu publicaciones pueden resultarle de mayor utilidad. Una vez que haya determinado las publicaciones que necesita, consulte las instrucciones para saber cmo acceder a las publicaciones en lnea. Para obtener informacin adicional sobre el producto IBM Tivoli Access Manager for e-business propiamente dicho, consulte: http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/ La biblioteca de Tivoli Access Manager est organizada en las siguientes categoras: v Informacin del release v Informacin de Base v Informacin de seguridad web en la pgina xx v Material de consulta para desarrolladores en la pgina xx v Informacin tcnica complementaria en la pgina xxi
Informacin de Base
v IBM Tivoli Access Manager Base Installation Guide (SC32-1362-00) Describe cmo instalar y configurar el software base Tivoli Access Manager, incluida la interfaz Web Portal Manager. Este manual es una parte de la publicacin IBM Tivoli Access Manager for e-business Web Security Installation Guide
Prefacio
xix
y est pensado para ser utilizado con otros productos de Tivoli Access Manager, como por ejemplo IBM Tivoli Access Manager for Business Integration e IBM Tivoli Access Manager for Operating Systems. v IBM Tivoli Access Manager Upgrade Guide (SC32-1369-00) Describe cmo realizar la actualizacin de Tivoli SecureWay Policy Director versin 3.8 o versiones anteriores de Tivoli Access Manager a Tivoli Access Manager versin 5.1. v IBM Tivoli Access Manager Base Gua de administracin (SC10-9834-00) Describe los conceptos y procedimientos para la utilizacin de los servicios de Tivoli Access Manager. Proporciona instrucciones para realizar tareas desde la interfaz Web Portal Manager y mediante el comando pdadmin.
xx
Proporciona material de consulta que describe cmo utilizar la API de autorizacin en C de Tivoli Access Manager y la interfaz de plug-in de servicio de Tivoli Access Manager para agregar la seguridad de Tivoli Access Manager a las aplicaciones. v IBM Tivoli Access Manager for e-business Authorization Java Classes Developer Reference (SC32-1350-00) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de autorizacin para permitir que una aplicacin utilice la seguridad de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Administration C API Developer Reference (SC32-1357-00) Proporciona informacin de consulta sobre la utilizacin de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Tivoli Access Manager. Este documento describe la implementacin en C de la API de administracin. v IBM Tivoli Access Manager for e-business Administration Java Classes Developer Reference (SC32-1356-00) Proporciona informacin de consulta sobre la utilizacin de la implementacin en lenguaje Java de la API de administracin para permitir que una aplicacin pueda realizar tareas de administracin de Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Web Security Developer Reference (SC32-1358-00) Proporciona informacin sobre la administracin y programacin para el servicio de autenticacin entre dominios (CDAS), la infraestructura de correlacin entre dominios (CDMF) y el mdulo de intensidad de las contraseas.
Publicaciones relacionadas
Este apartado contiene una lista de las publicaciones relacionadas con la biblioteca de Tivoli Access Manager. Tivoli Software Library proporciona una variedad de publicaciones de Tivoli como, por ejemplo, documentacin tcnica, hojas de datos, demostraciones, Redbooks y cartas de anuncio. Tivoli Software Library est disponible en la siguiente direccin web: http://www.ibm.com/software/tivoli/library/
Prefacio
xxi
La publicacin Tivoli Software Glossary incluye definiciones de muchos de los trminos tcnicos relacionados con el software de Tivoli. La publicacin Tivoli Software Glossary est disponible, slo en ingls, a travs del vnculo Glossary en la parte izquierda de la pgina web de Tivoli Software Library http://www.ibm.com/software/tivoli/library/
xxii
operativo que se desee. WebSphere Application Server habilita el soporte de la interfaz Web Portal Manager, que se utiliza para administrar Tivoli Access Manager, y de la Herramienta de administracin web, que se utiliza para administrar IBM Tivoli Directory Server. IBM WebSphere Application Server Fix Pack 2 tambin es necesario para Tivoli Access Manager y se proporciona en el CD IBM Tivoli Access Manager WebSphere Fix Pack. Para obtener informacin sobre IBM WebSphere Application Server, consulte: http://www.ibm.com/software/webservers/appserv/infocenter.html
Prefacio
xxiii
Los documentos siguientes asociados con IBM Tivoli Access Manager for WebSphere Integration Brokers, versin 5.1, estn disponibles en el sitio web de Tivoli Information Center. v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Read This First (GI11-4153-00)
xxiv
v Servidor de Tivoli Identity Manager Gua de instalacin en Windows 2000 con WebLogic (SC10-9818-00) v IBM Tivoli Identity Manager Policy and Organization Administration Guide (SC32-1149-01) v IBM Tivoli Identity Manager Gua del usuario final (SC10-9815-01) v IBM Tivoli Identity Manager Server Configuration Guide (SC32-1150-02) v IBM Tivoli Identity Manager Server Troubleshooting Guide (SC32-1151-01) v IBM Tivoli Identity Manager: Agente de IBM Tivoli Access Manager para Windows Gua de instalacin (SC10-9816-03) v IBM Tivoli Identity Manager Lotus Notes Agent Installation Guide (SC32-1157-03) v IBM Tivoli Identity Manager Sybase Agent for Windows Installation Guide (SC32-1161-03) v IBM Tivoli Identity Manager Oracle Agent for Windows Installation Guide (SC32-1155-03) v IBM Tivoli Identity Manager Windows 2000 Agent Installation Guide (SC32-1153-03) v IBM Tivoli Identity Manager Windows NT Agent Installation Guide (SC32-1154-03) v IBM Tivoli Identity Manager AIX Agent Installation Guide (SC32-1162-03) v IBM Tivoli Identity Manager: Agente de Exchange 2000 Gua de instalacin (SC10-9817-03) v IBM Tivoli Identity Manager Novell Network Agent Installation Guide (SC32-1158-03) v IBM Tivoli Identity Manager Universal Provisioning Agent Installation Guide (SC32-1159-03)
Accesibilidad
Las caractersticas de accesibilidad ayudan a los usuarios que tienen una discapacidad fsica, como movilidad restringida o visin limitada, a utilizar los productos de software sin problemas. En este producto, puede utilizar tecnologas de asistencia para tener acceso acstico a la interfaz y navegar por ella. Tambin puede utilizar el teclado en lugar del ratn para realizar todas las funciones de la interfaz grfica de usuario.
Prefacio
xxv
Convenios tipogrficos
En esta publicacin se utilizan los siguientes convenios tipogrficos: Negrita Los comandos en minsculas o en maysculas y minsculas que son difciles de distinguir dentro del texto, palabras clave, parmetros, opciones, nombres de clases Java y objetos aparecen en negrita. Cursiva Las variables, ttulos de publicaciones y palabras o frases especiales que estn enfatizadas aparecen en cursiva. Monoespaciado Los ejemplos de cdigo, lneas de comandos, salida en pantalla, nombres de archivos y directorios que son difciles de distinguir dentro del texto, mensajes del sistema, texto que el usuario debe escribir y valores de argumentos u opciones de comandos aparecen en monoespaciado.
xxvi
con un sistema de cortafuegos corporativo, puede proteger por completo la intranet de su empresa de intrusiones y accesos no autorizados. IBM Tivoli Access Manager WebSEAL: IBM Tivoli Access Manager WebSEAL es el gestor de recursos encargado de gestionar y proteger la informacin y los recursos basados en web. WebSEAL es un servidor web de mltiples threads de alto rendimiento que aplica una poltica de seguridad detallada al espacio de objetos web protegido de Tivoli Access Manager. WebSEAL puede proporcionar soluciones de inicio de sesin nico e incorporar recursos de servidores de aplicaciones web de fondo a su poltica de seguridad. WebSEAL acta normalmente como un proxy web inverso al recibir solicitudes HTTP/HTTPS de un navegador web y proporcionar contenido de su propio servidor web o de servidores de aplicaciones web de fondo con unin. Las solicitudes que pasan a travs de WebSEAL son evaluadas por el servicio de autorizacin de Tivoli Access Manager para determinar si el usuario est autorizado a acceder al recurso solicitado. WebSEAL proporciona las siguientes funciones: v Da soporte a varios mtodos de autenticacin Tanto la arquitectura incorporada como la de plug-in permiten la flexibilidad al dar soporte a varios mecanismos de autenticacin. v Acepta solicitudes HTTP y HTTPS v Integra y protege los recursos de servidor de fondo a travs de la tecnologa de uniones WebSEAL v Gestiona un control de accesos estricto para el espacio web del servidor local y de fondo Los recursos soportados incluyen direcciones URL, expresiones regulares basadas en direcciones URL, programas CGI, archivos HTML, servlets Java y archivos de clase Java. v Funciona como proxy web inverso WebSEAL aparece como un servidor web en los clientes y como un navegador web en los servidores de fondo con unin que protege. v Proporciona posibilidades de inicio de sesin nico
El proceso de autenticacin prueba la identidad de un usuario a WebSEAL. Un usuario puede participar en el dominio seguro como autenticado o no autenticado. Slo los usuarios con una entrada en el registro de usuarios pueden convertirse en usuarios autenticados. Utilizando las polticas de ACL y POP, el administrador de seguridad puede establecer como disponibles ciertos recursos pblicos para usuarios no autenticados. Otros recursos pueden quedar disponibles nicamente para determinados usuarios autenticados. Cuando un usuario se autentica correctamente en WebSEAL, se crea un grupo de informacin de identificacin conocido como credencial para ese usuario. La credencial contiene la identidad del usuario, cualquier pertenencia a grupos y cualquier atributo de seguridad especial (ampliada). El servicio de autorizacin de Tivoli Access Manager aplica polticas de seguridad comparando las credenciales de autenticacin de usuario con los permisos de polticas asignados al recurso solicitado. La recomendacin resultante se pasa al gestor de recursos (por ejemplo, WebSEAL), que completa la respuesta a la solicitud original. La credencial de usuario es esencial para la plena participacin en el dominio seguro.
Aplicado por Tivoli Access Manager Base Atributo POP Nivel de auditora Acceso segn hora del da Descripcin Especifica el tipo de auditora: toda, ninguna, acceso correcto, acceso denegado, errores. Restricciones de da y hora para acceder correctamente al objeto protegido.
Aplicado por el Gestor de recursos (como WebSEAL) Atributo POP Calidad de proteccin Descripcin Especifica el grado de la proteccin de datos: ninguna, integridad y privacidad.
Poltica de mtodos de Especifica los requisitos de autenticacin para el acceso autenticacin de punto final de de los miembros de redes externas. IP Control de cach de documentos Especifica las instrucciones de almacenamiento en cach para la manipulacin de documentos especficos.
En el modelo de autorizacin de Tivoli Access Manager, la poltica de autorizacin se implementa independientemente del mecanismo utilizado para la autenticacin de usuarios. Los usuarios pueden autenticar su identidad utilizando mecanismos de clave pblica/privada, de clave secreta o definidos por el cliente. Una parte del proceso de autenticacin implica la creacin de una credencial que describa la identidad del cliente. Las decisiones sobre autorizaciones realizadas por un servicio de autorizaciones se basan en las credenciales de usuario. Los recursos de un dominio seguro reciben un nivel de proteccin de acuerdo con lo que dicte la poltica de seguridad para el dominio. La poltica de seguridad define los participantes legtimos del dominio seguro y el grado de proteccin que rodea a cada recurso que requiere proteccin. El proceso de autorizacin consta de los siguientes componentes bsicos: v Un gestor de recursos es responsable de implementar la operacin solicitada cuando se otorga la autorizacin. WebSEAL es un gestor de recursos. Un componente del gestor de recursos es un aplicador de polticas que dirige la solicitud al servicio de autorizaciones para su proceso. Nota: Las aplicaciones tradicionales agrupan el aplicador de polticas y el gestor de recursos en un solo proceso. Son ejemplos de esta estructura WebSEAL y aplicaciones de terceros. v Un servicio de autorizaciones realiza en la solicitud la accin de toma de decisiones. En el diagrama siguiente se muestra el proceso completo de autorizacin:
1. Una solicitud de cliente autenticada para un recurso se dirige al gestor de recursos y la intercepta el proceso de aplicador de polticas. El gestor de recursos puede ser WebSEAL (para acceso HTTP, HTTPS) o una aplicacin de terceros.
2. El proceso de aplicacin de polticas utiliza la API de autorizacin de Tivoli Access Manager para solicitar al servicio de autorizacin una decisin de autorizacin. 3. El servicio de autorizaciones realiza una comprobacin de autorizacin en el recurso, representado como un objeto en el espacio de objetos protegidos. En primer lugar se comprueban las polticas POP de base. A continuacin, la poltica ACL asociada al objeto se comprueba contra las credenciales del cliente. Luego se comprueban las polticas POP aplicadas por el gestor de recursos. 4. La decisin de aceptar o denegar la solicitud se devuelve como recomendacin al gestor de recursos (a travs de la aplicacin de polticas). 5. Si finalmente se aprueba la solicitud, el gestor de recursos pasa la solicitud a la aplicacin responsable del recurso. 6. El cliente recibe los resultados de la operacin solicitada.
v WebSEAL requiere una identidad de cliente. Desde esta identidad, WebSEAL crea una credencial autenticada (o no autenticada) que puede utilizar el servicio de autorizacin de Tivoli Access Manager para permitir o denegar el acceso a los recursos. Este enfoque flexible de la autenticacin permite que la poltica de seguridad se base en los requisitos de la empresa y no en la topologa fsica de la red.
Objetivos de autenticacin
Aunque WebSEAL es independiente del proceso de autenticacin, WebSEAL requiere los resultados de la autenticacinla identidad del cliente. El proceso de autenticacin produce las acciones siguientes: 1. El mtodo de autenticacin produce una identidad del cliente La autenticacin del cliente slo es correcta si el usuario tiene una cuenta definida en el registro de usuarios de Tivoli Access Manager o es procesado correctamente por CDAS (Cross-domain Authentication Service). Si no, el usuario se designa como no autenticado. La informacin de identidad especfica de un mtodo como, por ejemplo, contraseas, seales y certificados representa las propiedades de identidad fsica del usuario. Esta informacin se puede utilizar para establecer una sesin segura con el servidor. 2. WebSEAL utiliza la identidad para adquirir credenciales para ese cliente WebSEAL hace coincidir la identidad del cliente con un usuario registrado de Tivoli Access Manager. A continuacin, WebSEAL crea las credenciales adecuadas para este usuario. Esto se conoce como adquisicin de credenciales. La credencial representa los privilegios de un usuario en el dominio seguro, describe al usuario en un contexto especfico y slo es vlida para la duracin de esa sesin. Los datos de credencial incluyen el nombre del usuario, cualquier pertenencia a grupos y cualquier atributo de seguridad especial (ampliada). Si un usuario no es miembro del registro de usuarios (annimo), WebSEAL crea una credencial no autenticada para ese usuario. Recuerde que una ACL puede contener reglas especiales que rijan a los usuarios no autenticados. Estas credenciales estn disponibles para el servicio de autorizacin que permite o deniega el acceso a los objetos solicitados en el espacio de objetos protegidos de WebSEAL. Las credenciales pueden ser utilizadas por cualquier servicio de Tivoli Access Manager que requiera informacin sobre el cliente. Las credenciales permiten a Tivoli Access Manager realizar de forma segura una gran cantidad de servicios, como la autorizacin, la auditora o la delegacin. Tivoli Access Manager distingue la autenticacin del usuario de la adquisicin de credenciales. La identidad de un usuario es siempre constante. Sin embargo, las credenciales que definen los grupos o roles en los que participa un usuario son variables. Las credenciales especficas del contexto pueden cambiar con el tiempo. Por ejemplo, cuando se promueve a una persona, las credenciales deben reflejar el nuevo nivel de responsabilidad. Consulte el apartado Captulo 6, Autenticacin, en la pgina 143 para obtener ms informacin acerca del soporte para mtodos de autenticacin especficos.
10
v Si el inicio de sesin no es correcto, se devuelve el mensaje 403 No autorizado. El usuario an puede seguir accediendo a otros recursos disponibles para los usuarios no autenticados.
11
El servidor de fondo puede ser otro servidor WebSEAL o, lo que es ms habitual, un servidor de aplicaciones web de terceros. El espacio web de servidor de fondo se conecta al servidor WebSEAL en un punto de unin o punto de montaje designado especialmente en el espacio web de WebSEAL.
Una unin permite a WebSEAL proporcionar servicios de proteccin en nombre del servidor de fondo. WebSEAL puede realizar comprobaciones de autenticacin y autorizacin en todas las solicitudes antes de pasar esas solicitudes al servidor de fondo. Si el servidor de fondo requiere un control de accesos detallado sobre los objetos, debe llevar a cabo pasos de configuracin adicionales para describir el espacio web de terceros para el servicio de seguridad de Tivoli Access Manager (consulte el apartado Utilizacin de query_contents con servidores de terceros en la pgina 344). Las uniones proporcionan un entorno seguro y escalable que permite el equilibrio de carga, una alta disponibilidad y funciones de gestin del estado todo ello realizado de forma transparente para los clientes. Como administrador, puede beneficiarse de esta gestin centralizada del espacio web. Las uniones WebSEAL proporcionan el valor aadido de combinar de una forma lgica el espacio web de un servidor de fondo con el espacio web del servidor WebSEAL. Las uniones entre servidores que cooperan dan como resultado un solo espacio web distribuido y unificado que es transparente y directo para los usuarios. El cliente no necesita conocer la ubicacin fsica de un recurso web. WebSEAL convierte las direcciones URL lgicas en las direcciones fsicas que espera un servidor de fondo. Los objetos web se pueden mover de servidor a servidor sin que afecte a la forma en que el cliente accede a esos objetos. Un espacio web simplifica la gestin de todos los recursos para el administrador del sistema. Las ventajas administrativas adicionales incluyen la escalabilidad, el equilibrio de la carga y una alta disponibilidad.
12
La mayora de los servidores web comerciales no disponen de la posibilidad de definir un espacio de objetos web lgico, sino que el control de accesos se conecta al archivo fsico y la estructura del directorio. Las uniones WebSEAL pueden definir de forma transparente un espacio de objetos que refleje la estructura organizativa en vez de la mquina fsica y la estructura del directorio que se encuentra habitualmente en servidores web estndar. Las uniones WebSEAL tambin permiten crear soluciones de inicio de sesin nico. Una configuracin de inicio de sesin nico permite a un usuario acceder a un recurso, independientemente de la ubicacin del mismo, utilizando slo un inicio de sesin inicial. Cualquier requisito de inicio de sesin adicional de los servidores de fondo se gestiona de forma transparente para el usuario. Las uniones WebSEAL son una herramienta importante para que el sitio web sea escalable. Las uniones le permiten responder a las crecientes demandas de un sitio web al conectar servidores adicionales.
13
v Para duplicar el contenido existente para el equilibrio de carga, la capacidad de migracin tras error y aumentar la disponibilidad
14
15
v Nombre de instancia Nombre exclusivo que identifica al servidor WebSEAL. Es posible instalar varios servidores WebSEAL en un mismo sistema. Cada servidor debe tener un nombre exclusivo. Los nombres pueden estar formados por caracteres alfanumricos ([A-Z][a-z][09]) seguidos por estos caracteres: subrayado (_), guin (-) y punto (.). No puede utilizarse ningn otro carcter. Los nombres no pueden tener una longitud superior a los 20 caracteres. Nombres de ejemplo: web1, web2, web_3, web-4, web.5 De forma predeterminada, se asigna el nombre de instancia default al servidor WebSEAL inicial, que se configura durante la instalacin y la configuracin de WebSEAL. No obstante, el administrador puede haber modificado este nombre durante la instalacin y la configuracin iniciales. La seleccin del nombre de instancia podr visualizarse tras la configuracin. Por ejemplo, el nombre del archivo de configuracin para la instancia de servidor WebSEAL se crea de este modo:
16
webseald-nombre_instancia.conf
El nombre de instancia tambin afecta al modo en el que aparece el servidor con el comando pdadmin server list. Para este comando, el nombre de servidor se construye de este modo:
nombre_instancia-webseald-nombre_host
Por ejemplo, el nombre_instancia web1 instalado en un host denominado diamond tendra este nombre de servidor:
web1-webseald-diamond
v Puerto de escucha Es el puerto que utiliza el servidor WebSEAL para comunicarse con Tivoli Access Manager Policy Server. El nmero de puerto predeterminado es 7234. Este nmero de puerto debe ser exclusivo para cada instancia de servidor WebSEAL. El puerto predeterminado generalmente lo utiliza la instancia de servidor WebSEAL default (primera instancia). La instalacin interactiva incrementa automticamente al siguiente puerto disponible. Si es necesario, el nmero de puerto puede cambiarse. Si realiza la instalacin utilizando la lnea de comandos o un archivo de respuestas, especifique otro puerto. Todos los puertos por encima del 1024 son vlidos. Seleccione un puerto que no se utilice para ningn otro fin. Una seleccin de configuracin comn consiste en incrementar el nmero de puerto en una unidad. v Protocolo HTTP y puerto HTTP Especifica si deben aceptarse solicitudes a travs del protocolo HTTP. Si se aceptan solicitudes HTTP, el administrador debe asignar un nmero de puerto. El nmero de puerto predeterminado es 80. Este puerto lo utiliza la instancia default (primera instancia). Si no utiliza una interfaz de red lgica, especifique otro nmero de puerto. Seleccione un puerto que no se utilice para ningn otro fin. Una seleccin de configuracin comn consiste en incrementar el nmero de puerto en una unidad. Por ejemplo, 81. Si utiliza una interfaz de red lgica, puede utilizar el mismo nmero de puerto (por ejemplo, 80). v Protocolo HTTPS y puerto HTTPS Especifica si deben aceptarse solicitudes a travs del protocolo HTTPS. Si se aceptan solicitudes HTTPS, el administrador debe asignar un nmero de puerto. El nmero de puerto predeterminado es 443. Este puerto lo utiliza la instancia default (primera instancia). Si no utiliza una interfaz de red lgica, especifique otro nmero de puerto. Seleccione un puerto que no se utilice para ningn otro fin. Una seleccin de configuracin comn consiste en incrementar el nmero de puerto en una unidad. Por ejemplo, 444. Si utiliza una interfaz de red lgica, puede utilizar el mismo nmero de puerto (por ejemplo, 443). v Interfaz de red lgica y direccin IP Este valor es opcional. Puede optar por utilizar una interfaz de red lgica para la instancia de servidor WebSEAL. Esto significa que el servidor WebSEAL recibe una direccin IP exclusiva. Para utilizar esta funcin, se necesita soporte de hardware de red para ms de una direccin IP. Si el hardware de red soporta ms de una direccin IP, puede especificarse una direccin IP distinta para cada instancia de servidor WebSEAL.
Captulo 2. Configuracin del servidor WebSEAL
17
No es necesario especificar una direccin IP distinta. Todas las instancias de servidor WebSEAL pueden compartir una direccin IP. No obstante, con esta configuracin, cada servidor WebSEAL debe escuchar en puertos exclusivos para el acceso HTTP y HTTPS. Por ejemplo, los valores de configuracin para dos instancias de WebSEAL que compartan una direccin IP pueden ser los siguientes:
Tabla 1. Instancias de WebSEAL que comparten una direccin IP Instancia default web1 Direccin IP 1.2.3.4 1.2.3.4 Puerto HTTP 80 81 Puerto HTTPS 443 444
Por ejemplo, los valores de configuracin para dos instancias de WebSEAL con direcciones IP exclusivas pueden ser los siguientes:
Tabla 2. Instancias de WebSEAL con direcciones IP exclusivas Instancia default web1 Direccin IP 1.2.3.4 1.2.3.5 Puerto HTTP 80 80 Puerto HTTPS 443 443
Asignacin de una direccin IP a la instancia de servidor WebSEAL default En un escenario, el administrador debe asignar manualmente una direccin IP a la instancia de servidor WebSEAL default antes de utilizar amwebcfg para asignar una direccin IP a una nueva instancia de servidor WebSEAL. Este escenario se produce cuando se cumplen las condiciones siguientes: Al configurar la primera instancia de WebSEAL (default), el administrador opt por no utilizar una interfaz de red lgica. Al configurar una nueva instancia de WebSEAL, el administrador desea utilizar una interfaz de red lgica. Al configurar una nueva instancia de WebSEAL, el administrador desea utilizar el mismo puerto para HTTP, o el mismo puerto para HTTPS, con cada interfaz de red lgica. Observe que este escenario se produce porque cuando la primera instancia de WebSEAL (default) est configurada para no utilizar una interfaz de red lgica, WebSEAL est configurado para escuchar en todas las direcciones IP de los puertos especificados (HTTP, HTTPS). Por consiguiente, para poder agregar instancias de servidor WebSEAL que escuchen en los mismos puertos (por ejemplo, 80 para HTTP y 443 para HTTPS), la primera instancia de WebSEAL (default) debe volver a configurarse para recibir una direccin IP exclusiva. Modificar esta configuracin es muy sencillo. El administrador debe editar el archivo de configuracin de WebSEAL para la instancia default y especificar una direccin IP para la instancia default. El archivo de configuracin de WebSEAL para la instancia default es webseald-default.conf. Por ejemplo, si utiliza la instancia de servidor default mostrada en la tabla anterior, deber agregar la entrada siguiente al archivo de configuracin:
[server] network-interface = 1.2.3.4
A continuacin, deber detener el servidor WebSEAL e iniciarlo de nuevo. Observe que el cambio en el archivo de configuracin slo debe realizarse una vez. Este cambio no es necesario cuando se configura cada una de las instancias adicionales de servidor. v Comunicacin SSL con el servidor LDAP
18
WebSEAL se comunica con el servidor LDAP durante el proceso de autenticacin. El uso de SSL durante la comunicacin con el servidor LDAP es opcional. No obstante, por motivos de seguridad, es muy aconsejable utilizar SSL en todos los despliegues de produccin. Puede considerarse la posibilidad de inhabilitar el uso de SSL para entornos de prueba o de prototipo temporales. Nota: Este paso es especfico para el uso de un registro de usuarios LDAP. Este paso no es necesario si se utilizan otros tipos de registro. Si desea utilizar la comunicacin SSL segura entre una instancia de WebSEAL y el servidor de registros LDAP, debe utilizar el archivo de claves SSL de LDAP para este fin. Es el archivo de claves que se ha creado y distribuido durante la instalacin del cliente LDAP. Si el servidor WebSEAL inicial est configurado para utilizar comunicacin SSL segura con LDAP, mltiples instancias pueden utilizar el mismo archivo de claves. Al habilitar la comunicacin SSL entre WebSEAL y el servidor LDAP, debe proporcionar la informacin siguiente: Nombre del archivo de claves SSL Archivo que contiene el certificado SSL de LDAP. Contrasea del archivo de claves SSL Contrasea necesaria para acceder al archivo de claves SSL de LDAP Etiqueta del certificado SSL Etiqueta del certificado de cliente LDAP. Es opcional. Si no se especifica la etiqueta de cliente, se utiliza el certificado predeterminado incluido en el archivo de claves. Especifique la etiqueta de cliente si el archivo de claves contiene ms de un certificado y el certificado que debe utilizarse no es el certificado predeterminado. Nmero de puerto del servidor LDAP SSL Nmero de puerto a travs del que se establece comunicacin con el servidor LDAP. El nmero de puerto de servidor LDAP predeterminado es 636. v Directorio raz de documentos web Directorio raz de la jerarqua en el que se crearn los recursos (objetos protegidos) que debe proteger WebSEAL. El nombre del directorio puede ser cualquier nombre de directorio vlido. El directorio que utiliza la instancia de WebSEAL default (primera instancia) es el siguiente:
UNIX: directorio_instalacin/pdweb/www-default/docs Windows: directorio_instalacin\pdweb\www-default\docs
Tenga en cuenta que el administrador puede haber modificado este directorio durante la configuracin de la instancia de servidor WebSEAL inicial. Cuando se agrega una nueva instancia de servidor WebSEAL, generalmente se crea un nuevo directorio raz de documentos web para la instancia. Durante una instalacin interactiva, se sugiere un directorio nuevo, basado en esta sintaxis:
UNIX: directorio_instalacin/pdweb/www-nombre_instancia/docs Windows: directorio_instalacin\pdweb\www-nombre_instancia\docs
19
Cuando se agrega una instancia de servidor utilizando la lnea de comandos amwebcfg, o utilizando amwebcfg con un archivo de respuestas, se crea el directorio raz de documentos web del modo siguiente: Si el directorio raz de documentos web no se especifica en la lnea de comandos ni en el archivo de respuestas, amwebcfg crea automticamente un directorio nuevo y agrega la entrada al archivo de configuracin de la instancia de WebSEAL. El directorio raz de documentos se crea de conformidad con la sintaxis siguiente:
UNIX: directorio_instalacin/pdweb/www-nombre_instancia/docs Windows: directorio_instalacin\pdweb\www-nombre_instancia\docs
Si se especifica el directorio raz de documentos web en la lnea de comandos o en el archivo de respuestas, amwebcfg agrega la entrada al archivo de configuracin de la instancia de WebSEAL. Nota: El directorio ya debe existir. La utilidad amwebcfg no crear un directorio nuevo. Cmo compartir un directorio raz de documentos web entre varias instancias Varias instancias de servidor WebSEAL pueden compartir el mismo directorio raz de documentos web. Si desea utilizar este escenario, la mejor forma de configurar el directorio raz de documentos para cada instancia nueva de servidor es la siguiente: 1. Permita que amwebcfg cree un nuevo directorio raz de documentos web. 2. Una vez finalizada la configuracin de amwebcfg, edite manualmente el archivo de configuracin de WebSEAL y asigne de nuevo el valor del directorio raz de documentos en el directorio preferido.
[content] doc-root = ruta_acceso_completa_directorio
Este procedimiento es recomendable porque cada vez que se crea una jerarqua de directorios raz de documentos web, amwebcfg copia el contenido de la jerarqua de directorios html.tivoli en el nuevo directorio raz de documentos web. El contenido de html.tivoli incluye un archivo index.html. Esto significa que el archivo (plantilla) predeterminado del directorio html.tivoli podra sobrescribir un archivo index.html existente. Este problema se evita si se edita el archivo de configuracin de WebSEAL manualmente. Una vez finalizada la edicin del archivo de configuracin, puede eliminar el directorio raz de documentos web que ya no necesite (el que amwebcfg ha creado automticamente).
20
Habilitar uso de HTTP Puerto HTTP Habilitar uso de HTTPS Puerto HTTPS Desea utilizar la interfaz de red lgica? Direccin IP Desea utilizar SSL para comunicarse con el servidor LDAP? Archivo de claves SSL Contrasea del archivo de claves SSL Etiqueta del certificado SSL Puerto SSL Directorio raz de documentos web
El nuevo archivo de configuracin especfico de la instancia se configura automticamente para la comunicacin SSL entre la nueva instancia de WebSEAL y los servidores internos de Tivoli Access Manager como Policy Server. El nuevo archivo tambin se configura automticamente para utilizar el certificado de servidor del servidor WebSEAL inicial para autenticar los navegadores del cliente.
21
En sistemas Windows, tambin puede acceder a la utilidad de configuracin a travs de los mens del escritorio Windows:
Inicio -> Programas -> IBM Tivoli Access Manager -> Configuracin
La lnea de comandos anterior debe especificarse en una sola lnea. En la tabla siguiente se muestran las opciones para amwebcfg:
Opcin -admin_id -admin_pwd -host -inst_name -listening_port -http_yn -http_port -https_yn -https_port nw_interface_yn -ip_address -ssl_yn -key_file -key_file_pwd -cert_label -ssl_port -doc_root Descripcin ID del usuario administrador Contrasea del usuario administrador Nombre de host Nombre de instancia Puerto de escucha Habilitar uso de HTTP Puerto HTTP Habilitar uso de HTTPS Puerto HTTPS Utilizar interfaz de red lgica Direccin IP Utilizar SSL para comunicarse con el servidor LDAP Archivo de claves SSL Contrasea del archivo de claves SSL Etiqueta del certificado SSL Puerto SSL Directorio raz de documentos web
Utilizando, por ejemplo, los valores de ejemplo indicados en el apartado Valores de configuracin de la instancia de servidor de ejemplo en la pgina 20, la lnea de comandos sera la siguiente:
amwebcfg action config inst_name default host diamond.subnet2.ibm.com listening_port 7234 admin_id sec_master admin_pwd mypassw0rd -inst_name web1 -nw_interface_yn yes -ip_address 1.2.3.5 ssl_yn yes key_file /tmp/client.kdb keyfile_pwd mypassw0rd cert_label ibm_cert ssl_port 636 http_yn yes http_port 81 https_yn yes https_port 444 doc_root /usr/docs
22
La lnea de comandos anterior debe especificarse en una sola lnea. La utilidad amwebcfg solicita al usuario que especifique los valores que no se especifican a travs de las opciones de la lnea de comandos. A continuacin se indican las excepciones a esta regla: v Etiqueta del certificado SSL Si no se especifica este valor, no se establece ningn valor. Esto significa que se utiliza el certificado predeterminado. v Directorio raz de documentos web Se crea un directorio exclusivo para la instancia. El algoritmo para crear el directorio se describe en el apartado Planificacin de una configuracin de instancia de servidor en la pgina 16. Para obtener ms informacin, consulte la pgina de referencia amwebcfg de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
En la tabla siguiente se muestra un archivo de respuestas de ejemplo para los valores de la instancia de servidor mostrados en el apartado Valores de configuracin de la instancia de servidor de ejemplo en la pgina 20.
23
24
2. Asegrese de que todas las instancias de servidor WebSEAL configuradas estn ejecutndose. De este modo evitar posibles conflictos entre los servidores a travs del uso de puertos. En UNIX, use la utilidad pdconfig para ver el estado del servidor. En Windows, utilice el panel de control Servicios. 3. Determine si es necesario editar manualmente el archivo de configuracin para la primera instancia de servidor WebSEAL (default). Este paso slo es necesario cuando se cumplen las condiciones siguientes: v Debe instalar una interfaz de red lgica. v Desea utilizar los mismos puertos HTTP o HTTPS que los utilizados por la primera instancia de servidor. v La primera instancia de servidor se ha instalado sin utilizar una interfaz de red lgica. Si se cumplen estas condiciones, deber editar manualmente el archivo de configuracin WebSEAL para asignar una direccin IP a la primera instancia. Agregue una entrada de interfaz de red en la stanza [server]. Por ejemplo:
Captulo 2. Configuracin del servidor WebSEAL
25
Para obtener ms informacin, consulte el apartado Planificacin de una configuracin de instancia de servidor en la pgina 16. 4. Configure la instancia de servidor. Utilice uno de los mtodos de configuracin siguientes: v Configuracin interactiva a. Inicie la utilidad pdconfig desde la lnea de comandos. En Windows, si lo desea, puede utilizar el men de Windows:
Inicio -> Programas -> IBM Tivoli Access Manager -> Configuracin
b. Siga las indicaciones de la pantalla. Cuando se le solicite, especifique cada valor de la hoja de trabajo. Una vez finalizada la configuracin, la instancia de servidor WebSEAL se inicia automticamente. v Configuracin desde la lnea de comandos Inicie amwebcfg con las opciones de la lnea de comandos necesarias. Para construir las opciones de la lnea de comandos, especifique los valores de la hoja de trabajo como argumentos para la opcin apropiada. La sintaxis de amwebcfg es la siguiente:
amwebcfg -action config host nombre_host -listening_port puerto_escucha_am -admin_id id_admin -admin_pwd contrasea_admin -inst_name nombre_instancia -nw_interface_yn interfaz_red -ip_address direccin_ip -ssl_yn habilitar_ssl_s_no -key_file archivo_claves -key_file_pwd contrasea_archivo_claves -cert_label etiqueta_certificado -ssl_port puerto_ssl -http_yn permitir_http_s_no -http_port puerto_http -https_yn permitir_https_s_no -https_port puerto_https -doc_root raz_doc
Este comando se especifica en una sola lnea. Para obtener ms informacin, consulte el apartado Visin general de la configuracin de la lnea de comandos en la pgina 22. v Configuracin silenciosa desde un archivo de respuestas a. Cree un archivo de respuestas que contenga los valores de la hoja de trabajo. Para obtener instrucciones sobre cmo crear un archivo de respuestas, consulte el apartado Visin general de la configuracin silenciosa en la pgina 23. b. Inicie amwebcfg:
amwebcfg -rspfile /tmp/nombre_archivo_respuestas
5. Verifique que la nueva instancia est ejecutndose. Para una instalacin interactiva, revise la entrada del servidor WebSEAL en la ventana de estado de pdconfig. Para la configuracin desde la lnea de comandos y la configuracin silenciosa, amwebcfg enva un mensaje de estado que indica que la configuracin se ha realizado correctamente. Cuando aparece este mensaje, el servidor WebSEAL est en ejecucin.
26
b. Seleccione la instancia de servidor y, a continuacin, seleccione que desea anular la configuracin. c. Cuando se le solicite, especifique el ID del administrador y la contrasea. La eliminacin finaliza sin que el usuario deba especificar ms datos. d. Utilice la ventana de estado de pdconfig para verificar que la instancia de servidor WebSEAL ya no est configurada. v Configuracin desde la lnea de comandos a. Inicie la utilidad configuration, especificando las opciones de lnea de comando necesarias. La sintaxis es la siguiente:
amwebcfg action unconfig inst_name nombre_instancia -admin_id id_admin -admin_pwd contrasea_admin
La utilidad configuration muestra un mensaje de estado cuando la eliminacin ha finalizado. v Configuracin silenciosa utilizando un archivo de respuestas Efecte los pasos siguientes: a. Cree un archivo de respuestas que contenga la siguiente informacin: Accin que debe llevarse a cabo (anular la configuracin) Nombre de la instancia ID del administrador Contrasea del ID de administrador Por ejemplo, si elimina una instancia de servidor WebSEAL denominada web1, las entradas seran:
Archivo de respuestas
[webseal-config] action = unconfig inst_name = web1 admin_id = sec_master admin_pwd = mypassw0rd
Sustituya su contrasea de administrador en el parmetro admin_pwd del ejemplo anterior. Guarde el archivo. Por ejemplo:
/tmp/response_web1
27
28
IBM HTTP Server, WebSphere Application Server (que instala IBM HTTP Server) y WebSEAL utilizan el puerto 80 como puerto predeterminado. Si instala WebSEAL en el mismo sistema que IBM HTTP Server, asegrese de que cambia el puerto predeterminado en uno de estos servidores. Edite el archivo de configuracin httpd.conf o el archivo de configuracin de WebSEAL.
Conexiones SSL que utilizan el certificado de prueba de WebSEAL (este tema pertenece a SSL)
La autenticacin del certificado del cliente debe realizarse a travs de una conexin SSL (Secure Socket Layer). La conexin SSL se establece antes del proceso de autenticacin del certificado. La conexin SSL puede establecerse cuando un cliente intenta acceder a un recurso a travs de HTTPS. Cuando el recurso no requiere acceso autenticado, el cliente negocia una sesin SSL con el servidor WebSEAL. La sesin SSL se establece cuando el cliente y el servidor (WebSEAL) examinan los certificados respectivos y aceptan la validez de la autoridad firmante. A fin de poder habilitar el establecimiento de sesiones SSL en un servidor WebSEAL nuevo, WebSEAL contiene un certificado de servidor de prueba
Captulo 2. Configuracin del servidor WebSEAL
29
autofirmado. WebSEAL puede presentar el certificado autofirmado al cliente. Si el cliente lo acepta, se establece la sesin SSL. Este certificado de prueba no es adecuado para que el servidor WebSEAL lo utilice de forma permanente. Aunque este certificado de prueba permite a WebSEAL responder a una solicitud de navegador habilitado para SSL, el navegador no lo puede verificar. Esto es as porque el servidor no contiene un certificado de CA raz apropiado, como ocurre en el caso en que el navegador recibe un certificado autofirmado para el que no existe un certificado de CA raz. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Para garantizar una comunicacin segura a travs de SSL, los administradores de WebSEAL deben obtener un certificado de servidor del sitio exclusivo de una entidad emisora de certificados (CA). Puede usar la utilidad iKeyman de GSKit para generar una solicitud de certificado que se enviar a la CA. Tambin puede utilizar iKeyman para instalar y etiquetar el certificado de sitio nuevo. Utilice el parmetro webseal-cert-keyfile-label en la stanza [ssl] de un archivo de configuracin de WebSEAL para designar el certificado como el certificado del servidor WebSEAL activo (este valor prevalece sobre cualquier certificado designado como predeterminado en la base de datos del archivo de claves). Si necesita certificados diferentes para otras situaciones (por ejemplo, para uniones autenticadas mutuamente), puede usar la utilidad iKeyman para crear, instalar y etiquetar estos certificados adicionales. Consulte el apartado Configuracin de los parmetros de la base de datos de claves de WebSEAL en la pgina 255. Tambin es importante asegurarse de que la validacin de los certificados incluya la comprobacin de las Listas de revocacin de certificados (CRL). Configure WebSEAL para que acceda al servidor LDAP adecuado como un usuario de LDAP con los permisos suficientes para acceder a las CRL adecuadas. Proporcione valores para las siguientes entradas del archivo de configuracin:
[ssl] crl-ldap-server crl-ldap-server-port crl-ldap-user crl-ldap-user-password
WebSEAL puede configurarse para almacenar en cach las CRL. Para configurar la cach, proporcione valores para las siguientes entradas del archivo de configuracin:
[ssl] gsk-crl-cache-size gsk-crl-cache-entry-lifetime
Las instrucciones para establecer los valores que afectan al acceso y al manejo de CRL, incluidos los rangos vlidos de los valores de la cach, se especifican en el apartado Secure Socket Layer en la pgina 445. Consulte tambin el apartado Configuracin de la cach de CRL en la pgina 258.
30
v persistent-con-timeout Despus de la primera solicitud HTTP y la respuesta del servidor, este parmetro controla el nmero mximo de segundos durante los que el servidor mantendr abierta una conexin persistente HTTP antes de cerrarla. El valor predeterminado es 5 segundos.
[server] persistent-con-timeout = 5
31
[junction] https-timeout
120
[cgi] cgi-timeout
120
32
Rainbow CryptoSwift y nCipher nForce 300 (con BHAPI) se utilizan para operaciones de claves pblicas (descifrado de claves RSA). Las claves no se almacenan en el dispositivo de aceleracin, sino en el archivo pdsrv.kdb. Los dispositivos de aceleracin se utilizan para acelerar las funciones criptogrficas de
Captulo 2. Configuracin del servidor WebSEAL
33
claves pblicas de SSL. La aceleracin de hardware libera el procesador del servidor, aumenta el rendimiento del servidor y reduce el tiempo de espera. Los aceleradores Rainbow CryptoSwift y nCipher nForce incorporan un mayor rendimiento al proporcionar ms transacciones seguras concurrentes. Con la interfaz PKCS#11, las claves RSA se almacenan en una tarjeta criptogrfica para garantizar la autenticacin. IBM 4758 y Eracom Orange actan slo como dispositivos para el almacenamiento de claves. El dispositivo nCipher nForce puede llevar a cabo una aceleracin justa o tanto la aceleracin como el almacenamiento de claves con soporte PKCS#11. Los dispositivos IBM 4758, Eracom Orange y nCipher nForce (con soporte para PKCS#11) garantizan que no se pueda acceder en absoluto a las claves desde fuera. Las claves nunca se revelan de forma descifrada, dado que se almacenan en el hardware, lo cual proporciona una autenticacin y una proteccin de claves mejoradas. La aceleracin criptogrfica de hardware y el almacenamiento de claves son aplicables para las siguientes conexiones de WebSEAL: v De navegador a WebSEAL v De WebSEAL a servidor de fondo a travs de unin
Los valores vlidos para esta entrada son: v Default Este valor indica a GSKit que seleccione la base criptogrfica ptima que debe utilizarse. Para WebSEAL versin 5.1, es ICC. v ICC v RSA Especifique RSA si utiliza una tarjeta BHAPI (Bsafe Hardware API) CryptoCard como Rainbow CryptoSwift. ICC no soporta la interfaz BHAPI. Cuando el entorno de despliegue de WebSEAL incluye servidores WebSEAL de versiones
34
anteriores (anteriores a la versin 5.1), debe considerar la posibilidad de utilizar este valor ya que versiones anteriores de GSKit utilizaban RSA para operaciones criptogrficas. Nota: PKCS#11 est disponible en todas las modalidades, excepto en el caso en que FIPS est habilitado. Puede especificar si debe habilitarse el proceso de la modalidad FIPS. Este proceso est inhabilitado de forma predeterminada. Para habilitarlo, establezca la entrada siguiente:
[ssl] fips-mode-processing = yes
Establezca este valor en yes si utiliza ICC y desea utilizar los protocolos y los datos cifrados con aprobacin FIPS 140-1.
Creacin de una contrasea y una etiqueta de dispositivo de seal para almacenar claves de WebSEAL
En el contexto del hardware criptogrfico y los controladores de dispositivo asociados, una seal es un dispositivo lgico que acta como contenedor para almacenar claves, datos y objetos de certificados. Los objetos de claves pueden incluir claves pblicas y privadas. Cuando configura una tarjeta criptogrfica para almacenar claves (utilizando la interfaz PKCS#11), debe definir una o ms seales (o contenedores) para que almacenen claves para diferentes situaciones. Cuando configura una tarjeta criptogrfica para realizar tareas de almacenamiento de claves para WebSEAL (GSKit), debe especificar una etiqueta de la seal (y una
Captulo 2. Configuracin del servidor WebSEAL
35
contrasea) que represente el dispositivo de seal que almacene la pareja de clave pblica/privada de WebSEAL. WebSEAL enva la clave pblica en el certificado del servidor que utiliza para autenticarse para cualquier cliente. Utilice las instrucciones que se proporcionan con el hardware criptogrfico instalado para crear una etiqueta para el dispositivo de seal que almacena la clave de WebSEAL. Por ejemplo:
token = websealtoken password = secret
Eracom Orange:
DEFAULT_CRYPTOGRAPHIC_MODULE=/opt/Eracom/lib/libcryptoki.so
36
IBM 4758-023:
DEFAULT_CRYPTOGRAPHIC_MODULE=C:\\Archivos de programa\\ibm\\PKCS11\\bin\\nt \\cryptoki.dll
Eracom Orange
DEFAULT_CRYPTOGRAPHIC_MODULE= C:\\Archivos de programa\\Eracom\\ProtectToolKit C Runtime\\cryptoki.dll
Cuando se configura la biblioteca compartida adecuada, la utilidad iKeyman de GSKit incluye una nueva opcin de men: Seal criptogrfica. Ahora ya puede utilizar iKeyman para crear, almacenar y manipular claves para WebSEAL en el hardware criptogrfico.
Windows:
C:\Archivos de programa\Tivoli\pdweb\www\certs\pdsrv.kdb
7. Haga clic en Aceptar. Aparece el cuadro de dilogo Contrasea de seal. 8. Escriba la contrasea predeterminada pdsrv. Haga clic en Aceptar. 9. Volver a la ventana principal de iKeyman.
37
La clave WebSEAL se almacena en el hardware criptogrfico y se asigna al dispositivo de seal etiquetado con websealtoken.
Eracom Orange
[ssl] pkcs11-driver-path = /opt/Eracom/lib/libcryptoki.so
IBM 4758-023:
[ssl] pkcs11-driver-path = C:\Archivos de programa\ibm\PKCS11\bin\nt\cryptoki.dll
Eracom Orange
[ssl] pkcs11-driver-path = C:\Archivos de programa\Eracom\ProtectedToolKit C Runtime\cryptoki.dll
Adems, especifique los nombres de la contrasea y la etiqueta de la seal bajo la misma stanza [ssl]: Para este ejemplo:
[ssl] pkcs11-token-label = websealtoken pkcs11-token-pwd = secret
38
De forma predeterminada, este parmetro est establecido en no (es decir, WebSEAL utiliza automticamente el hardware para la aceleracin SSL a travs de BHAPI).
Reinicio de WebSEAL
Debe reiniciar WebSEAL para que toda la configuracin del hardware criptogrfico surta efecto. Puede verificar que WebSEAL est utilizando el hardware criptogrfico examinando las entradas que contiene el archivo msg_webseald.log.
39
Notas: v NONE indica que no se permite ninguna conexin SSL. v NULL indica que se permite la conexin SSL sin cifrar. v ALL significa que se permiten todos los tipos de conexiones SSL. v Puede hacerse que varios cifrados/MAC estn disponibles para la conexin para una seleccin de cifrado qop determinada. Seguirn teniendo la misma intensidad de bits de cifrado, simplemente tendrn mtodos MAC distintos (SHA1 o MD5). v RC2-128 slo est disponible con SSLv2. Si es la nica seleccin de cifrado, WebSEAL inhabilitar SSLv3 y TLSv1 para la conexin afectada. v NULL, FIPS-DES-56, FIPS-DES-168, RC4-56, AES-128 y AES-256 slo estn disponibles con SSLv3 y TLSv1. Si son los nicos datos cifrados disponibles para una conexin determinada, SSLv2 se inhabilitar para la conexin afectada. v GSKit determina automticamente el soporte AES en funcin del valor base-crypto-library. AES-128 y AES-256 slo estn disponibles si GSKit ha habilitado el soporte AES; en cualquier otro caso, se omitirn. v FIPS-DES-56 y FIPS-DES-168 slo estn disponibles cuando fips-mode-processing est habilitado (establecido en yes). De lo contrario, se omiten.
40
Tivoli Access Manager utiliza GSKit 7. Las especificaciones de cifrado a las que da soporte GSKIT7 cuando se utilizan en SSLv2/TLS en seguridad de Internet son las siguientes:
SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_SHA SSL_RSA_EXPORT_WITH_RC4_40_MD5 SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_SHA SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 SSL_RSA_EXPORT_WITH_DES40_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA TLS_RSA_EXPORT1024_WITH_RC4_56_SHA SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
Las stanzas [ssl-qop-mgmt-hosts] y [ssl-qop-mgmt-networks] se proporcionan slo a efectos de compatibilidad con versiones anteriores. Es recomendable que no las utilice para llevar a cabo la configuracin de Tivoli Access Manager. Debe tener en cuenta que la entrada para una direccin IP especificada en [ssl-qop-mgmt-hosts] tiene prioridad sobre una entrada para la misma direccin especificada en [ssl-qop-mgmt-networks]. Del mismo modo, una entrada en [ssl-qop-mgmt-networks] tiene prioridad sobre una entrada para la misma direccin en [ssl-qop-mgmt-default]. Si debe utilizar [ssl-qop-mgmt-hosts] o [ssl-qop-mgmt-networks] para compatibilidad con versiones anteriores, revise los valores de la direccin IP en todas las stanzas para garantizar que una direccin IP determinada no aparezca en ms de una stanza. Si una direccin IP aparece listada en ms de una stanza, asegrese de que el orden de evaluacin da lugar a la configuracin que desea.
41
El parmetro ssl-listening-port, que se encuentra en la stanza [ssl], configura el puerto SSL para la escucha:
[ssl] ssl-listening-port = 7234
42
43
Nota: El valor de este parmetro debe permanecer dentro de los lmites de los threads de trabajo establecidos por el sistema operativo.
Configuracin en AIX
En sistemas AIX nicamente, cuando el lmite de los threads de trabajo de WebSEAL de la stanza [server] del archivo de configuracin de WebSEAL se aumenta ms all del valor predeterminado 50 a un valor superior a 800, WebSEAL puede fallar y producir un vuelco de ncleo. Solucin temporal: aumente los lmites del tamao del proceso AIX a un valor sin lmite como se indica a continuacin:
44
1. Localice el archivo de lmites en el directorio /etc/security. 2. Localice la palabra default y busque los parmetros cpu, rss y data. Los valores predeterminados son los siguientes:
data = 262144 rss = 65536
3. Cambie los valores para los parmetros data y rss a un valor sin lmite utilizando el valor 1. El valor 1 especifica sin lmite o queda enlazado a las posibilidades del sistema operativo y la CPU.
data = -1 rss = -1
Contexto
WebSEAL extrae de su agrupacin de threads de trabajo para procesar mltiples solicitudes. El nmero de threads de trabajo disponibles en WebSEAL se especifica con el parmetro worker-threads en el archivo de configuracin de WebSEAL. Puede ajustar el valor de worker-threads para servir mejor a su implementacin especfica de WebSEAL. Cuando no hay threads de trabajo disponibles para manejar las solicitudes entrantes, los usuarios experimentan que un servidor WebSEAL no responde. Los threads de trabajo se utilizan para manejar las solicitudes entrantes en las aplicaciones que residen en mltiples servidores de programas de fondo con unin. Sin embargo, la agrupacin de threads de trabajo se puede vaciar rpidamente si una aplicacin de programa de fondo determinada es especialmente lenta al responder a un alto volumen de solicitudes y procesarlas. El vaciado de la agrupacin de threads de trabajo por esta aplicacin hace que WebSEAL no pueda responder a solicitudes de servicios en los servidores de aplicaciones con unin restantes. Puede configurar lmites globales o por unin basados en el nmero de los threads de trabajo utilizadas para las aplicaciones de servicio en mltiples conexiones. Estos lmites permiten que prevalezca la imparcialidad para todas las uniones e impiden que una aplicacin cualquiera pueda reclamar ms threads de trabajo de los que le corresponden. Nota: Para obtener informacin sobre los lmites de uso de recursos de threads de trabajo y para obtener instrucciones sobre cmo detectar la escasez de threads de trabajo, consulte la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
45
uniones correspondientes a un servidor WebSEAL determinado. Los valores utilizados para estos parmetros se expresan como porcentajes dentro del rango de 0 a 100. v worker-thread-soft-limit Este parmetro est configurado para enviar un aviso antes de que se alcance el lmite fijo. Cuando se sobrepasa el valor de worker-thread-soft-limit, se envan mensajes de aviso (cada 30 segundos) al archivo de registro de errores de WebSEAL. Por ejemplo, cuando worker-threads=50, el valor 60 (%) hace que se emitan mensajes de aviso si la unin consume ms de 30 threads de trabajo. Todas las solicitudes que sobrepasen los 30 threads de trabajo se siguen procesando hasta que se alcanza el lmite fijo. El valor predeterminado es 90 por ciento. v worker-thread-hard-limit Este parmetro determina el punto de interrupcin para dar servicio a solicitudes en una unin. Cuando se sobrepasa el valor de worker-thread-hardlimit, se envan mensajes de error (cada 30 segundos) al archivo de registro de errores de WebSEAL. Adems, se enva al usuario un mensaje 503 Servicio no disponible. Por ejemplo, cuando worker-threads=50, el valor 80 (%) hace que se emitan mensajes de error si la unin consume ms de 40 threads de trabajo. Todas las solicitudes que representan ms de 40 threads de trabajo en la unin se devuelven con un mensaje 503 Servicio no disponible. El valor predeterminado 100 (%) indica que no hay lmite. Estos valores globales se aplican por igual a todas las uniones configuradas. Cuando se configuran estos dos parmetros, es lgico que se establezca el lmite dinmico en un valor inferior al lmite fijo.
46
Los valores por unin siempre prevalecen sobre los valores globales del archivo de configuracin de WebSEAL. Asegrese de que los valores de una unin especfica no afectan negativamente a la poltica establecida por los valores globales.
Esta informacin podra ser til cuando se desea determinar la ubicacin de una unin que absorbe ms recursos de thread de trabajo de los que le corresponden. v Si especifica un valor de lmite dinmico que sea mayor que el valor de lmite fijo en una unin especfica, esta unin no se crear. v Debe especificar los valores del lmite tanto fijo como dinmico (las opciones l y L) en una unin especfica.
47
48
Histricamente, la mayor parte de los sistemas operativos utilizan una pgina de cdigos local que no es UTF-8. Por ejemplo, una pgina de cdigos local comn para representar el juego de caracteres ASCII de 8 bits para ingls de los Estados Unidos es en_US.ISO88591, que utiliza el juego de caracteres ISO-8859-1. Los administradores que ejecuten sistemas que necesiten procesar solicitudes de cliente y datos de formularios en la pgina de cdigos local debern modificar los valores predeterminados para el soporte para URL (utf8-url-support-enabled) y el soporte para formularios (utf8-forms-support-enabled). De forma predeterminada, WebSEAL utiliza datos nicamente en formato UTF-8. Por ejemplo, la necesidad de cambiar los valores predeterminados concierne a los administradores que ejecutan sistemas que deben procesar solicitudes de cliente y datos de formularios que utilizan pginas de cdigos locales que no son UTF-8, como las que se utilizan para: v Un juego de caracteres Latin de un solo byte, como espaol, francs o alemn. v Un juego de caracteres de mltiples bytes, como japons o chino. Si ejecuta sistemas que deben proporcionar soporte real para varios entornos locales para manejar usuarios y datos en varios idiomas, deber revisar el valor de la pgina de cdigos local y considerar la posibilidad de convertirla a una pgina de cdigos UTF-8. Asimismo, deber revisar los valores UTF-8 de varios entornos locales de WebSEAL predeterminados. Es aconsejable que personalice los valores de configuracin para adaptarlos a su despliegue.
49
en_US.ISO8859, y es necesario convertir el nombre de un usuario japons a la pgina de cdigos local, el resultado es una cadena formada por signos de interrogacin (????). Esto es as porque no hay ninguna forma de representar caracteres del alfabeto japons en ISO-8859-1. Por este motivo, es recomendable que WebSEAL se ejecute utilizando UTF-8. Existe un riesgo de prdida de datos cuando se ejecutan comandos administrativos (pdadmin) desde un entorno que no sea UTF-8. Antes de la versin 5.1, WebSEAL siempre se ejecutaba en el mismo entorno local que la utilidad pdadmin. Con el soporte para varios entornos locales, WebSEAL ahora puede ejecutarse en un entorno local distinto. WebSEAL debe devolver mensajes al administrador en el idioma seleccionado por ste. Para hacerlo, WebSEAL obtiene mensajes del paquete de idioma apropiado, segn determina el entorno local presentado por pdadmin. Todos los mensajes se transmiten en UTF-8, pero pdadmin convierte dichos mensajes en una pgina de cdigos local antes de mostrarlos. Cuando la pgina de cdigos local no es UTF-8, es posible que se produzca una prdida de datos. Cuando pdadmin se ejecuta en un entorno UTF-8, no se producir ninguna prdida de datos. WebSEAL genera datos de registro y de auditora utilizando UTF-8. Para evitar una posible prdida de datos, es recomendable utilizar UTF-8 para escribir datos en los archivos de registro y de auditora apropiados. Cuando la pgina de cdigos local no es UTF-8, los datos deben convertirse a un formato que no sea UTF-8 antes de poder escribirlos. En este caso, existe la posibilidad de que se pierdan datos. Todos los archivos de auditora que genera WebSEAL estn escritos en el idioma especificado por el entorno local en el que se ejecuta el servidor. La pgina de cdigos que se utiliza para escribir los mensajes puede configurarse en el archivo de rutas de WebSEAL. En sistemas UNIX, por ejemplo, el archivo es /opt/pdweb/etc/routing.
Los nuevos programas CGI deberan utilizar estas variables porque sus valores contienen datos UTF-8. WebSEAL almacena los datos para estas variables
50
internamente en formato UTF-8. Los datos deben convertirse a la pgina de cdigos local para que los programas CGI puedan utilizarlos. Cuando se utilizan variables CGI antiguas (por ejemplo, REMOTE_USER) y la pgina de cdigos local no est codificada en formato UTF-8, la conversin de los datos UTF-8 en la pgina de cdigos local puede, en algunos casos, dar lugar a que se daen los datos.
51
mismos caracteres en la pgina de cdigos local. Esta posible imprecisin de los datos podra dar lugar a que WebSEAL otorgara errneamente a usuarios no autorizados el acceso a objetos protegidos. Cuando WebSEAL detecta un URL con varios tipos de codificacin de caracteres, el URL se devuelve como solicitud incorrecta.
Utilizar este valor permite que los entornos y las aplicaciones existentes funcionen sin cambios. Tenga en cuenta que ste no es el valor de configuracin predeterminado de la versin 5.1 de WebSEAL.
52
Los tres valores posibles son: v yes En esta modalidad, WebSEAL slo reconoce datos UTF-8 codificados de URI en cadenas de URL y los datos se utilizan sin modificacin. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta a la hora de determinar los derechos de acceso a la direccin URL. WebSEAL soporta, en los URL, tanto cadenas UTF-8 sin formato como cadenas UTF-8 codificadas de URI. En esta modalidad, no se aceptan las otras tcnicas de codificacin. ste es el valor predeterminado y el recomendado. Los servidores que se ejecutan en un entorno local ingls ASCII de 7 bits deberan utilizar este valor. v no En esta modalidad, WebSEAL no reconoce los datos con formato UTF-8 en cadenas de URL. Se utiliza solamente para la pgina de cdigos local. Si la cadena puede validarse, se convierte a UTF-8 para uso interno. Los servidores que no necesitan procesar entrada de datos de mltiples bytes y que se ejecutan en un entorno local Latin de un solo byte, como alemn, espaol o francs, deberan utilizar este valor.
53
Este valor debe utilizarse al dar soporte a las aplicaciones existentes y los servidores web no funcionan correctamente con WebSEAL si el soporte para UTF-8 est habilitado. Es posible que estas aplicaciones utilicen DBCS (como Shift-JIS) u otros mecanismos de codificacin en el URL. Nota: Si establece este valor en no, asegrese de que ninguno de los servidores con unin acepta direcciones URL con formato UTF-8. Desde la perspectiva de la seguridad, es importante que WebSEAL interprete las direcciones URL de la misma manera que los servidores con unin. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres de idioma. WebSEAL procesa correctamente cualquier codificacin UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como DBCS o Unicode. Si un URL presenta Unicode en el formato %uHHHH, WebSEAL lo convierte a UTF-8. El resto de la codificacin procede como si el valor de configuracin fuera yes. Si la opcin double-byte-encoding de la stanza [server] est establecida en yes, WebSEAL convierte %HH%HH en UTF-8. Los servidores que se ejecutan en un entorno local Latin de un solo byte que deban procesar cadenas de mltiples bytes deberan utilizar el valor auto. Los servidores que se ejecutan en un entorno local de mltiples bytes pero que slo necesitan soporte para un idioma (por ejemplo, japons) pueden utilizar el valor auto. Una estrategia de despliegue recomendada puede ser la siguiente: 1. A menos que se necesite con fin al contenido, comprobar y establecer inmediatamente la poltica de ACL default-webseal en los despliegues de produccin existentes NO permite el acceso r no autenticado. Este hecho limita la exposicin de seguridad a los usuarios que tienen una cuenta vlida en el dominio de Tivoli Access Manager. 2. Asegrese de que el parmetro utf8-url-support-enabled est establecido en el valor predeterminado yes. 3. Pruebe las aplicaciones. Si funcionan correctamente, utilice este valor. 4. Si alguna de las aplicaciones falla con errores que indican Solicitud incorrecta, vuelva a intentar la aplicacin con el parmetro utf8-url-support-enabled establecido en no. Si funciona, puede realizar el despliegue con este valor. Asegrese, no obstante, de que no hay ningn servidor web con unin que est configurado para aceptar direcciones URL con codificacin UTF-8. 5. Si la aplicacin sigue presentando problemas, intente establecer el parmetro utf8-url-support-enabled en el valor auto.
Los formularios que proporcionan datos al servidor son formularios que forman parte de WebSEAL, como formularios de inicio de sesin. Estos formularios declaran que el juego de caracteres es UTF-8. Por consiguiente, el valor predeterminado es yes. Si un administrador edita estos formularios y cambia el juego de caracteres por un valor que no sea UTF-8, como una pgina de cdigos local, este valor de configuracin debe cambiarse. Si algunos formularios utilizan
54
UTF-8 y algunos utilizan una pgina de cdigos local, utilice el valor auto. Si se modifican todos los formularios para que utilicen un valor que no sea UTF-8, utilice el valor no. Los tres valores posibles son: v yes WebSEAL slo reconoce la codificacin UTF-8 en formularios y los datos se utilizan sin modificaciones. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta cuando se procesan los datos. No se aceptan otras tcnicas de codificacin. Cuando el parmetro double-byte-encoding est establecido en yes, se da soporte a Unicode con formato %HH%HH. Cuando se detecta un carcter Unicode de doble byte, toda la cadena debe codificarse en doble byte. ste es el valor predeterminado y el recomendado. v no WebSEAL no reconoce la codificacin UTF-8 en los formularios. Se utiliza solamente para la pgina de cdigos local. Si los datos del formulario pueden validarse, se convierten en UTF-8 para uso interno. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres de idioma. WebSEAL procesa correctamente cualquier entrada UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como no UTF-8.
El valor predeterminado es no. Por consiguiente, el comportamiento predeterminado de WebSEAL es asumir que todas las cadenas de consulta presentan la pgina de cdigos local. Los tres valores posibles son: v yes WebSEAL slo reconoce la codificacin UTF-8 en cadenas de consulta y los datos se utilizan sin modificaciones. A continuacin, estos caracteres UTF-8 se validan y se tienen en cuenta cuando se procesan los datos. No se aceptan otras tcnicas de codificacin. Utilice este valor si el servidor WebSEAL debe procesar cadenas de consulta que utilizan UTF-8. Los servidores que operan en un entorno local Latin de un solo byte, como alemn, espaol o francs, y procesan consultas de una aplicacin que utiliza UTF-8, deben utilizar este valor. Los servidores que operan en un entorno local de mltiples bytes y que slo procesan cadenas de consulta UTF-8, pueden utilizar este valor. v no WebSEAL no reconoce la codificacin UTF-8 en la cadena de consulta. Se utiliza solamente para la pgina de cdigos local. Si los datos del formulario pueden validarse, se convierten en UTF-8 para uso interno. ste es el valor predeterminado y el recomendado.
Captulo 2. Configuracin del servidor WebSEAL
55
Los servidores que operan en un entorno local ingls ASCII de 7 bits pueden utilizar este valor. v auto WebSEAL intenta distinguir entre UTF-8 y otros formatos de codificacin de caracteres lingsticos (DBCS y Unicode). WebSEAL procesa correctamente cualquier codificacin UTF-8 construida correctamente. Si no parece tratarse de la codificacin UTF-8, la codificacin se procesa como DBCS o Unicode. Los servidores que operan en un entorno local de mltiples bytes y que procesan una combinacin de cadenas de consulta UTF-8 y no UTF-8 pueden utilizar este valor. Los servidores que operan en un entorno local Latin de un solo byte, como alemn, espaol o francs, y procesan una combinacin de cadenas de consulta UTF-8 y no UTF-8 pueden utilizar este valor.
El valor predeterminado es true. Cuando el parmetro use-utf8 est establecido en false, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico entre dominios con servidores WebSEAL antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Nota: Debe tener en cuenta que, cuando este valor est establecido en false, puede producirse una prdida de datos durante la conversin de UTF-8 a una pgina de cdigos local que no sea UTF-8.
El valor predeterminado es yes. Cuando el parmetro use-utf8 est establecido en no, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico en e-community con servidores WebSEAL ms antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores.
56
Nota: Debe tener en cuenta que, cuando este valor est establecido en no, puede producirse una prdida de datos durante la conversin de UTF-8 a una pgina de cdigos local que no sea UTF-8.
El valor predeterminado es yes. Cuando el parmetro use-utf8 est establecido en no, las cookies de autenticacin de migracin tras error se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa la autenticacin de migracin tras error con servidores WebSEAL de versiones ms antiguas (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para las cookies de autenticacin de migracin tras error. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Nota: Debe tener en cuenta que, cuando este valor est establecido en no, puede producirse una prdida de datos durante la conversin de UTF-8 a una pgina de cdigos local que no sea UTF-8.
57
Argumento utf8_uri
Descripcin Datos UTF-8 con codificacin URI Todos los espacios en blanco y los bytes que no son ASCII se codifican %XY, siendo X e Y valores hexadecimales (0F).
utf8_bin
Datos UTF-8 sin codificar Este valor permite transmitir datos sin que se produzca prdida de datos, y el cliente no debe descodificar los datos URI. Este valor debe utilizarse con precaucin, ya que no forma parte de la especificacin HTTP.
lcp_uri
Datos de pgina local con codificacin URI Todos los caracteres UTF-8 que no puedan convertirse en una pgina de cdigos local se convertirn en signos de interrogacin (?). Esta opcin debe utilizarse con precaucin y slo en entornos en los que la pgina de cdigos local produce las cadenas deseadas.
lcp_bin
Datos de pgina de cdigos local sin codificar Esta modalidad la utilizaban las versiones de WebSEAL anteriores a la 5.1. El uso de esta modalidad permite migrar desde versiones anteriores y se utiliza en entornos de actualizacin. Debe tener en cuenta que con esta modalidad puede producirse una prdida de datos. Por consiguiente, debe utilizarse con precaucin.
58
v Mensajes de servicios Los navegadores adoptan un conjunto estndar de valores de idiomas. Los valores de idiomas bsicos se representan mediante dos caracteres que indican el idioma. Los valores especficos de la ubicacin se expresan en un formato de dos partes, que indica el idioma y el pas en que se utiliza esta versin del idioma. Algunos ejemplos son: v es (Espaol) v de (Alemn) v en (Ingls) v it (Italiano) v v v v v en-US (Ingls/Estados Unidos) en-GR (Ingls/Reino Unido) es-ES (Espaol/Espaa) es-MX (Espaol/Mxico) pt-BR (Portugus/Brasil)
La cabecera accept-language puede incluir ms de un idioma. Cada idioma adicional se separa con una coma. Por ejemplo:
accept-language: es-mx,es,en
El orden en que aparecen los valores en la cabecera determina la jerarqua de importancia. WebSEAL comprueba el primer valor de la lista para un paquete de idioma instalado existente. Si no hay instalado ningn paquete de idioma para este idioma, WebSEAL comprueba si hay un paquete asociado para el siguiente idioma de la lista. Nota: La cabecera accept-language puede utilizar un parmetro q=x.x para expresar un nivel de preferencia para un idioma. Este parmetro no lo reconoce WebSEAL. El orden de la lista de idiomas de la cabecera determina el orden de prioridad de WebSEAL. Hay disponibles varios paquetes de idiomas para los mensajes del servidor WebSEAL para su instalacin. Cada instalacin de paquete de idioma crea un subdirectorio especfico del idioma dentro de la ruta de acceso para cada ubicacin de almacenamiento de mensajes. Por ejemplo, un paquete de idioma espaol crea el siguiente subdirectorio para la ubicacin de almacenamiento de mensajes de error del servidor:
Captulo 2. Configuracin del servidor WebSEAL
59
ruta_acceso_instalacin/www/lib/errors/es
En la tabla siguiente se listan los idiomas a los que da soporte WebSEAL, con el nombre de subdirectorio asociado:
Idioma Ingls (predeterminado) Checo Alemn Espaol Francs Hngaro Italiano Japons Coreano Polaco Portugus, Brasil Ruso Chino, China Chino, Taiwn Directorio del sistema C cs de es fr hu it ja ko pl pt_BR ru zh_CN zh_TW
El siguiente flujo de proceso de ejemplos muestra cmo WebSEAL evala la cabecera accept-language: 1. La cabecera accept-language contiene pt-br como primer valor de la lista. 2. El idioma pt-br se convierte a pt_BR, que representa el subdirectorio de idioma de WebSEAL para este idioma. 3. Si este subdirectorio no existe para el mensaje requerido (por ejemplo, no hay ningn paquete de idioma instalado para este idioma), WebSEAL busca un directorio pt. 4. Si no hay ningn directorio pt, WebSEAL intenta encontrar subdirectorios de mensajes para el siguiente idioma listado en la cabecera. 5. Si no hay ningn paquete de idioma instalado para los mensajes que se listan en la cabecera, WebSEAL adopta de forma predeterminada el entorno de idioma en el cual se est ejecutando WebSEAL, determinado en las variables de entorno LC_ALL o LANG establecidas en el sistema operativo. Condiciones que afectan al soporte para varios idiomas en WebSEAL: v El soporte para varios idiomas est habilitado en todo momento en el servidor WebSEAL. v La instalacin de paquetes de idioma especficos determina los idiomas que tienen soporte. v WebSEAL siempre devuelve el juego de caracteres UTF-8 al usuario, independientemente de lo que el valor de la cabecera HTTP accept-charset solicite. v Si WebSEAL accede a un directorio de un idioma en busca de un mensaje traducido y el directorio est vaco (por ejemplo, el administrador ha eliminado el contenido), se devuelve una pgina de error de servidor.
60
61
Contexto
El script entre sitios es un tipo especfico de vulnerabilidad de los servidores web que se produce cuando una solicitud de direccin URL del cliente incluye un script malicioso incorporado. Por ejemplo (Javascript):
<script>cdigo_malicioso</script>
Otros indicadores de script que pueden utilizarse para crear vulnerabilidad son <OBJECT>, <APPLET> y <EMBED>. Cuando un usuario hace clic en un vnculo que contiene el cdigo malicioso (o entra directamente en una direccin URL de este tipo), el script se ejecuta cuando el navegador del usuario lee el HTML. Por ejemplo, puede producirse un ataque cuando un usuario hace clic en un vnculo que contiene la direccin URL siguiente:
https://<host-webseal>/<script>cdigo_malicioso</script>
En este ejemplo, el objeto no se encuentra y WebSEAL responde devolviendo una pgina de error 404 Pgina no encontrada de HTML. Esta pgina de error incluye la direccin URL que contiene el Javascript malicioso. El navegador interpreta la direccin URL y ejecuta el script. Consulte la siguiente lista de advertencias del CERT para obtener informacin completa acerca de la mecnica de los scripts entre sitios y tomar medidas preventivas de carcter general: http://www.cert.org/advisories/CA-2000-02.html
62
Si WebSEAL detecta cualquier fragmento de cadena configurado en la direccin URL solicitada, la direccin URL no se considera vlida y no se acepta. WebSEAL devuelve una pgina de error 400 Solicitud incorrecta. Este flexible mecanismo permite gestionar futuros esquemas de ataque al agregar valores adicionales de subcadenas. WebSEAL filtra, de forma predeterminada, las cadenas que contienen <script. No es necesario que se agregue manualmente la stanza [illegal-url-substrings] para filtrar esta cadena en particular. No obstante, cuando se requiere un filtrado adicional, debe crear la stanza y listar individualmente todas las subcadenas, como en el ejemplo anterior. Para inhabilitar por completo la caracterstica de filtrado de cadenas de direcciones URL (incluido el comportamiento predeterminado), ponga una stanza [illegal-url-substrings] vaca en el archivo de configuracin de WebSEAL. Notas funcionales: v Las entradas de subcadena del archivo de configuracin deben ser ASCII. En las direcciones URL pueden utilizarse caracteres de mltiples bytes, pero las entradas del archivo de configuracin deben ser ASCII. v Las subcadenas se localizan mediante una bsqueda no sensible a maysculas y minsculas v El filtrado de subcadenas acomoda caracteres de mltiples bytes v El mecanismo protege a los servidores con unin
63
3. Detenga WebSEAL en WS1. 4. En WS1, cambie el valor WS1 del parmetro server-name del archivo de configuracin de WebSEAL por newroot:
[server] server-name = newroot
5. Reinicie WebSEAL en WS1. 6. Repita los pasos 3-5 para WS2. Los servidores WS1 y WS2 ahora utilizan el objeto /WebSEAL/newroot como base en las evaluaciones de autorizacin. Los servidores WS1 o WS2 pueden responder a los comandos object list y object show para los objetos que residen en /WebSEAL/newroot. Utilice el siguiente procedimiento para desconfigurar WS1 o WS2: 1. Detenga el servidor WebSEAL. 2. Cambie el parmetro server-name de nuevo a su valor original. Por ejemplo, para WS1:
[server] server-name = WS1
3. Contine con los procedimientos normales de desconfiguracin. Condiciones: v Gestin del espacio de objetos unificado: Aunque el administrador puede ver una nica jerarqua de objetos, todos los servidores WebSEAL estn afectados por los comandos de gestin aplicados a esa jerarqua de objetos, y todos los servidores pueden responder a esos comandos. v Evaluaciones de autorizacin unificada: Tanto WS1 como WS2 utilizan /WebSEAL/newroot como base en las evaluaciones de autorizacin. v Configuracin unificada: Para que la rplica de servidores WebSEAL frontales funcione correctamente, la configuracin del espacio web, la base de datos de uniones y la base de datos dynurl debe ser idntica en cada servidor.
64
65
No es necesario configurar ninguna poltica para la cookie de e-community. El contenido de la cookie est limitado a especificar la ubicacin del servidor web para el que el usuario est autenticado. Esta cookie no contiene informacin que identifique al usuario. La cookie de sesin establece un vnculo con los datos de sesin y la cookie de migracin tras error contiene informacin de sesin suficiente para permitir la reconstruccin de la sesin. La cookie de sesin est concebida nicamente para el servidor de origen, no se retiene una vez finalizada la sesin y asiste en el proceso de mantenimiento de la sesin. La cookie de migracin tras error est concebida para el servidor (replicado) de migracin tras error, no se retiene una vez finalizada la sesin y tambin asisten en el proceso de mantenimiento de la sesin. Por consiguiente, las cookies de sesin y de migracin tras error tienen la misma poltica P3P. Esto significa que la poltica de peor caso combinada para las cookies es la poltica de la cookie de sesin.
WebSEAL proporciona entradas de archivo de configuracin que se correlacionan con los elementos XML siguientes en la poltica compacta: v access Indica si el sitio proporciona acceso a varios tipos de informacin. v categories v Tipo de informacin almacenada en la cookie. disputes Especifica si la poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. non-identifiable Este elemento significa que o bien no se han recopilado datos (incluidos registros web) o bien que la organizacin que recopila los datos establecer los datos como annimos. purpose Finalidades de los procesos de datos relevantes para la web. recipients Entidad, o dominio, legal ms all del proveedor de servicios y sus agentes en la que pueden distribuirse los datos. remedies Remedios en el caso de que se produzca una infraccin de una poltica.
v v
v retention Tipo de poltica de retencin vigente. v p3p-element Esta entrada puede utilizarse para especificar los elementos que deben agregarse a la cabecera P3P adems de la poltica compacta. Puede utilizarse para especificar una referencia a una poltica XML completa.
66
Los valores para purpose (excepto current) y recipients (excepto ours) tienen una opcin adicional que describe cmo pueden utilizarse los datos de cookie. Esto define si el usuario tiene la opcin de permitir o denegar.
El comportamiento predeterminado es no. Esto significa que las cabeceras P3P de los servidores con unin se sustituyen. De forma predeterminada, WebSEAL sustituye las cabeceras de polticas P3P de fondo para garantizar que el servidor de fondo no excluye las cookies de WebSEAL debido a un conjunto de polticas ms estricto. Cuando utilice el valor predeterminado, es posible que observe que las cookies que el servidor de fondo debe definir no estn permitidas debido a la poltica compacta de WebSEAL. En este caso, deber seleccionar una de las opciones siguientes: v Establezca preserve-p3p-policy = yes para forzar que WebSEAL mantenga la poltica compacta definida por el servidor de fondo. v Modifique la cabecera de la poltica compacta de WebSEAL para que la poltica sea ms permisiva y se permitan las cookies de fondo. Cuando WebSEAL procesa respuestas de servidores de fondo, las acciones de WebSEAL pueden incluir la adicin de una cookie en la respuesta. Esto ocurre cuando se ha creado la unin de WebSEAL para generar cookies de unin. Estas cookies se utilizan para correlacionar direcciones URL entre uniones a fin de garantizar la conectividad entre el navegador y el servidor de fondo. Esto significa que, cuando el administrador opta por mantener la poltica compacta definida por el servidor de fondo (preserve-p3p-policy = yes), el administrador debe garantizar que la poltica compacta es lo suficientemente permisiva como para aceptar la adicin de la cookie de unin de WebSEAL. Cuando la poltica compacta prohbe la adicin de la cookie de unin, las solicitudes de URL del navegador no se resolvern correctamente en direcciones URL del servidor de fondo.
67
Las entradas del archivo de configuracin predeterminado dan lugar a una cabecera P3P que contiene la siguiente informacin:
P3P: CP="NON CUR OTPi OUR NOR UNI"
UNI
El valor predeterminado es no. Establezca este valor en yes si desea conservar las cabeceras P3P. Para obtener ms informacin, consulte el apartado Conservacin de la cabecera de unin en la pgina 67.
68
3. Vaya a la stanza [p3p-header]. Especifique el acceso que el usuario tendr a la informacin de la cookie. Establezca el valor para la entrada siguiente:
access = {none|all|nonident|contact-and-other|ident-contact|other-ident}
ident-contact
other-ident
4. Especifique el tipo de informacin almacenada en las cookies o informacin con la que las cookies establecen un vnculo. Establezca el valor para la entrada siguiente:
categories = {physical|online|uniqueid|purchase|financial|computer|navigation| interactive|demographic|content|state|political|health|preference|location| government|other-category}
online uniqueid
purchase financial
computer
69
Tabla 6. Valores soportados para la entrada categories (continuacin) navigation Datos generados de forma pasiva al navegar por el sitio web. Por ejemplo, pginas visitadas y tiempo durante el que los usuarios permanecen en una pgina. Datos generados de forma activa a partir de interacciones explcitas, o que las reflejan, con un proveedor de servicio a travs de su sitio. Por ejemplo, consultas a un motor de bsquedas o registros sobre la actividad de las cuentas. Datos sobre las caractersticas de un individuo. Por ejemplo, sexo, edad e ingresos. Palabras y expresiones que contiene el cuerpo de una comunicacin. Por ejemplo, texto de un correo electrnico, destino de los tablones de anuncios o comunicaciones en salas de chat. Mecanismos para mantener una sesin con informacin de estado con un usuario o para reconocer automticamente a los usuarios que han visitado un sitio determinado o que han accedido con anterioridad a un determinado contenido. Por ejemplo, cookies HTTP. Pertenencia a grupos o afiliacin a los mismos, tales como organizaciones religiosas, sindicatos, asociaciones profesionales y partidos polticos. Informacin sobre la salud fsica o mental de un individuo, orientacin sexual, uso o consulta o adquisicin de servicios o productos de salud. Datos sobre aquello que gusta o no gusta a un individuo. Por ejemplo, color o estilos musicales favoritos. Informacin que puede utilizarse para identificar la ubicacin fsica actual de un individuo y realizar un seguimiento del individuo a medida que su ubicacin va cambiando. Por ejemplo, datos sobre la posicin del sistema GPS (Global Positioning System). Identificadores que emite un gobierno para poder identificar a un individuo de forma sistemtica. Otros tipos de datos no recogidos por las definiciones anteriores.
interactive
demographic content
state
political
health
preference location
government other-category
5. Especifique si la poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. Establezca el valor para la entrada siguiente:
disputes = {yes|no}
La entrada dispute no se especifica en el archivo de configuracin de WebSEAL. La especificacin P3P establece que, cuando no se especifica la entrada dispute, el valor predeterminado se asigna automticamente a no.
Tabla 7. Valores soportados para la entrada dispute Valor yes no Descripcin La poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. La poltica P3P completa no contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie.
6. Especifique los tipos de remedio en caso de que se produzca una infraccin de una poltica. Establezca el valor para la entrada siguiente:
remedies = {correct|money|law}
70
law
7. Especifique o bien que no se recopilan datos (incluidos los registros de la web) o bien que la organizacin que recopila los datos establecer el carcter annimo de los mismos. Establezca el valor para la entrada siguiente:
non-identifiable = {yes|no}
La entrada non-identifiable no se especifica en el archivo de configuracin de WebSEAL. La especificacin P3P establece que, cuando no se especifica la entrada non-identifiable, el valor predeterminado se asigna automticamente a no.
Tabla 9. Valores soportados para la entrada non-identifiable Valor yes no Descripcin Los datos que se recopilan identifican al usuario. O bien no se recopilan datos (incluidos registros de la web) o bien la informacin que se recopila no identifica al usuario.
71
Tabla 10. Valores soportados para la entrada purpose (continuacin) pseudo-analysis La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de llevar a cabo investigacin, anlisis e informes. La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de tomar una decisin que directamente afecte al individuo. La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de llevar a cabo investigacin, anlisis e informes.
pseudo-decision
individual-analysis
individual-decision La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de tomar una decisin que directamente afecta al individuo. contact La informacin puede utilizarse para establecer contacto con un individuo, a travs de un canal de comunicaciones que no sea el telfono por voz, para promocionar un producto o un servicio. La informacin puede archivarse o almacenarse con el objeto de mantener un historial social segn establezca una ley o una poltica. La informacin puede utilizarse para establecer contacto con un individuo a travs de una llamada de telfono por voz para promocionar un producto o un servicio. La informacin puede utilizarse de otras formas no recogidas por las definiciones anteriores.
historical telemarketing
other-purpose
Para cada valor especificado para purpose, excepto el valor current, si lo desea puede especificar la poltica opt-in. La sintaxis consta de dos puntos (:) que aparecen justo despus del valor de purpose, al que sigue uno de los valores soportados para la poltica opt-in. Por ejemplo:
purpose = telemarketing:opt-in
9. Especifique los destinatarios de la informacin de la cookie. Establezca el valor para la entrada siguiente:
recipient = {ours|delivery|same|unrelated|public|other-recipient} [:[opt-in|opt-out|always]]
72
delivery
same
unrelated
public other-recipient
Para cada valor especificado para recipient, excepto ours, si lo desea puede especificar la poltica opt-in. La sintaxis consiste en dos puntos (:) que aparecen justo despus del valor de recipient, al que sigue uno de los valores soportados para la poltica opt-in. Por ejemplo:
recipient = delivery:opt-in
10. Especifique durante cunto tiempo se mantiene la informacin de la cookie. Establezca el valor para la entrada siguiente:
retention = {no-retention|stated-purpose|legal-requirement|business-practices| indefinitely}
73
Tabla 14. Valores soportados para la entrada retention Valor no-retention Descripcin La informacin slo se retiene durante el breve perodo de tiempo necesario para utilizarla durante el curso de una nica interaccin en lnea. La informacin se retiene para cumplir la finalidad indicada y debe descartarse lo antes posible. La informacin se retiene para cumplir la finalidad indicada pero el perodo de retencin es ms largo debido a un requisito o a una responsabilidad legal. La informacin se retiene segn los procedimientos empresariales indicados por el proveedor de servicios. La informacin se retiene durante un perodo indeterminado de tiempo.
stated-purpose legal-requirement
business-practices indefinitely
11. Opcionalmente, especifique una referencia a un archivo de polticas compactas XML completas. Especifique un valor para la entrada siguiente:
p3p-element = policyref=url_ubicacin_predeterminada_poltica_completa
Esta entrada est presente pero est comentada y, por consiguiente, no est activa, en el archivo de configuracin predeterminado de WebSEAL. La entrada predeterminada es la ubicacin predeterminada para la poltica completa en cualquier sitio web.
# p3p-element = policyref=="/w3c/p3p.xml"
Si no se ha establecido p3p-element, de forma predeterminada, los navegadores buscan la poltica completa en /w3c/p3p.xml. Tenga en cuenta que es posible que algunos navegadores no hagan referencia a p3p-element, sino que procedan directamente a /w3c/p3p.xml. Nota: Asegrese de que el acceso no autenticado se otorga a /w3c/p3p.xml. Consulte el apartado Resolucin de problemas en la pgina 75.
74
Resolucin de problemas
v Problema: el navegador no puede acceder al archivo de la poltica P3P completa. Solucin: si utiliza la entrada p3p-element para especificar la ubicacin de un archivo que contiene la poltica completa, el navegador intenta acceder al archivo. La especificacin P3P no requiere que los navegadores enven cookies con la solicitud para la poltica completa. Internet Explorer 6 no enva una cookie de sesin cuando accede a la poltica completa. Esto significa que el acceso a la poltica completa debe otorgarse a usuarios no autenticados. Cuando el navegador recibe o bien un inicio de sesin o bien un error 401, debe modificar los permisos en la poltica completa para permitir el acceso a los usuarios no autenticados.
75
Por razones de seguridad, puede que prefiera que WebSEAL suprima esta informacin en sus respuestas a los clientes. Para suprimir la identidad del servidor en las respuestas de servidor HTTP, establezca el parmetro suppress-server-identity en la stanza [server] del archivo de configuracin de WebSEAL en yes:
[server] suppress-server-identity = yes
Cuando preserve-base-href est establecido en no, WebSEAL elimina todos los identificadores BASE HREF de los documentos HTML filtrados y agrega el identificador base como prefijo para los vnculos filtrados. Si preserve-base-href est establecido en yes, se filtra el identificador BASE HREF.
Para habilitar mtodos TRACE para respuestas con unin, defina la entrada siguiente:
76
El archivo de configuracin de WebSEAL predeterminado no define ningn valor para estas entradas del archivo de configuracin. El comportamiento predeterminado para WebSEAL, incluso cuando no se especifican las entradas del archivo de configuracin, es bloquear todos los mtodos TRACE.
77
78
79
Nota: El comando pdweb es un vnculo simblico con pdweb_start. Puede utilizar pdweb_start para todos los comandos pdweb que se describen en este captulo. Este vnculo simblico a pdweb_start existe para la compatibilidad con versiones anteriores. Ejemplos: v Iniciar el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb start
Debe emitir un comando net start distinto para cada instancia de WebSEAL que deba iniciarse.
Ejemplos: v Detener el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb stop
80
Debe emitir un comando net stop para cada instancia de WebSEAL que deba detenerse.
Para reiniciar, por ejemplo, el servidor WebSEAL inicial y todas las instancias de servidor configuradas:
# /usr/bin/pdweb restart
Windows: Identifique el proceso del servidor WebSEAL en Servicios, en el Panel de control, y utilice los botones de control correspondientes.
81
La representacin de esta instancia de servidor WebSEAL en el espacio de objetos protegidos de Tivoli Access Manager aparecera como:
/WebSEAL/sales1
Windows:
[content] doc-root = C:\Archivos de programa\Tivoli\PDWeb\www-nombre_instancia\docs
Este valor se utiliza slo una vezla primera vez que se inicia WebSEAL despus de la instalacin. El valor se almacena en la base de datos de uniones. La futura modificacin de este valor no tendr ningn impacto. Cmo cambiar el directorio raz de documentos despus de la instalacin:
82
Despus de la instalacin, debe usar la utilidad pdadmin para cambiar el valor de la ubicacin del directorio raz de documentos. El ejemplo siguiente (el nombre de la mquina, o host, es websealA) ilustra este procedimiento: 1. Inicie la sesin en pdadmin:
# pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
2. Utilice el comando server task list para mostrar todos los puntos de unin actuales:
pdadmin> server task webseald-websealA list /
3. Utilice el comando server task show para mostrar los detalles de la unin:
pdadmin> server task webseald-websealA show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una nueva unin local para sustituir el punto de unin actual (la opcin -f es necesaria para forzar una nueva unin que sobrescriba una unin existente):
pdadmin> server task webseald-websealA create -t local -f -d /tmp/docs / Se ha creado una unin en /
Puede cambiar este nombre de archivo si el sitio utiliza un convenio distinto. Por ejemplo:
[content] directory-index = homepage.html
83
WebSEAL genera dinmicamente un ndice de directorios si el directorio de la solicitud no contiene el archivo de ndice definido por el parmetro directory-index. El ndice generado contiene una lista con el contenido del directorio, con vnculos a cada una de las entradas del directorio. El ndice se genera slo si el cliente que solicita acceso al directorio tiene el permiso list (l) en la ACL de ese directorio. Puede configurar los iconos grficos que utiliza WebSEAL para cada tipo de archivo que aparece en el ndice generado. La stanza [content-index-icons] del archivo de configuracin de WebSEAL contiene una lista de los tipos MIME de documentos y los archivos .gif asociados que se muestran:
[content-index-icons] image/*= /icons/image2.gif video/* = /icons/movie.gif audio/* = /icons/sound2.gif text/html = /icons/generic.gif text/* = /icons/text.gif application/x-tar = /icons/tar.gif application/* = /icons/binary.gif
Esta lista se puede configurar para que especifique otros iconos para cada tipo MIME. Los iconos tambin se pueden ubicar de forma remota. Por ejemplo:
application/* = http://www.acme.com/icons/binary.gif
Tambin se pueden configurar estos valores de iconos adicionales: v Icono utilizado para representar subdirectorios:
[icons] diricon = /icons/folder2.gif
Nota: El formato de los iconos proporcionados es GIF, pero no se trata de un formato obligatorio.
De forma predeterminada, slo los archivos con extensiones que coincidan con las listadas en la stanza se ejecutarn como programas CGI. Si un programa CGI tiene una extensin que no est contenida en esta lista, el programa no se ejecutar.
84
Los archivos con extensiones .exe se ejecutan como programas segn el valor predeterminado de Windows y no requieren ninguna correlacin. Nota: Cuando quiera instalar un archivo .exe en Windows para su descarga, debe cambiar el nombre de la extensin o bien instalar el archivo como parte de un archivador (por ejemplo, .zip). Debe proporcionar los programas intrpretes apropiados para las extensiones que representan los archivos script interpretados. Como ejemplos de estos tipos de extensiones cabe citar: scripts de shell (.sh y .ksh), scripts Perl (.pl) y scripts Tcl (.tcl). El siguiente ejemplo muestra una configuracin tpica de la stanza [cgi-types]:
[cgi-types] bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76
85
El almacenamiento en la cach se realiza segn el tipo MIME. Al configurar WebSEAL para el almacenamiento en la cach de documentos web, se identifican los tres parmetros siguientes: v Tipo MIME del documento v Tipo de medio de almacenamiento v Tamao del medio de almacenamiento El almacenamiento en la cach de documentos web se define en la stanza [content-cache] del archivo de configuracin de WebSEAL. Se aplica la siguiente sintaxis:
<tipo-mime> = <tipo-cach>:<tamao-cach> Parmetro tipo-mime Descripcin Representa cualquier tipo MIME transmitido en una cabecera de respuesta Content-Type:. Este valor puede contener un asterisco (*). Un valor de */* representa una cach de objetos predeterminada que retendr cualquier objeto que no corresponda a una cach configurada de forma explcita. Tenga en cuenta que aqu el asterisco es un carcter comodn slo para un directorio de tipos MIME y su contenido. No es un carcter comodn para expresiones regulares. Especifica el tipo de medio de almacenamiento que se utilizar para la cach. Este release de Tivoli Access Manager slo da soporte a las cachs memory. Especifica el tamao mximo (en kilobytes) hasta el cual puede crecer la cach determinada antes de eliminar los objetos segn un algoritmo Menos utilizado recientemente.
tipo-cach
tamao-cach
Ejemplo:
text/html = memory:2000 image/* = memory:5000 */* = memory:1000
86
Debe iniciar la sesin en el dominio seguro como administrador de Tivoli Access Manager sec_master antes de que pueda utilizar pdadmin. Para vaciar todas las cachs de documentos web, especifique el siguiente comando: UNIX:
# pdadmin server task webseald-<nombre-mquina> cache flush all
Windows:
MSDOS> pdadmin server task webseald-<nombre-mquina> cache flush all
public
Utilice los comandos pdadmin pop create, pdadmin pop modify y pdadmin pop attach. El ejemplo siguiente muestra cmo crear una POP denominada doc-cache con el atributo ampliado document-cache-control y cmo asociarla con un objeto (budget.html):
pdadmin> pop create doc-cache pdadmin> pop modify doc-cache set attribute document-cache-control no-cache pdadmin> pop attach /WebSEAL/hostA/junction/budget.html doc-cache
WebSEAL no almacena nunca en la cach el documento budget.html. Cada solicitud de este documento debe efectuarse directamente al servidor de fondo donde est ubicado. Los detalles acerca de la utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
87
El parmetro type de la stanza [filter-content-types] del archivo de configuracin de WebSEAL especifica un valor de tipo MIME. WebSEAL est configurado de forma predeterminada para reconocer documentos de dos tipos MIME:
[filter-content-types] type = text/html type = text/vnd.wap.wml
WebSEAL puede aplicar las siguientes funciones de filtrado URL a todos los tipos de documentos configurados: v Filtrado de esquemas de direcciones URL WebSEAL slo filtra las direcciones URL utilizando esquemas definidos en la stanza [filter-schemes] del archivo de configuracin de WebSEAL. v Filtrado de atributos de direcciones URL Consulte el apartado Reglas de filtrado estndar de direcciones URL para WebSEAL en la pgina 320. v Filtrado de scripts para direcciones URL absolutas Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321.
88
En el valor tipo_mime puede especificar un tipo MIME determinado o bien utilizar caracteres comodn para especificar una clase de tipos MIME. Cada declaracin de tipo_mime es una entrada distinta en la stanza [compress-mime-types]. El carcter comodn (*) est limitado a las entradas de un conjunto de tipos MIME. Por ejemplo, text/*. Los tipos MIME que no estn enumerados en la stanza no se comprimirn. El orden es importante. La primera entrada que coincida con un documento devuelto se utiliza para dicho documento. El valor tamao_doc_mnimo especifica la poltica relacionada con el tamao de los documentos que se comprimirn. Este valor es un nmero entero. En la lista siguiente se muestran los valores vlidos: v -1 Cuando el tamao mnimo es -1, los documentos del tipo MIME especificado no se comprimen nunca. v 0 Cuando el tamao mnimo es 0, los documentos del tipo MIME especificado siempre se comprimen. v Entero mayor que cero Cuando el tamao mnimo es un entero mayor que cero, los documentos del tipo MIME especificado se comprimen si el nmero de bytes de la respuesta a WebSEAL sobrepasa este valor entero. Cualquier nmero negativo distinto de -1 genera un mensaje de error. Cuando WebSEAL recibe una solicitud de un navegador, el servidor examina el campo de longitud del contenido (content-length) de la cabecera HTTP para determinar el tamao de los datos entrantes. No obstante, no todas las respuestas HTTP contienen este campo. Cuando el campo content-length no existe, WebSEAL
Captulo 3. Administracin del servidor WebSEAL
89
comprime el documento a menos que el tipo MIME aplicable est configurado para no comprimirse nunca ( tamao_doc_mnimo igual a -1). El valor nivel_compresin es opcional y especifica un nivel de compresin de datos. Los valores vlidos son nmeros enteros entre 1 y 9. Cuando mayor sea el nmero entero, mayor ser la compresin que se lleve a cabo. Debe tener en cuenta que cuanto mayor sea la compresin que se lleve a cabo, mayor ser tambin la carga de la CPU. El valor de compresin incrementado debe ponderarse ante cualquier impacto en el rendimiento. Cuando no se especifica el valor de nivel_compresin, se utiliza el nivel predeterminado 1. En el ejemplo siguiente se comprimen todos los documentos cuyo tamao es superior a 1.000 bytes:
[compress-mime-type] */* = 1000
El conjunto de entradas siguiente inhabilita la compresin para todas las imgenes, inhabilita la compresin para todos los archivos CSS, habilita la compresin en el nivel 5 para todos los documentos PDF, habilita la compresin para los documentos HTML cuyo tamao sea superior a 2.000 bytes y habilita la compresin para todos los dems documentos de texto, independientemente de su tamao:
[compress-mime-type] image/* = -1 text/css = -1 application/pdf = 0:5 text/html = 2000 text/* = 0
El patrn_agente_usuario est formado por patrones comodn que establecen coincidencias con los caracteres encontrados en la cabecera user-agent que se enva a WebSEAL. El valor yes significa que deben comprimirse los datos que se devuelven al navegador. El valor no significa que los datos deben devolverse sin comprimir. Cuando la cabecera user-agent no coincide con ninguna de las entradas de stanza del archivo de configuracin de WebSEAL, WebSEAL acepta la cabecera accept-encoding enviada por el navegador. La entrada siguiente, por ejemplo, habilita la compresin para Internet Explorer 6, pero inhabilita la compresin para todos los dems navegadores:
[compress-user-agents] *MSIE 6.0" = yes * = no
90
En el ejemplo siguiente se inhabilita la compresin para Netscape 4 pero se permite que los dems navegadores reciban datos comprimidos. Observe que la entrada *MSIE* es necesaria porque la cabecera user-agent enviada por Internet Explorer empieza por Mozilla:
[compress-user-agents] *MSIE* = yes Mozilla/4.* = no
Una poltica POP sin este atributo definido, o con este atributo definido en cualquier valor distinto de no, permite la compresin de los documentos. Por ejemplo, para inhabilitar la compresin para la unin /appOne:
pdadmin> pop create appOnePop pdadmin> pop modify appOnePop set attribute document-compression no pdadmin> pop attach /WebSEAL/host/appOne appOnePop
Para permitir la compresin para un subdirectorio de /appOne con una poltica POP que prevalezca, asocie una poltica POP distinta que no tenga el atributo document-compression. Por ejemplo:
pdadmin> pop create dataPop pdadmin> pop attach /WebSEAL/host/appOne/data dataPop
Este mtodo de aplicacin de la poltica de compresin puede utilizarse con direcciones URL. Por ejemplo, para inhabilitar la compresin en funcin de los patrones comodn que se aplican a las direcciones URL, puede utilizar dynurl. Para inhabilitar la compresin para todas las solicitudes para una unin que tengan un argumento determinado en la cadena de consulta, puede crear un archivo dynurl.conf con entradas como las siguientes:
/disableCompression /appOne/*\?want-response=text/xml
A continuacin, puede aosicar una poltica POP a /WebSEAL/host/disableCompression con el atributo document-compression establecido en no.
91
Debe tener en cuenta que el valor predeterminado deja todos los datos sin comprimir:
[compress-mime-types] */* = -1
Para obtener ms informacin sobre la creacin de entradas en esta stanza, consulte el apartado Compresin basada en el tipo MIME en la pgina 89. 2. En el archivo de configuracin de WebSEAL, especifique cada tipo de agente de usuario (navegador) para el que debe aplicase una poltica de compresin de datos. Asigne el valor yes para habilitar la compresin de datos. Asigne el valor no para inhabilitarla.
[compress-user-agent] agente_usuario = {yes|no}
No se define ninguna entrada de forma predeterminada. Cuando ninguna entrada coincide con la cabecera accept-encoding de user-agent, se acepta el valor de la cabecera accept-encoding. Para obtener ms informacin sobre la creacin de entradas en esta stanza, consulte el apartado Compresin basada en el tipo de agente de usuario en la pgina 90. 3. Si lo desea, puede especificar polticas de compresin en las polticas POP y aplicar las polticas POP a los objetos apropiados del espacio de objetos protegidos. Para obtener ms informacin, consulte el apartado Poltica de compresin en POP en la pgina 91.
92
38cf013d.html 38cf0259.html
38cf025a.html
93
Ttulo No hay ningn destino de inicio de sesin nico del usuario El usuario tiene varios destinos de inicio de sesin Se necesita iniciar la sesin
Descripcin WebSEAL no ha podido localizar el destino GSO para el recurso solicitado. Hay varios destinos GSO definidos para el recurso solicitado. Se trata de un error de configuracin. Un servidor web de fondo con unin protege el recurso solicitado, por lo que WebSEAL debe iniciar la sesin del usuario en ese servidor web. Para ello, el usuario debe iniciar la sesin primero en WebSEAL. El recurso que ha solicitado requiere que WebSEAL inicie la sesin en otro servidor web. Sin embargo, la informacin de inicio de sesin para la cuenta de usuario es incorrecta. WebSEAL ha recibido una tentativa de autenticacin inesperada de un servidor web con unin. El recurso que ha solicitado ha sido trasladado temporalmente. Esto sucede a menudo si hay alguna redireccin mal manipulada. WebSEAL ha recibido una solicitud HTTP incorrecta. El recurso que ha solicitado est protegido por WebSEAL y, para poder acceder al mismo, primero debe iniciar la sesin. El usuario no tiene permisos para acceder al recurso solicitado. No se puede localizar el recurso solicitado.
38cf025c.html 38cf025d.html
38cf025e.html
38cf025f.html
38cf0421.html
302
38cf0424.html 38cf0425.html
400
403 404
En este momento, no est disponible un servicio 503 que WebSEAL necesita para completar la solicitud. Se necesita nivel de privacidad de calidad de proteccin. El administrador del sistema ha inhabilitado temporalmente el servidor WebSEAL. No se atender ninguna solicitud hasta que el administrador vuelva a habilitar el servidor. La interaccin entre navegador/servidor ha sido una sesin con informacin de estado con un servidor de fondo con unin que ha dejado de responder. WebSEAL requiere un servicio que se encuentra en dicho servidor para ejecutar la solicitud. El servicio que necesita WebSEAL se encuentra en un servidor de fondo con unin donde ha fallado la autenticacin mutua SSL. No se ha ejecutado correctamente un programa CGI. El recurso que ha solicitado est protegido por una poltica que restringe el acceso a perodos de tiempo especficos. La hora actual est fuera de los perodos de tiempo permitidos.
38cf0439.html
38cf0442.html
Servicio no disponible
38cf07aa.html 38cf08cc.html
94
Descripcin El recurso solicitado se encuentra en un servidor de terceros. WebSEAL ha intentado establecer contacto con el servidor, pero el servidor no responde. El recurso solicitado se encuentra en un servidor de terceros. WebSEAL ha intentado establecer contacto con el servidor, pero el servidor no responde. WebSEAL no ha podido ejecutar la solicitud debido a un error inesperado. La operacin de supresin (DELETE) iniciada por el cliente se ha ejecutado correctamente.
38cf04c6.html
default.html
500 200
deletesuccess.html Operacin ejecutada putsuccess.html relocated.html websealerror.html Operacin ejecutada Trasladado temporalmente 400 Error del servidor WebSEAL
La operacin de transferencia (PUT) iniciada por el 200 cliente se ha ejecutado correctamente. El recurso que ha solicitado se ha trasladado temporalmente. Error interno del servidor WebSEAL. 302 400
Para crear una pgina de mensaje de error nueva para este error, complete los pasos siguientes: 1. Cree un archivo HTML nuevo. Para asignar un nombre al archivo, elimine los caracteres del prefijo 0x (hex) del nmero de error y agregue el sufijo .html. Por ejemplo, 0x38cf04d5 pasa a ser:
38cf04d5.html
Si lo desea, puede utilizar uno de los archivos de error HTTP existentes como plantilla. Cpielo y cambie el nombre del mismo.
95
2. Consulte la publicacin IBM Tivoli Access Manager Error Message Reference para obtener informacin sobre el error exacto que se ha detectado. Utilice esta informacin para editar el cuerpo de la pgina HTML. 3. Si lo desea, puede utilizar las macros descritas en el apartado Modificacin de pginas de error HTTP existentes en la pgina 95. 4. Guarde el nuevo archivo en el mismo directorio que el resto de los mensajes de error HTTP.
Cuando client-notify-tod = yes, WebSEAL enva al cliente un mensaje de error que indica que el error de autorizacin se ha producido porque ha fallado una comprobacin de acceso time-of-day # POP. Esta entrada est establecida en no de forma predeterminada.
El valor lib/errors es el directorio predeterminado. Si lo desea, puede modificar este valor. Esta ubicacin es relativa al directorio especificado por la entrada server-root de la stanza [server]. Adems, el directorio especfico al entorno local se agrega automticamente al final de la jerarqua de directorios. Por ejemplo, si tenemos un sistema cuyo nombre de instancia es webseal1 y que presenta los valores siguientes de configuracin: v server-root = /opt/pdweb/www-webseal1 v error-dir = lib/errors v Directorio del entorno local ingls C la ubicacin de las pginas de error sera:
/opt/pdweb/www-webseal1/lib/errors/C
96
WebSEAL devolva solamente la pgina de error predeterminada. Si desea mantener el comportamiento anterior, elimine las pginas de mensajes de error HTTP del directorio de pginas de mensajes de error. v WebSEAL versin 5.1 introduce un nuevo mensaje de error HTTP para utilizarlo si se deniega el acceso porque no se cumple una poltica de hora del da POP (poltica de objetos protegidos). El uso de esta pgina de mensaje de error se controla mediante un valor del archivo de configuracin de WebSEAL. Para inhabilitar el uso de esta pgina, cambie el siguiente valor de configuracin:
[acnt-mgmt] client-notify-tod = no
97
El directorio real utilizado se basa en el idioma. El directorio predeterminado para ingls de EE.UU. es:
lib/html/C
Consulte el apartado Mensajes de varios entornos locales en la pgina 59 para obtener ms informacin sobre el soporte para varios idiomas.
98
Parmetro cert-failure =
Pgina certfailure.html
help.html login.html login_success.html logout.html nexttoken.html passwd_exp.html passwd.html passwd_rep.html stepuplogin.html switchuser.html tokenlogin.html
99
Descripcin El valor ATRS si hay una cabecera de referente en la solicitud o bien INICIO si no hay ninguna. El valor de la cabecera de referente procedente de la solicitud o bien / si no hay ninguna. Variable de sustitucin que se utiliza para modificar el formulario de inicio de sesin. Cuando el mtodo de autenticacin es vlido, WebSEAL elimina la variable. Cuando el mtodo de autenticacin no es vlido, WebSEAL comenta la macro. Se utiliza en tokenlogin.html, certlogin.html y stepuplogin.html. Variable de sustitucin que se utiliza para modificar el formulario de inicio de sesin. Cuando el mtodo de autenticacin es vlido, WebSEAL elimina la variable. Cuando el mtodo de autenticacin no es vlido, WebSEAL comenta la macro. Se utiliza en tokenlogin.html, certlogin.html y stepuplogin.html. Mensaje de error no modificable devuelto por Tivoli Access Manager. Igual que %ERROR_TEXT%. Ambos existen para la compatibilidad con versiones anteriores.
%CERTAUTHN%
%ERROR%
%ERROR_CODE% %ERROR_TEXT%
Valor numrico del cdigo de error. Texto asociado con un cdigo de error en el catlogo de mensajes. Igual que %ERROR%. Ambos existen para la compatibilidad con versiones anteriores.
%FAILREASON% %HOSTNAME% %HTTP_BASE% %HTTPS_BASE% %LOCATION% %METHOD% %PROTOCOL% %REFERER% %REFERER_ENCODED% %STEPUP%
Mensaje de error. Nombre de host completo. Direccin URL HTTP base del servidor, http://host:puertotcp/. Direccin URL HTTPS base del servidor, https://host:puertossl/. Contiene la direccin URL a la que se direcciona el cliente. Slo se enva en redirecciones. Mtodo HTTP solicitado por el cliente. Protocolo utilizado de conexin de cliente. Puede ser http o https. El valor de la cabecera de referente procedente de la solicitud o bien Desconocida, si no hay ninguna. Versin codificada de URI de la macro y la cabecera del referente. Mensaje que especifica el nivel incremental (step-up) necesario. Slo se enva cuando se devuelve un formulario de inicio de sesin incremental. Variable de sustitucin que se utiliza para modificar el formulario de inicio de sesin. Cuando el mtodo de autenticacin es vlido, WebSEAL elimina la variable. Cuando el mtodo de autenticacin no es vlido, WebSEAL comenta la macro. Se utiliza en tokenlogin.html, certlogin.html y stepuplogin.html.
%TOKENAUTHN%
100
Descripcin Direccin URL solicitada por el cliente. Versin codificada de URI del URI y la macro. Nombre del usuario conectado (Vase tambin el apartado Personalizacin de formularios de inicio de sesin para la reautenticacin en la pgina 229.)
WebSEAL proporciona un archivo de configuracin que especifica cmo se inserta en las pginas HTML de WebSEAL la cadena de datos especificada por las cadenas de macro. El valor predeterminado especifica que los datos se insertan en formato UTF-8.
[content] utf8-template-macros-enabled = yes
Las pginas HTML de WebSEAL utilizan de forma predeterminada el juego de caracteres UTF8. Si modifica el juego de caracteres para especificar la pgina de cdigos local, establezca esta entrada en no. Debe tener en cuenta que este valor afecta a los archivos que se encuentran en los directorios especificados por las entradas error-dir y mgt-pages-root (de la stanza [acnt-mgt]) del archivo de configuracin.
2. Los formularios de inicio de sesin estndar deben incluir el campo oculto siguiente:
<INPUT TYPE="HIDDEN" NAME="login-form-type" VALUE="pwd"></TD>
3. Los formularios de inicio de sesin de seal deben incluir el campo oculto siguiente:
Captulo 3. Administracin del servidor WebSEAL
101
Examine los formularios actualizados en la versin actual de Tivoli Access Manager como referencia para aplicar las modificaciones anteriores a los formularios antiguos.
102
En Windows, la lista de archivos tambin indica las claves de registro que deben incluirse en la copia de seguridad. La lista de archivos es un archivo de texto plano. Puede personalizar el contenido del archivo para agregar informacin especfica para cada despliegue. Por ejemplo, puede agregarse informacin sobre sistemas iguales (peers) entre dominios, servidores de e-community y claves de dominio de e-community. Siga el formato del archivo amwebbackup.lst. Ejemplo:
[cdsso-peers] nombre_mquina = ubicacin_archivo_claves [e-community-sso] master-authn-server = nombre_servidor [e-community-domain-keys] nombre_dominio = archivo_claves
Cuando WebSEAL se instala en una ubicacin no predeterminada de Windows, el directorio de pdbackup es un subdirectorio de la ubicacin de instalacin. Puede proporcionar argumentos de lnea de comandos opcionales para especificar un nombre alternativo y una ubicacin alternativa para el archivo de copia archivada.
103
El comando de ejemplo siguiente crea el archivo de copia archivada predeterminado en el directorio predeterminado.
UNIX pdbackup -a backup -l /opt/pdweb/etc/amwebbackup.1st Windows pdbackup -a backup -l dir_instalacin\etc\amwebbackup.1st
Para obtener ms informacin sobre pdbackup, incluida la sintaxis, opciones y ejemplos, consulte la pgina de referencia de pdbackup de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
Puede utilizar otras opciones de lnea de comando para especificar una ubicacin no predeterminada para el archivo de copia archivada. Para obtener ms informacin sobre pdbackup, incluida la sintaxis, opciones y ejemplos, consulte la pgina de referencia de pdbackup de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
104
Los comandos anteriores deben especificarse en una sola lnea. Para obtener ms informacin sobre pdbackup, incluida la sintaxis, opciones y ejemplos, consulte la pgina de referencia de pdbackup de la publicacin IBM Tivoli Access Manager for e-business Command Reference.
105
106
107
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\routing.template
Durante la instalacin, el archivo de plantilla de rutas se personaliza para el sistema actual y se copia en un archivo denominado routing en el mismo directorio. El archivo routing es un archivo ASCII que contiene informacin adicional en forma de lneas de comentarios. Las entradas de este archivo de configuracin determinan los tipos de mensajes de servicios que se registran. Para habilitar cualquier entrada, elimine el carcter de comentario (#). El archivo routing incluye las siguientes entradas predeterminadas: UNIX:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:/opt/pdweb/log/msg__notice.log #NOTICE_VERBOSE:FILE.10.100:/opt/pdweb/log/msg__notice.log
Windows:
FATAL:STDERR:ERROR:STDERR:WARNING:STDERR:#NOTICE:FILE.10.100:%PDWEBDIR%/log/msg__notice.log #NOTICE_VERBOSE:FILE.10.100:%PDWEBDIR%/log/msg__notice.log
Nota: En un sistema Windows, la variable de entorno especial PDWEBDIR se define durante la ejecucin en el directorio de instalacin de WebSEAL. De forma predeterminada, cuando WebSEAL se ejecuta en primer plano, todos los mensajes se envan a la pantalla (STDERR). De forma predeterminada, cuando WebSEAL se ejecuta en segundo plano, los mensajes se redireccionan desde STDERR y se envan al archivo de registro del servidor WebSEAL como se ha definido en la stanza [logging] del archivo de configuracin de WebSEAL: v Proceso de servidor: webseald v Ubicacin del archivo de configuracin:
webseald-nombre_instancia.conf
108
Para habilitar msg__verbose.log, anule el comentario de la lnea NOTICE_VERBOSE. La sintaxis FILE del mensaje NOTICE controla la creacin de nuevos archivos de registro y el reciclado de archivos:
FILE.mx_archivos.mx_registros
El valor mx_archivos especifica el nmero de archivos que se utilizan. El valor mx_registros especifica el nmero mximo de entradas por registro. En el ejemplo predeterminado anterior, FILE.10.100 significa que se han creado 10 archivos, cada uno de ellos con un mximo de 100 entradas. Los archivos se denominan:
notice.log.1 notice.log.2 . . . notice.log.10
Los mensajes se reinician en el primer archivo despus de que el ltimo archivo haya alcanzado su lmite o cuando el servidor se detenga y se reinicie. Cuando se vuelve a utilizar un archivo de registro, se sobrescriben (borran) los registros existentes. En algunos casos, cuando WebSEAL crea archivos en segundo plano, los archivos pueden ser propiedad de root (raz). Para garantizar que WebSEAL pueda escribir mensajes en estos archivos de registro, opcionalmente puede especificar los permisos de archivo, el propietario y el grupo. En el ejemplo siguiente, los argumentos opcionales que llevan esto a cabo son :666:ivmgr:ivmgr:
ERROR:STDERR:-;FILE:/var/pdweb/log/msg_error.log:666:ivmgr:ivmgr
Nota: Para obtener ms informacin sobre las opciones de configuracin del archivo de rutas, revise la plantilla de archivo de rutas que se distribuye con WebSEAL. Para obtener ms informacin sobre el soporte de Tivoli Access Manager para los mensajes de servicio, consulte la publicacin IBM Tivoli Access Manager for e-business Problem Determination Guide.
Para obtener ms informacin, consulte la plantilla del archivo de rutas que se distribuye con WebSEAL:
109
Debe tener en cuenta que, cuando se produce una prdida de datos, la entrada del archivo de rutas contiene una serie de signos de interrogacin (????) en la ubicacin en la que ha surgido el problema de conversin de datos. Para obtener ms informacin, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
110
111
Las siguientes tareas de configuracin son opcionales para cada archivo de seguimiento de auditora de WebSEAL: v Especifique el tamao mximo de la cola de eventos El nmero mximo de eventos que pueden existir en la cola en la memoria. v Especifique la marca de lmite superior de la cola de eventos El nmero de eventos de la cola que desencadena un vaciado de la memoria a un archivo. v Especifique el tamao mximo del bfer El tamao mximo, en bytes, del bfer de eventos en la memoria que se debe generar a partir de eventos individuales. v Especifique la modalidad del archivo Binario o texto. La modalidad de texto slo est disponible para la plataforma Windows. El registro de eventos de Tivoli Access Manager da soporte a las tareas de configuracin adicionales, pero la auditora heredada no. Para obtener ms informacin sobre estas tareas, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
Configuracin de ejemplo
La sintaxis de logcfg para configurar un archivo de seguimiento de auditora es la siguiente:
logcfg =categora:file path=nombre_ruta_acceso_archivo, flush_interval=segundos,\ rollover_size=nmero, log_id=ID_registro, queue_size=nmero, hi_water=nmero, buffer_size=nmero, mode={text|binary}
El formato combinado NCSA captura http.cof informacin de solicitud HTTP (con la marca de fecha y hora) y agrega las cadenas de referente y agente citadas al formato de registro comn estndar.
Por ejemplo, la entrada logcfg siguiente crea un archivo de seguimiento de auditora que recopila eventos de auditora:
logcfg = audit.authn:file path=/var/pdweb/log/audit.log,flush_interval=20, \ rollover_size=2000000
Nota: El ejemplo anterior se debe escribir en una sola lnea en el archivo de configuracin de WebSEAL.
112
En este ejemplo, la auditora se habilita cuando Tivoli Access Manager lee la entrada logcfg durante el inicio. Los siguientes parmetros proporcionan los valores de configuracin necesarios:
Tabla 16. Valores de ejemplo de los valores de configuracin necesarios Parmetro audit.authn:file path=/var/pdweb/log/audit.log rollover_size=2000000 flush_interval=20 Valor necesario Tipo de evento de auditora Ubicacin del archivo de auditora Tamao del archivo de auditora Intervalo de vaciado del archivo
En este ejemplo, no se ha especificado ninguno de los valores de configuracin opcionales. Cuando no se especifican los valores opcionales, Tivoli Access Manager utiliza los valores predeterminados para uno de ellos:
Tabla 17. Valores predeterminados de los valores de configuracin opcionales Parmetro queue_size=nmero Valor opcional Tamao mximo de la cola de eventos. El valor predeterminado es 0. Este valor significa que no existe ningn tamao mximo. Marca de lmite superior de la cola de eventos. El valor predeterminado es dos tercios de queue_size. Cuando queue_size es 0, el valor predeterminado es 100. Tamao mximo del bfer. El valor predeterminado es 0, que inhabilita el bfer. Modalidad del archivo. La modalidad predeterminada es binary. La modalidad de texto slo est soportada en Windows.
hi_water=nmero
buffer_size=nmero mode={text|binary}
Las entradas de logcfg se encuentran en la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL. Cree una entrada logcfg para cada tipo de evento de auditora. Consulte tambin: v El apartado sobre auditora de la informacin de consulta del archivo de configuracin de WebSEAL: Auditora en la pgina 521. v El captulo sobre registro y auditora de la publicacin IBM Tivoli Access Manager Base Gua de administracin.
113
Los valores de categora que son adecuados para el registro HTTP incluyen los siguientes: v http Toda la informacin de registro HTTP v http.clf Informacin de solicitud HTTP en formato de registro comn v http.ref Informacin de cabecera HTTP Referer v http.agent Informacin de cabecera HTTP User_Agent v http.cof El formato combinado NCSA captura informacin de solicitud HTTP (con la marca de fecha y hora) y agrega las cadenas de referente y agente citadas al formato de registro comn estndar. Compatibilidad con valores de auditora heredados Las siguientes configuraciones de agente de registro estn habilitadas cuando los parmetros de registro HTTP de WebSEAL heredados estn habilitados (consulte el apartado Auditora heredada en la pgina 119). Tenga en cuenta que las configuraciones de agente de registro aceptan los valores de los parmetros requests-file, referers-file, agents-file, flush-time y max-size de la stanza [logging] del archivo de configuracin de WebSEAL: request.log (formato de registro comn):
logcfg = http.clf:file path=<requests-file>,flush=<flush-time>, \ rollover=<max-size>,log=clf,buffer_size=8192,queue_size=48
referer.log:
logcfg = http.ref:file path=<referers-file>,flush=<flush-time>, \ rollover=<max-size>,log=ref,buffer_size=8192,queue_size=48
Dado que el registro HTTP heredado se configura en una stanza distinta ([logging]) que la configuracin de registro de eventos ([aznapi-configuration]), es posible que aparezcan dos entradas duplicadas para cada evento en un archivo de configuracin cuando ambos mecanismos de registro estn habilitados. Para obtener ms informacin sobre cmo configurar logcfg, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
114
<date>2003-10-29-10:30:35.003-08:00I-----</date> <outcome status="953091558">1</outcome> <originator blade="webseald"><component rev="1.1">http</component> <action>2</action> <location>meow</location> </originator> <accessor name=""> <principal auth="IV_LDAP_V3.0" domain="Default">testuser</principal> </accessor> <target resource="5"><object><![CDATA[/pkmspasswd.form]];;;</object></target> <data> <![CDATA[POST /pkmspasswd.form HTTP/1.1]];;;; 512 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461; .NET CLR 1.0.3705) <![CDATA[https://meow.cruz.ibm.com/pkmspasswd]];;;; </data> </event> <event rev="1.2"> <date>2003-10-29-10:30:40.008-08:00I-----</date> <outcome status="953091102">1</outcome> <originator blade="webseald"><component rev="1.1">http</component> <action>2</action> <location>meow</location> </originator> <target resource="5"><object></object></target> <data> </data> </event>
115
A continuacin se muestra un ejemplo de error de autenticacin debido a una contrasea errnea. Observe que el valor del resultado es 1.
<event rev="1.2"> <date>2003-10-21-17:23:29.250-07:00I-----</date> <outcome status="320938184">1</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>meow</location> </originator> <accessor name=""> <principal auth="password" domain="Default">testuser</principal> </accessor> <target resource="7"><object></object></target> <data> Error de contrasea: testuser</data> </event>
El siguiente es un ejemplo de evento de error de autenticacin (debido a una contrasea caducada) registrado en WebSEAL. Observe que el resultado es 0. El valor de estado 320938188 indica que la anomala se debe a una contrasea que ha caducado. Este valor de estado est documentado en la publicacin IBM Tivoli Access Manager Error Message Reference.
<event rev="1.2"> <date>2001-11-14-16:23:00.294+00:00I-----</date> <outcome status="320938188">0</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>phaedrus</location> </originator> <accessor name=""> <principal auth="IV_LDAP_V3.0" domain="Default">testuser2</principal> </accessor> <target resource="7"><object></object></target> <data> </data> </event>
El siguiente es un ejemplo de evento de error de autenticacin debido a demasiados intentos de inicio de sesin incorrectos (poltica de tres intentos) registrado en WebSEAL. Observe que el resultado es 1.
<event rev="1.2"> <date>2003-10-21-17:23:35.795-07:00I-----</date> <outcome status="320938290">1</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>0</action> <location>meow</location> </originator> <accessor name=""> <principal auth="password" domain="Default">testuser</principal> </accessor> <target resource="7"><object></object></target> <data> Bloqueo de cuenta: testuser</data> </event>
116
<event rev="1.2"> <date>2003-10-29-10:30:34.999-08:00I-----</date> <outcome status="0">0</outcome> <originator blade="webseald"><component rev="1.2">authn</component> <action>1</action> <location>meow</location> </originator> <accessor name=""> <principal auth="passwd-ldap" domain="Default">testuser</principal> </accessor> <target resource="7"><object></object></target> <data> Cambiar la contrasea para for testuser</data> </event>
El estado de resultado 0 indica que la contrasea se ha cambiado correctamente. Cualquier otro resultado indica un cdigo de estado de error. En la tabla siguiente se indican los cdigos de error de autenticacin y sus estructuras de elemento <data> que se devuelven cuando falla un intento de autenticacin:
Tabla 18. Errores de autenticacin Tipo de error Error de contrasea Cdigo de error (en hex) 132120c8 Cdigo de error (en decimal) 320938184 XML generado <data>Password failure: usuario</data> <data>Account lock-out: usuario</data> La contrasea del usuario ha caducado. <data><username> usuario</username> </data>
Bloqueo de cuenta
13212132
320938290
320938188 El resto
Para determinar la razn de un evento auditado como un bloqueo de cuenta (debido, por ejemplo, a la poltica de tres intentos), obtenga el cdigo de error que se muestra en la tabla anterior. El cdigo de error se incluye en la salida de auditora en el indicador <outcome status>:
<outcome status>"13212132">0</outcome>
Invoque el comando pdadmin errtext con el cdigo de error para recibir una razn del resultado. Por ejemplo:
> pdadmin errtext 13212132 Esta cuenta se ha bloqueado temporalmente debido a un excesivo nmero de intentos de inicio de sesin incorrectos
Los cdigos de error de Tivoli Access Manager se describen en la publicacin IBM Tivoli Access Manager Error Message Reference.
117
coincida con la pgina de cdigos local no UTF-8. En algunos casos, la conversin de UTF-8 a una codificacin UTF-8 puede dar lugar a la prdida de datos. Es por ello que se recomienda que el proceso de WebSEAL se ejecute en un entorno local que utilice pginas de cdigos con codificacin UTF-8. Es posible obtener registros UTF-8 cuando se utiliza un entorno local que no sea UTF-8. Utilice el tipo UTF8FILE en el archivo de rutas. Debe tener en cuenta que, cuando se produce una prdida de datos, la entrada del archivo de auditora contiene una serie de signos de interrogacin (????) en la ubicacin en la que ha surgido el problema de conversin de datos. Para obtener ms informacin, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
118
Auditora heredada
La auditora heredada se configura proporcionando un valor para cada uno de las claves siguientes:
[aznapi-configuration] logaudit auditlog auditcfg logsize logflush
La utilizacin de este mtodo es comparable a la del mtodo de registro de eventos, cuando se dirige la salida a un archivo. Sin embargo, tenga en cuenta que el mtodo de registro de eventos proporciona un control adicional sobre el tamao del bfer y las colas de eventos. Asimismo, la auditora heredada no da soporte a la salida a consolas, canalizaciones o servidores remotos.
La auditora heredada no da soporte a los valores de configuracin opcionales. Para obtener ms informacin sobre los valores de configuracin de la auditora heredada, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
Windows:
C:\Archivos de programa\Tivoli\PDWeb\www\log\
Los parmetros para configurar el registro HTTP estndar se encuentran en la stanza [logging] del archivo de configuracin de WebSEAL. La tabla siguiente muestra la relacin entre los archivos de registro HTTP y los parmetros del archivo de configuracin:
Captulo 4. Servicios y registro
119
Por ejemplo, la entrada de la ubicacin predeterminada del archivo request.log aparece de la siguiente manera: UNIX:
requests-file = /var/pdweb/www/log/request.log
Windows:
requests-file = \Archivos de programa\Tivoli\PDWeb\www\log\request.log
Se puede habilitar o inhabilitar cada registro de forma independiente. Si hay algn parmetro establecido en no, el registro se inhabilita para dicho archivo.
Cuando un archivo de registro alcanza el valor especificado (conocido como umbral de creacin), se realiza una copia de seguridad del archivo existente en un archivo con el mismo nombre y con la indicacin anexada de la fecha y la hora actuales. A continuacin se inicia un archivo de registro nuevo. Los distintos valores posibles de max-size se interpretan de la siguiente forma: v Si el valor de max-size es menor que cero (< 0), se crea un archivo de registro nuevo con cada invocacin del proceso de registro y cada 24 horas desde esa instancia.
120
v Si el valor de max-size es igual a cero (= 0), no se crea un nuevo registro y el archivo de registro crece indefinidamente. Si ya existe un archivo de registro, los datos nuevos se agregan a ste. v Si el valor de max-size es mayor que (> 0), se crea un nuevo registro cuando el archivo de registro alcanza el valor de umbral configurado. Si ya existe un archivo de registro en el inicio, los datos nuevos se agregan a ste.
Si especifica un valor negativo, se forzar un vaciado cada vez que se escriba un registro.
donde: host usuario_aut fecha solicitud estado bytes Especifica la direccin IP de la mquina que realiza la solicitud. Este campo contiene la informacin de identidad del usuario. El valor unauth se utiliza para un usuario no autenticado. Especifica la fecha y la hora de la solicitud. Especifica la primera lnea de la solicitud tal como ha llegado del cliente. Especifica el cdigo de estado HTTP enviado a la mquina que realiza la solicitud. Especifica el nmero de bytes devueltos a la mquina que realiza la solicitud. Este valorel tamao de contenido sin filtrar o un tamao cerose configura con el parmetro log-filtered-pages.
121
Esta informacin es til para realizar un seguimiento de vnculos externos a documentos del espacio web. El registro muestra que el origen indicado por el referente contiene un vnculo a un objeto de pgina. Este registro le permite realizar un seguimiento de vnculos obsoletos y ver quin crea vnculos a sus documentos. El ejemplo siguiente muestra una versin de un archivo referer.log:
http://manuel/maybam/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/pddl/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/ -> /pddl/index.html http://manuel/maybam/pddl/index.html -> /pics/tivoli_logo.gif http://manuel/maybam/ -> /pddl/index.html
122
123
/WebSEAL/nombre_instancia-host
Esta entrada de subdirectorio representa el inicio del espacio web para una instancia determinada de servidor WebSEAL. Las siguientes consideraciones de seguridad se aplican a este objeto: v El permiso traverse es necesario para el acceso a cualquier objeto situado por debajo de este punto v Si no aplica ninguna otra ACL explcita, este objeto define (a travs de la herencia) la poltica de seguridad para todo el espacio de objetos de esta mquina
/WebSEAL/nombre_instancia-host/archivo
Esta entrada de subdirectorio representa el objeto de recurso comprobado para el acceso HTTP. Los permisos comprobados dependern de la operacin que se solicite.
list
124
Durante la instalacin, esta ACL predeterminada se asocia al objeto contenedor /WebSEAL en el espacio de objetos. El grupo, webseal-servers, contiene una entrada para cada servidor WebSEAL en el dominio seguro. Los permisos predeterminados permiten a los servidores responder a las solicitudes del navegador. El permiso traverse permite la expansin del espacio web tal como se representa en Web Portal Manager. El permiso de listas permite a Web Portal Manager visualizar el contenido del espacio web.
Para obtener informacin detallada sobre cmo crear nombres de ACL, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin.
125
126
de sesin. Esta poltica funciona bien para configuraciones que implican un servidor WebSEAL. En una configuracin que implica mltiples servidores WebSEAL frontales con un mecanismo de equilibrio de carga, los resultados de la poltica se ven afectados por el hecho de que cada servidor WebSEAL mantiene su propia cuenta local de intentos fallidos de inicio de sesin. Por ejemplo, si el valor max-login-failures se establece en tres (3) intentos, y el cliente falla el primero, la cuenta de este servidor se bloquea. Sin embargo, cuando el cliente intenta iniciar la sesin de nuevo, el mecanismo de equilibrio de carga, que detecta un fallo de conexin con el primer servidor, redirecciona la solicitud a otro servidor WebSEAL replicado disponible. Ahora el cliente tiene otras tres oportunidades para intentar iniciar sesin. Para n intentos configurados en cada servidor WebSEAL, y m servidores WebSEAL replicados frontales, se garantiza el bloqueo de cuenta inicial en un servidor tras n intentos. Tambin se garantizan unos intentos totales de n x m para iniciar sesin en todos los servidores configurados. No obstante, tras n intentos, no est claro si los siguientes fallos de autenticacin se deben al bloqueo de un servidor concreto o a inicios de sesin incorrectos a travs de los servidores replicados restantes. El clculo de n x m proporciona un lmite superior fijo mximo en el nmero total de intentos de inicio de sesin consecutivos antes de que se produzca un bloqueo completo. Puede ocurrir que este nmero sea probablemente mucho menor que el nmero de intentos estadsticamente necesarios para romper una contrasea. Si su solucin de seguridad empresarial requiere una poltica de inicio de sesin de tres intentos, debe comprender las implicaciones de la configuracin WebSEAL frontal mltiple / de equilibrio de carga de esta poltica.
policy set max-login-failures {<nmero>|unset} [-user <nombre-usuario>] policy get max-login-failures [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de intentos de inicio de sesin fallidos permitidos antes de imponer una penalizacin. Este comando depende de un conjunto de penalizaciones en el comando policy set disable-time-interval. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El parmetro unset elimina los valores del usuario especificado. La poltica global se continuar aplicando. El valor predeterminado es 10 intentos. policy set disable-time-interval {<nmero>|unset|disable} [-user <nombre-usuario>] policy get disable-time-interval [-user <nombre-usuario>]
127
Comando
Descripcin Gestiona la poltica de penalizaciones controlando el periodo de tiempo que debe inhabilitarse una cuenta si se ha alcanzado el nmero mximo de intentos de inicio de sesin fallidos. Como administrador, puede aplicar esta poltica de penalizaciones a un usuario especfico o bien de forma global a todos los usuarios listados en el registro LDAP. El parmetro unset elimina los valores del usuario especificado. La poltica global se continuar aplicando. El valor predeterminado es 180 segundos.
128
policy set min-password-length {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-length [-user <nombre-usuario>] Gestiona la poltica controlando la longitud mnima de una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 8. policy set min-password-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-alphas [-user <nombre-usuario>]
129
Comando
Descripcin Gestiona la poltica controlando el nmero mnimo de caracteres alfabticos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 4.
policy set min-password-non-alphas {<nmero>|unset} [-user <nombre-usuario>] policy get min-password-non-alphas [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mnimo de caracteres no alfabticos (numricos) permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 1. policy set max-password-repeated-chars {<nmero>|unset} [-user <nombre-usuario>] policy get max-password-repeated-chars [-user <nombre-usuario>] Gestiona la poltica controlando el nmero mximo de caracteres repetidos permitidos en una contrasea. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es 2. policy set password-spaces {yes|no|unset} [-user <nombre-usuario>] policy get password-spaces [-user <nombre-usuario>] Gestiona la poltica controlando si una contrasea puede contener espacios. Como administrador, puede aplicar esta poltica a un usuario especfico o bien de forma global a todos los usuarios listados en el registro predeterminado. El valor predeterminado es unset (no establecido).
130
Para crear el comportamiento de la poltica de contraseas en releases anteriores de Tivoli Access Manager, aplique la opcin unset a cada uno de los cinco parmetros de contraseas que se mencionan anteriormente.
(El usuario matt tiene una poltica de longitud mnima de la contrasea de 4 caracteres; los dems usuarios tienen una poltica de longitud mnima de la contrasea de 8 caracteres.)
pdadmin> policy set min-password-length unset -user matt
(El usuario matt ahora se rige por la poltica de longitud mnima de la contrasea global de 8 caracteres.)
pdadmin> policy set min-password-length unset
(Todos los usuarios, incluido el usuario matt, ahora no tienen ninguna poltica de longitud mnima de la contrasea.)
131
132
Los usuarios pueden cambiar la intensidad de la autenticacin varias veces por sesin de autenticacin. Cuando un usuario aumenta la intensidad de la autenticacin, puede pasar directamente a cualquier nivel que sea superior a su nivel actual. A continuacin se indican mtodos de autenticacin a los que puede asignarse un nivel de autenticacin: v no autenticado v autenticacin de contraseas Este cubre la autenticacin bsica y la autenticacin de formularios. Ambos mtodos se implementan mediante la misma biblioteca compartida e integrada de WebSEAL. v autenticacin de seal v autenticacin de certificado La intensidad de la autenticacin se soporta tanto a travs de HTTP como a travs de HTTPS, con la excepcin de la autenticacin de certificado. Dado que los certificados slo son vlidos a travs de una conexin SSL, no es posible solicitar certificados a travs de HTTP. Si se solicita a travs de HTTP un objeto que requiere autenticacin de certificado, se muestra una pgina de error, segn especifique la entrada certstepup de la stanza [acnt-mgt] del archivo de configuracin de WebSEAL. Para aplicar los niveles de autenticacin a un recurso protegido, los administradores declaran y asocian una poltica de objetos protegidos (POP) de Tivoli Access Manager al objeto del recurso. La poltica POP es una poltica POP de Tivoli Access Manager estndar. La poltica de intensidad de la autenticacin se define y almacena en un atributo POP denominado Mtodo de autenticacin de punto final IP. El atributo toma un valor entero que representa el nivel de autenticacin. El nivel ms bajo, no autenticado, siempre es 0. Cada nivel aumenta el ndice entero hasta el nmero total de mtodos de autenticacin a los que se ha asignado un nivel. Cuando los clientes se autentican por primera vez en WebSEAL, el mtodo de autenticacin utilizado se almacena como atributo ampliado en la credencial del cliente. El servicio de autenticacin de Tivoli Access Manager compara el mtodo (nivel) de autenticacin en la credencial con el nivel de autenticacin para el recurso solicitado, como se especifica en la poltica POP. Cuando el nivel de la poltica POP sobrepasa el nivel de la credencial, se solicita al usuario que aumente el nivel de intensidad de autenticacin. Si lo desea, tambin puede utilizar el atributo Mtodo de autenticacin de punto final IP para restringir el acceso a un recurso, en funcin de la direccin de red del cliente que ha enviado la solicitud de acceso. El acceso puede restringirse en funcin de una direccin de red (IP) individual o un rango de direcciones IP. WebSEAL utiliza el siguiente algoritmo para procesar las condiciones de una poltica POP: 1. Se comprueba la poltica de mtodo de autenticacin de punto final de IP de la poltica POP. 2. Se comprueban los permisos ACL. 3. Se comprueba la poltica de acceso segn la hora del da de la poltica POP. 4. Se comprueba la poltica de nivel de auditora de la poltica POP.
Captulo 5. Poltica de seguridad de WebSEAL
133
134
La entrada level = unauthenticated siempre debe ser la primera de la lista. Las dems entradas pueden especificarse en cualquier orden. Por ejemplo, para habilitar los niveles de intensidad de la autenticacin para la autenticacin de certificado en el nivel ms alto, la entrada completa de la stanza debera ser la siguiente:
[authentication-levels] level = unauthenticated level = password level = certificate
Nota: Slo debe haber una entrada para cada mecanismo de autenticacin. 2. Verifique que todos los mtodos de autenticacin listados en la stanza [authentication-levels] estn habilitados. Para determinar si un mtodo de autenticacin est habilitado, compruebe las entradas correspondientes en el archivo de configuracin de WebSEAL. Para revisar las entradas necesarias y acceder a las instrucciones de configuracin de la autenticacin, consulte los apartados siguientes: v Habilitacin e inhabilitacin de la autenticacin bsica en la pgina 160 v Habilitacin e inhabilitacin de la autenticacin de formularios en la pgina 162 v Habilite la autenticacin de seal en la pgina 179. v Habilite la autenticacin de certificado en la pgina 167 Nota: La autenticacin bsica est habilitada de forma predeterminada.
Efecte los pasos siguientes: 1. Especifique el nombre del formulario de inicio de sesin de intensidad de autenticacin. Para utilizar la ubicacin predeterminada para el formulario, verifique que la entrada del archivo de configuracin de WebSEAL para stepup-login contiene el valor predeterminado, stepuplogin.html. 2. Si lo desea, puede personalizar el contenido del formulario de inicio de sesin de intensidad de la autenticacin.
Captulo 5. Poltica de seguridad de WebSEAL
135
Este archivo contiene macros, en forma de secuencias %TEXTO%, que se sustituyen por los valores apropiados. Esta sustitucin se produce en las funciones de proceso del archivo de plantilla de WebSEAL y permite el uso del formulario para los mtodos de autenticacin soportados con el formato correcto. Asimismo, permite proporcionar otra informacin, como el mensaje de error y el nombre del mtodo de autenticacin, que debe indicarse en el formulario para el usuario. Para obtener ms informacin sobre el uso de macros, consulte el apartado Soporte para macros de las pginas de gestin de cuentas en la pgina 99. La configuracin de los niveles de intensidad de autenticacin ha finalizado.
3. Observe los valores predeterminados de la poltica POP para el atributo Poltica de mtodos de autenticacin de punto final de IP.
... ... Poltica de mtodos de autenticacin de punto final de IP Cualquier otra red 0 ...
El atributo Poltica de mtodos de autenticacin de punto final de IP se utiliza para especificar dos atributos distintos: v Nivel de intensidad de autenticacin El valor predeterminado es 0. v Poltica de acceso basada en la red El valor predeterminado es Cualquier otra red. 4. Utilice pdadmin pop modify para modificar el atributo Poltica de mtodos de autenticacin de punto final de IP para especificar el nivel de intensidad de autenticacin que desea aplicar a los recursos identificados en el apartado Establezca la poltica de intensidad de autenticacin en la pgina 134. La sintaxis es la siguiente:
pdadmin> pop modify nombre-pop set ipauth anyothernw ndice-nivel
El valor de ndice-nivel es un nmero entero. El valor predeterminado es 0, que se correlaciona con el nivel de intensidad de autenticacin no autenticado.
136
Especifique el ndice que corresponde al nivel de intensidad de autenticacin necesario. Para determinar el valor de ndice-nivel correcto, examine la stanza [authentication-level] del archivo de configuracin de WebSEAL. Por ejemplo:
[authentication-levels] level = unauthenticated level = password level = certificate
En la tabla siguiente se describen los valores de ndice para esta entrada anterior:
Tabla 20. Valores enteros de ejemplo para los niveles de intensidad de autenticacin Mtodo de autenticacin no autenticado contrasea certificado Valor de ndice 0 1 2
Por ejemplo, para agregar el nivel de intensidad de autenticacin de contraseas (valor de ndice 1) a la poltica POP test, especifique lo siguiente:
pdadmin> pop modify test set ipauth anyothernw 1
Nota: En el ejemplo anterior, los nicos valores de ndice vlido son: 0,1,2. Si se configura otro valor de ndice, WebSEAL presenta una pgina de error cuando un cliente solicita un objeto que tiene la poltica POP asociada.
137
accesos de usuario, independientemente de la direccin IP del solicitante, y requiere que todos los usuarios se autentiquen en el nivel especificado. La sintaxis es la siguiente:
pdadmin> pop modify nombre-pop set ipauth anyothernw ndice_nivel
Por ejemplo, en el apartado Cree una poltica de objetos protegidos en la pgina 136 anterior, el comando siguiente ha creado una poltica POP que requera que todos los usuarios se autenticaran en el nivel de autenticacin 1, y no impona ningn requisito de acceso basado en la red:
pdadmin> pop modify test set ipauth anyothernw 1
Pueden aplicarse las siguientes restricciones de acceso basadas en la red: v Requerir un nivel de intensidad de autenticacin especfico cuando la direccin IP del cliente solicitante se encuentra dentro del rango de direcciones IP definido. Sintaxis:
pdadmin> pop modify nombre_pop set ipauth add red mscara_red nivel_ndice
Observe que el comando pdadmin pop modify set ipauth add especifica las direcciones de red y el nivel de autenticacin necesario en el atributo Mtodo de autenticacin de punto final IP. Por ejemplo, para solicitar que los usuarios del rango de direcciones IP 9.1.2.[0255] utilicen el nivel de intensidad de autenticacin 1:
pdadmin> pop modify test set ipauth add 9.1.2.1 255.255.255.0 1
Observe que el valor especificado para la mscara de red determina el rango de direcciones de red afectado. El nmero 0 de la mscara de red sirve como comodn para indicar todas las direcciones IP de dicha subred. Consulte el ejemplo siguiente.
Tabla 21. Uso de la mscara de red para especificar un rango de red Ejemplo de uso Direccin IP 9.1.2.3 9.1.2.3 9.1.2.3 Mscara de red 255.255.255.0 255.255.0.0 255.0.0.0 Rango de red afectado 9.1.2.[0255] 9.1.[0255].[0255] 9.[0255].[0255].[0255]
v Requerir que las solicitudes de una direccin IP especfica utilicen un nivel de intensidad de autenticacin determinado. Por ejemplo, para requerir que las solicitudes de la direccin IP 9.1.2.3 utilicen el nivel de intensidad de autenticacin 1:
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.255 1
Para requerir que las solicitudes de todas las direcciones IP de la subred 9.1.2.x utilicen el nivel de intensidad de autenticacin 1:
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.0 1
v Inhabilitar el uso del incremento de nivel de intensidad de autenticacin de todas las solicitudes de un rango de direcciones de red. La sintaxis es la siguiente:
138
Por ejemplo, para inhabilitar todas las solicitudes del rango de direcciones IP de la subred 9.1.2.x:
pdadmin> pop modify test set ipauth remove 9.1.2.1 255.255.255.0
v Permitir el acceso al recurso protegido en funcin nicamente de la direccin IP, o rango de direcciones IP, independientemente del nivel de intensidad de autenticacin. Esta restriccin se aplica especificando la direccin o direcciones IP y asignando un nivel de autenticacin (0). Por ejemplo, para permitir solicitudes de la direccin IP 9.1.2.3, independientemente del nivel de intensidad de autenticacin:
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.255 0
Del mismo modo, para permitir solicitudes de todas las direcciones IP de la subred 9.1.2.x, independientemente del nivel de intensidad de autenticacin:
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.0 0
v Denegar el acceso en funcin nicamente de la direccin IP, o rango de direcciones IP, independientemente del nivel de intensidad de autenticacin. Esta restriccin se aplica utilizando la palabra clave forbidden como parmetro final. Por ejemplo, para restringir slo el acceso al recurso protegido del cliente de la direccin IP 9.1.2.3:
pdadmin> pop modify test set ipauth 9.1.2.3 255.255.255.255 forbidden
Del mismo modo, para restringir todas las solicitudes de todas las direcciones IP de la subred 9.1.2.x para el acceso al recurso:
pdadmin> pop modify test set ipauth 9.1.2.3 255.255.255.0 forbidden
v Evitar que las solicitudes de todas las direcciones IP accedan al objeto protegido, a menos que un comando pop modify set ipauth add haya habilitado la direccin IP. Por ejemplo, en un caso de uso anterior, se requera que un rango de direcciones IP accediera al recurso protegido utilizando el nivel de intensidad de autenticacin 1:
pdadmin> pop modify test set ipauth add 9.1.2.3 255.255.255.0 1
El administrador puede, adems, especificar que se denieguen las solicitudes de todas las dems direcciones IP, independientemente del nivel de intensidad de autenticacin, en el siguiente comando pdadmin:
pdadmin> pop modify test set ipauth anyothernw forbidden
La opcin anyothernw significa cualquier otra direccin de red y la opcin forbidden aplica la poltica de denegacin.
Por ejemplo, una poltica de autenticacin para un despliegue de WebSEAL podra definirse del siguiente modo: v El despliegue utilizar autenticacin de formularios y autenticacin de certificado. La autenticacin de formularios es el primer nivel de intensidad de autenticacin (1) y la autenticacin de certificado es el segundo (ms intenso) nivel de autenticacin (2).
Captulo 5. Poltica de seguridad de WebSEAL
139
v Los usuarios deben autenticarse utilizando la autenticacin de formularios o una autenticacin ms intensa para acceder al siguiente recurso protegido (una unin de WebSEAL):
/WebSEAL/hostA/junction
v Los usuarios deben autenticarse utilizando la autenticacin de certificado para acceder al siguiente recurso protegido (una aplicacin):
/WebSEAL/hostA/junction/aplicacinA
Para implementar esta poltica, deben llevarse a cabo los pasos de configuracin siguientes. 1. Modifique el archivo de configuracin de WebSEAL para otorgar a la autenticacin de formularios la intensidad de autenticacin 1, y a la autenticacin de certificado, la intensidad 2:
[authentication-levels] level = unauthenticated level = password level = ssl
Nota: Para obtener ms informacin sobre la administracin de polticas POP, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin. Para obtener informacin sobre la sintaxis de pdadmin, consulte la publicacin IBM Tivoli Access Manager for e-business Command Reference.
140
Cuando el nivel de calidad de proteccin (QOP) se establece en integrity o privacy, WebSEAL requiere el cifrado de datos mediante la utilizacin de SSL (Secure Socket Layer). Por ejemplo:
pdadmin> pop modify test set qop privacy
141
Para obligar al usuario no autenticado a iniciar una sesin, elimine el permiso read (r) de la entrada no autenticada de la poltica de ACL que protege el objeto. El usuario recibir una solicitud de inicio de sesin (basado en formularios o BA).
142
Captulo 6. Autenticacin
En este captulo se describe cmo WebSEAL mantiene el estado de la sesin y controla el proceso de autenticacin. Una autenticacin correcta produce una identidad de Tivoli Access Manager que representa al usuario. WebSEAL utiliza esta identidad para adquirir las credenciales para este usuario. El servicio de autorizaciones utiliza las credenciales para permitir o denegar el acceso a los recursos protegidos. ndice de temas: v Visin general del proceso de autenticacin en la pgina 144 v Gestin del estado de la sesin en la pgina 146 v v v v v v v v v v Visin general de la configuracin de autenticacin en la pgina 155 Autenticacin bsica en la pgina 160 Autenticacin de formularios en la pgina 162 Autenticacin de certificado de cliente en la pgina 164 Autenticacin de cabeceras HTTP en la pgina 172 Autenticacin de direcciones IP en la pgina 175 Autenticacin de seal en la pgina 176 Autenticacin de migracin tras error en la pgina 183 Protocolo SPNEGO y autenticacin Kerberos en la pgina 202 Agentes proxy multiplexor en la pgina 203
143
144
En la tabla siguiente se indican los mtodos de autenticacin que soporta WebSEAL para la adquisicin de credenciales. Cuando WebSEAL examina una solicitud de cliente, busca los datos de autenticacin en el orden especificado en esta tabla.
Mtodo de autenticacin 1. Cookie de migracin tras error 2. Seal de ID de CDSSO 3. Certificado de cliente 4. Cdigo de paso de seal 5. Autenticacin de formularios (nombre de usuario y contrasea) 6. SPNEGO (Kerberos) 7. Autenticacin bsica (nombre de usuario y contrasea) 8. Cabeceras HTTP 9. Direccin IP Tipo de conexin soportado HTTP y HTTPS HTTP y HTTPS HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS HTTP y HTTPS
Los mtodos de autenticacin se pueden habilitar e inhabilitar de manera independiente para los transportes HTTP y HTTPS. Si no se habilita ningn mtodo de autenticacin para un transporte determinado, el proceso de autenticacin estar desactivado para los clientes que utilicen ese transporte.
Captulo 6. Autenticacin
145
146
La informacin de credenciales se guarda en la cach para eliminar las consultas repetitivas a la base de datos de registro de usuarios durante las comprobaciones de autorizaciones. v Cach de ID de sesin SSL de GSKit La cach de sesin de GSKit maneja la comunicacin HTTPS (SSL) cuando se utiliza la informacin de ID de sesin SSL para mantener el estado de la sesin. La cach de GSKit tambin mantiene la informacin de estado de la sesin para la conexin SSL entre WebSEAL y el registro de usuarios de LDAP.
El tiempo de espera predeterminado de la sesin SSL V3 (en segundos) es 7200 (con un valor posible entre 1 y 86400):
[ssl] ssl-v3-timeout = 7200
Para obtener informacin sobre el rendimiento, consulte la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
147
v v v v
Definicin del valor mximo de entradas simultneas Definicin del valor de tiempo de espera de duracin de la entrada de cach Definicin del valor del tiempo de espera de inactividad de entrada de cach Limitacin de la cach de credenciales en la pgina 149
Para obtener informacin sobre el rendimiento, consulte la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
Nota: Este parmetro no es apropiado para la autenticacin bsica (BA). La BA proporciona datos de autenticacin con cada solicitud y, en consecuencia, restablece repetidamente el valor de tiempo de espera.
148
Para inhabilitar esta funcin de tiempo de espera, establezca el valor del parmetro en 0. Nota: Este parmetro no es apropiado para la autenticacin bsica (BA). La BA proporciona datos de autenticacin con cada peticin y, en consecuencia, restablece repetidamente el valor de tiempo de espera inactivo.
Captulo 6. Autenticacin
149
Adems, la cookie de sesin contiene slo un nmero de identificador aleatorio que se utiliza para el ndice de la cach de sesin del servidor. No hay ms informacin expuesta en la cookie de la sesin, ya que sta no puede comprometer la poltica de seguridad.
150
Nota: El navegador Opera, en su configuracin predeterminada, no mantiene los ID de SSL entre distintas conexiones SSL. Si se utiliza este navegador, el parmetro ssl-id-sessions debe establecerse en no. Un valor de configuracin no para este parmetro da como resultado las siguientes condiciones en los clientes que acceden mediante HTTPS: v El ID de sesin SSL no se utiliza nunca como informacin de ID de sesin. v Las cookies se utilizarn para mantener las sesiones con los clientes que se autentiquen con cookies de migracin tras error, seales de ID de CDSSO, nombre de usuario y contrasea de formularios, cdigo de paso de seal y certificados de clientes. v Para clientes de autenticacin bsica (BA), se utiliza una cookie para mantener las sesiones en todas las configuraciones, excepto en una: si un cliente se conecta a travs de HTTPS y presenta los valores ssl-id-sessions = yes y use-same-session = no, se utiliza el ID de SSL para mantener la sesin. v La cabecera HTTP se utiliza como informacin de ID de sesin en los clientes que se autentican con cabeceras HTTP. v La direccin IP se utiliza como informacin de ID de sesin en los clientes que se autentican con direcciones IP. Cuando ssl-id-sessions est establecido en yes, varios valores distintos determinan el tiempo de espera de la sesin. El tiempo de espera de la duracin de la entrada de cach de sesin se establece en la entrada timeout de la stanza [session] y el tiempo de espera de inactividad de sesin se establece en inactive-timeout de la misma stanza. Los tiempos de espera de SSL se establecen en la stanza [ssl], donde se declaran ssl-v2timeout y ssl-v3timeout. Por lo tanto, cuando ssl-id-sessions = yes, el tiempo de espera se establece en el menor de los valores de cada uno de los siguientes tiempos de espera:
[session] timeout inactive-timeout [ssl] ssl-v2-timeout ssl-v3-timeout
Si se utilizan cookies para mantener el estado de la sesin, la cookie se enva slo una vez al navegador, despus de iniciar la sesin correctamente. No obstante, algunos navegadores imponen un lmite al nmero de cookies en memoria que pueden almacenar simultneamente. En algunos entornos, las aplicaciones pueden colocar un gran nmero de cookies en memoria por dominio en los sistemas cliente. En este caso, cualquier cookie configurada de sesin de WebSEAL o de migracin tras error se puede sustituir fcilmente por otra cookie.
Captulo 6. Autenticacin
151
Cuando se configura WebSEAL para utilizar cookies de sesin (y quizs cookies de migracin tras error), se puede configurar el parmetro resend-webseal-cookies, que se encuentra en la stanza [session] del archivo de configuracin de WebSEAL, para que WebSEAL enve la cookie de la sesin y la cookie de migracin tras error al navegador con cada respuesta. Esta accin permite asegurar que la cookie de sesin y la cookie de migracin tras error permanecen en la memoria del navegador. El parmetro resend-webseal-cookies tiene un valor predeterminado de no:
[session] resend-webseal-cookies = no
Cambie el valor predeterminado a yes para enviar cookies de sesin de WebSEAL y cookies de migracin tras error con cada respuesta.
Un valor de configuracin yes para este parmetro da como resultado las siguientes condiciones: v Las cookies de sesin se utilizan para identificar los siguientes tipos de clientes en las conexiones posteriores mediante otro transporte: Cookies de migracin tras error Certificados de cliente Seal CDSSO ID Cdigo de paso de seal Nombre de usuario y contrasea de formularios autenticacin bsica v La cabecera HTTP se utiliza para los clientes que acceden con cabeceras HTTP. v La direccin IP se utiliza para los clientes que acceden con direcciones IP. v La configuracin ssl-id-sessions se omite; el comportamiento que se obtiene es el mismo que si se estableciera ssl-id-sessions en no. Esta lgica es importante porque los clientes HTTP no tienen un ID de sesin SSL disponible como datos de sesin. v Como las cookies estn disponibles para los clientes HTTP y HTTPS, no se etiquetan como cookies seguras.
152
Explicacin: Cuando WebSEAL est configurado para los puertos HTTP/HTTPS predeterminados, y el nmero de puerto no se incluye en la direccin URL, la solicitud se realiza correctamente. Las solicitudes fallan cuando WebSEAL est configurado en puertos no predeterminados y la opcin de configuracin use-same-session = yes est habilitada. Netscape 4.7x no considera que los nombres de host que tienen nmeros de puerto que no son estndar se encuentran en el mismo dominio que los que tienen nmeros de puerto distintos. Por ejemplo, cuando accede a https://nombre_host:443, WebSEAL establece una cookie. Si, posteriormente, accede a http://nombre_host:80, Netscape no enva la cookie porque dominio:80 no es lo mismo que dominio:443. Solucin temporal: Actualice Netscape Navigator a la versin 6.2 o posterior.
Mtodo de autenticacin Cookie de migracin tras error Certificados CDSSO Seal Formularios BA Cabecera HTTP Direccin IP
ssl-id-sessions = yes ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL ID de SSL
Captulo 6. Autenticacin
153
Clientes HTTP Mtodo de autenticacin Cookie de migracin tras error CDSSO Seal Formularios BA Cabecera HTTP Direccin IP use-same-session = no Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP use-same-session = yes Cookie Cookie Cookie Cookie Cookie Cabecera HTTP Direccin IP
154
Captulo 6. Autenticacin
155
Tabla 22. Tipos de biblioteca de autenticacin especificados en el archivo de configuracin de WebSEAL (continuacin) failover-password Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin bsica o la autenticacin de formularios. Biblioteca que implementa la autenticacin de cookies de migracin tras error para autenticacin de tarjeta de seal. Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin de certificado. Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin de cabecera HTTP o la autenticacin de direccin IP. Biblioteca que implementa la autenticacin de cookies de migracin tras error para la autenticacin de inicio de sesin nico entre dominios. Biblioteca que aplica polticas personalizadas de autenticacin de intensidad de las contraseas. Mdulo de autenticacin personalizado que se utiliza para proporcionar datos de atributos ampliados a la credencial de usuario.
failover-cdsso
passwd-strength cred-ext-attrs
Puede utilizar la stanza [authentication-mechanisms] para configurar el mtodo de autenticacin y la implementacin en el siguiente formato:
entrada_mtodo_autenticacin = biblioteca_compartida_incorporada
156
Para configurar otros mtodos de autenticacin, agregue el parmetro apropiado con su biblioteca compartida (o mdulo CDAS).
157
pkmslogout
Los clientes pueden utilizar el comando pkmslogout para finalizar la sesin actual si utilizan un mtodo de autenticacin que no proporciona datos de autenticacin con cada solicitud. Por ejemplo, pkmslogout no funciona en clientes que utilizan la autenticacin bsica, la autenticacin de certificado o la autenticacin de direccin IP. En este caso, se debe cerrar el navegador para finalizar la sesin. El comando pkmslogout es adecuado para la autenticacin a travs del cdigo de paso de seal, la autenticacin de formularios y determinadas implementaciones de la autenticacin de cabeceras HTTP. Ejecute el comando como se describe a continuacin:
https://www.tivoli.com/pkmslogout
Puede modificar el archivo logout.html para que se ajuste a sus requisitos. la utilidad pkmslogout tambin da soporte a varias pginas de respuesta de fin de sesin cuando la arquitectura de la red requiere diversas pantallas de salida para los usuarios que finalizan la sesin en sistemas de fondo distintos. La siguiente expresin identifica un archivo de respuesta especfico:
https://www.tivoli.com/pkmslogout?filename=<archivo_fin_sesin_personalizado>
158
donde archivo_fin_sesin_personalizado es el nombre de archivo de respuesta del fin de sesin. Este archivo debe residir en el mismo directorio lib/html/C que contiene el archivo predeterminado logout.html y ejemplos de otros formularios HTML de respuesta.
pkmspasswd
Puede utilizar este comando para cambiar la contrasea de inicio de sesin cuando se utiliza la autenticacin bsica (BA) o la autenticacin de formularios. Este comando es apropiado a travs de HTTP o HTTPS. Por ejemplo:
https://www.tivoli.com/pkmspasswd
Para garantizar la mxima seguridad cuando se utilice BA con WebSEAL, este comando se comporta de la siguiente forma para un cliente BA: 1. Se cambia la contrasea. 2. Finaliza la sesin del usuario del cliente. 3. Cuando el cliente realiza una solicitud adicional, el navegador presenta al cliente una solicitud de BA. 4. El cliente debe volver a iniciar la sesin para continuar realizando solicitudes. Este ejemplo slo se aplica a los clientes que utilizan la autenticacin bsica.
Captulo 6. Autenticacin
159
Autenticacin bsica
La autenticacin bsica (BA) es un mtodo estndar para proporcionar un nombre de usuario y una contrasea al mecanismo de autenticacin. El protocolo HTTP define la BA y se puede implementar a travs de HTTP y de HTTPS. WebSEAL se configura de forma predeterminada para la autenticacin a travs de HTTPS mediante la autenticacin bsica (BA) de nombre de usuario y de contrasea.
160
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
[authentication-mechanisms] passwd-ldap = ldapauthn.dll
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitirn los valores de la autenticacin bsica para dicho transporte.
Captulo 6. Autenticacin
161
Autenticacin de formularios
Tivoli Access Manager proporciona la autenticacin de formularios como una alternativa al mecanismo de autenticacin bsica estndar. Este mtodo genera un formulario de inicio de sesin HTML personalizado de Tivoli Access Manager en lugar de la solicitud de inicio de sesin estndar que se obtiene en una tentativa de autenticacin bsica. Cuando se utiliza el inicio de sesin basado en formularios, el navegador no almacena en la cach la informacin de nombre de usuario y contrasea, como lo hace la autenticacin bsica.
Puede configurar el mecanismo de autenticacin del nombre de usuario y la contrasea especificando el parmetro passwd-ldap con el nombre especfico para la plataforma del archivo de biblioteca compartida en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] passwd-ldap = libldapauthn.so
Windows:
162
Condiciones de configuracin
Si se habilita la autenticacin de formularios para un transporte determinado, se omitirn los valores de la autenticacin bsica para dicho transporte.
Puede personalizar el contenido y el diseo de este formulario. Para obtener informacin detallada acerca de los formularios HTML disponibles que se pueden personalizar, consulte el apartado Gestin de pginas personalizadas de gestin de cuentas en la pgina 98.
Captulo 6. Autenticacin
163
164
se describe en el contenido de una lista de control de accesos (ACL) o en la poltica de objetos protegidos (POP) que se ha asociado al recurso protegido. Si la poltica de seguridad no requiere la autenticacin de certificado, WebSEAL no solicita ningn certificado digital de cliente. Si la poltica de seguridad s que requiere la autenticacin de certificado, WebSEAL solicita el certificado de cliente. En esta modalidad, no es posible utilizar el ID de SSL para realizar un seguimiento de la actividad de la sesin del usuario ya que la sesin SSL se negociar de nuevo cuando sea necesario realizar una autenticacin con certificados. Cuando se lleva a cabo la autenticacin de certificado, WebSEAL agrega el ID de SSL para la sesin actual en la cach de ID de SSL de certificado (renegociacin). La autenticacin de certificado con demora se utiliza en dos casos, en funcin del estado de autenticacin del usuario en el momento en que WebSEAL solicita el certificado del cliente. En ambos casos, un cliente puede tener un nmero ilimitado de intercambios con un servidor WebSEAL antes de establecer la necesidad de realizar la autenticacin mediante certificados. Los dos casos son los siguientes: v El usuario no est autenticado En este caso, el cliente permanece sin autenticar porque el cliente no intenta acceder a ningn recurso que precise autenticacin. Si llega el momento en que el cliente intenta acceder a un recurso que requiere autenticacin debido a una ACL, WebSEAL presenta una pgina de inicio de sesin de certificado y el cliente puede iniciar la transferencia del certificado. WebSEAL mantiene la entrada en la cach de la sesin para el usuario no autenticado, pero obtiene un nuevo ID de SSL de GSKit. Cuando el usuario se autentica correctamente, WebSEAL sustituye las credenciales de usuario antiguas sin autenticar de los datos de la cach de la sesin por las credenciales de usuario nuevas. El usuario pasa a estar autenticado y puede solicitar acceso a travs de HTTPS a recursos que requieren autenticacin. v El usuario se ha autenticado con anterioridad utilizando otro mtodo de autenticacin En este caso, se solicit al cliente que se autenticara ante Tivoli Access Manager durante los intercambios anteriores con WebSEAL. La autenticacin anterior se llev a cabo mediante un mtodo de autenticacin distinto, como por ejemplo la autenticacin de formularios o la autenticacin de seal. Llega un momento en que el cliente intenta acceder a un recurso que est protegido por una poltica de objetos protegidos (POP) que requiere la autenticacin del certificado del cliente para otorgar el acceso al recurso. WebSEAL examina la poltica de intensidad de la autenticacin actual de WebSEAL para determinar la clasificacin de los mtodos de autenticacin habilitados. La poltica de intensidad de la autenticacin clasifica los mtodos en una jerarqua de ms a menos intenso. Cuando la autenticacin del certificado se clasifica en una posicin ms intensa que el mtodo de autenticacin actual del cliente, WebSEAL presenta al cliente una pgina de inicio de sesin con un formulario para la autenticacin del certificado. Cuando el cliente se autentica correctamente utilizando un certificado, el nivel de intensidad de autenticacin del cliente aumenta durante la vigencia de la sesin actual. WebSEAL retiene la entrada del usuario en la cach de la sesin, pero obtiene un nuevo ID de SSL de GSKit. WebSEAL
Captulo 6. Autenticacin
165
modifica los datos de usuario en la entrada del usuario reemplazando las credenciales antiguas del usuario (que se basaban en el mtodo de autenticacin anterior del usuario) por las credenciales de usuario nuevas. La funcin de intensidad de autenticacin de WebSEAL permite a un usuario cambiar de nivel de autenticacin durante una sesin. La autenticacin de certificado es uno de los niveles de autenticacin a los que se puede acceder cuando un usuario necesita aumentar (incrementar) el nivel de autenticacin para poder acceder a recursos de objeto protegidos. Para que un usuario pueda ascender a un nivel de autenticacin de certificado, los administradores deben modificar el archivo de configuracin de WebSEAL para incluir la autenticacin de certificado en la lista de niveles soportados para la intensidad de autenticacin. Para obtener instrucciones sobre la configuracin de la intensidad de la autenticacin, consulte el apartado Poltica de intensidad de autenticacin en la pgina 132.
166
Captulo 6. Autenticacin
167
Descripcin El cliente debe utilizar la autenticacin basada en certificado. WebSEAL solicita a los clientes un certificado X.509. Si el cliente no presenta ningn certificado, WebSEAL no permite establecer la conexin.
accept-client-certs = prompt_as_needed
No es necesario que el cliente se autentique con un certificado al iniciar la sesin. El cliente puede iniciar la autenticacin de certificado ms adelante. Este valor habilita la autenticacin de certificado con demora.
Por ejemplo, para solicitar a los usuarios un certificado de cliente slo en el caso en que el cliente se encuentra con un recurso que requiere autenticacin de certificado, escriba lo siguiente:
[certificate] accept-client-certs = prompt_as_needed
Debe tener en cuenta que este valor se utiliza cuando se implementa una poltica de intensidad de autenticacin (incremental) para la autenticacin de certificado. 2. Si accept-client-certs est establecido en optional o en required, omita este paso y contine con el siguiente.
Consulte tambin: v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461
168
Nota: En este caso, no es posible utilizar los ID de SSL para mantener las sesiones de usuario porque, cuando se solicita un certificado al usuario, el ID de SSL del usuario cambiar. Si ssl-id-sessions est establecido en yes, WebSEAL genera un mensaje de error al iniciar la sesin y al concluirla.
Captulo 6. Autenticacin
169
El valor corresponde al nmero mximo de autenticaciones de certificado simultneas. El valor predeterminado es una cuarta parte del nmero predeterminado de entradas de la cach de ID de SSL. (La mayor parte de las sesiones SSL no requieren inicios de sesin de certificado o slo requerirn la autenticacin de certificado una vez por sesin.) El nmero de entradas en la cach de ID de SSL se establece en la stanza [ssl]:
[ssl] ssl-max-entries = 4096
Por consiguiente, el valor predeterminado para cert-cache-max-entries es 1024, que es una cuarta parte del valor predeterminado para ssl-max-entries, que es 4096. Nota: La mayor parte de las solicitudes de cliente para WebSEAL se producen a travs de conexiones SSL, y todas las solicitudes que se realizan a travs de conexiones SSL sin certificados deben verificar la cach. Por consiguiente, mantener un tamao reducido de la cach puede aumentar el rendimiento de forma significativa.
El valor es el tiempo de permanencia mximo de una entrada en la cach, expresado en nmero de segundos. Utilice el valor predeterminado a menos que las condiciones merezcan un cambio. Los motivos posibles que pueden conducir a modificar el valor son: v En los sistemas que presentan restricciones de memoria, puede ser necesario reducir el tiempo de caducidad. v Puede ser necesario aumentar el tiempo de caducidad si existe un lapso notable entre el momento en que el usuario inicia la transferencia de un certificado y el momento en que el usuario realmente enva el certificado. v Los valores ms bajos borran la cach con mayor prontitud si no se requieren autenticaciones de certificados. Esto permite liberar memoria del sistema.
170
Captulo 6. Autenticacin
171
172
Puede modificar la biblioteca de mdulos de autenticacin de cabeceras HTTP para soportar otros tipos de cabecera. Para ello, debe reemplazar la biblioteca existente por su propia implementacin de la misma. Para obtener ms informacin sobre cmo escribir sus propios mdulos de autenticacin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference. Cuando escriba su propio mdulo de autenticacin para soportar otros tipos de cabecera, agregue una entrada al archivo de configuracin para cada tipo adicional soportado:
[auth-headers] header = nombre_cabecera
Nota: WebSEAL slo procesa la primera cabecera que encuentra en la solicitud del usuario que coincide con algunos de los valores configurados en la stanza [auth-headers]. El mecanismo de autenticacin de cabeceras HTTP no est diseado para gestionar ms de una cabecera HTTP en una solicitud.
173
3. De forma predeterminada, se presupone que la informacin de autenticacin que se proporciona en la cabecera HTTP est codificada en la pgina de cdigos local. Para especificar que la cabecera HTTP est codificada en UTF-8, agregue una opcin a la declaracin del mecanismo de autenticacin. Por ejemplo, en un sistema Solaris:
[authentication-mechanisms] http-request = libhttpauthn.so & utf8
Consulte tambin: v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461
3. Reinicie el servidor WebSEAL. Nota: La autenticacin de cabeceras HTTP est inhabilitada de forma predeterminada.
174
Autenticacin de direcciones IP
Tivoli Access Manager da soporte a la autenticacin a travs de una direccin IP que proporciona el cliente.
Captulo 6. Autenticacin
175
Autenticacin de seal
Tivoli Access Manager da soporte a la autenticacin a travs de un cdigo de paso de seal proporcionado por el cliente. Este apartado contiene los temas siguientes: v Conceptos de la autenticacin de seal v Configuracin de la autenticacin de seal en la pgina 179
176
trabajo, estn instaladas en una Smart Card o se ejecutan como plug-in en un navegador web. Estas seales pueden ejecutarse como una aplicacin. La aplicacin muestra una ventana en la que el usuario especifica su nmero de identificacin personal (PIN) para que la seal de software calcule el cdigo de paso. A continuacin, el usuario puede autenticarse ante WebSEAL especificando el cdigo de paso en un formulario de inicio de sesin. La forma ms tpica de seal SecurID es un dispositivo de mano. El dispositivo generalmente es una cadena de claves o una tarjeta delgada. La seal puede tener un teclado de PIN, en el que el usuario introduce su PIN, para generar un cdigo de paso. Si la seal no tiene ningn teclado de PIN, el cdigo de paso se crea concatenando el PIN del usuario y el cdigo de seal. Un cdigo de seal es un nmero que cambia y que se muestra en la cadena de claves. El cdigo de seal es un nmero generado por la seal SecurID a intervalos de un minuto. A continuacin, un usuario introduce el PIN y el cdigo de seal para autenticarse ante ACE/servidor. WebSEAL da soporte a las dos modalidades de seal RSA: v Modalidad de cdigo de seal siguiente Esta modalidad se utiliza cuando el usuario introduce un PIN correcto pero un cdigo de seal incorrecto. Generalmente, el cdigo de seal debe introducirse incorrectamente tres veces seguidas para enviar la tarjeta de seal a la modalidad de cdigo de seal siguiente. Cuando el usuario introduce el cdigo de paso correcto, el cdigo de seal cambia automticamente. El usuario espera el nuevo cdigo de seal y, a continuacin, vuelve a introducir el cdigo de seal. v Modalidad de PIN nuevo La seal puede ser en modalidad de PIN nuevo cuando el PIN antiguo sigue asignado. La seal se coloca en esta modalidad cuando el administrador desea aplicar una poltica de antigedad mxima de la contrasea. La seal tambin se encuentra en modalidad de PIN nuevo cuando se borra el PIN o si no se ha asignado el PIN. Es posible que las seales asignadas recientemente todava no tengan un PIN. El administrador puede borrar un PIN cuando el usuario lo ha olvidado o cuando sospecha que ha podido ser manipulado. Los PIN de SecurID pueden crearse de distintas formas: v Definidos por el usuario v Generados por el sistema v Seleccionables por el usuario Las modalidades de PIN se definen mediante el mtodo de creacin y mediante reglas que especifican los parmetros para la creacin de contraseas y el tipo dispositivo. WebSEAL da soporte v De 4 a 8 caracteres v De 4 a 8 caracteres v De 5 a 7 caracteres v De 5 a 7 caracteres v De 5 a 7 caracteres v De 5 a 7 caracteres a los tipos siguientes de PIN definidos por el usuario: alfanumricos, seal no PINPAD alfanumricos, contrasea alfanumricos, seal no PINPAD alfanumricos, seal PINPAD alfanumricos, denegar PIN de 4 dgitos alfanumricos, denegar alfanumrico
177
v v v v
Generado por el sistema, seal no PINPAD Generado por el sistema, seal PINPAD Seleccionable por el usuario, seal no PINPAD Seleccionable por el usuario, seal PINPAD
Los usuarios de seales no pueden restablecer su PIN si el administrador de ACE no borra primero la seal o la coloca en la modalidad de PIN nuevo. Esto significa que los usuarios que tienen un PIN vlido no pueden enviar datos a pkmspassword.form. Los intentos de acceso a este formulario reciben un mensaje de error.
178
11. Si la llamada de definicin del PIN enviada al ACE/servidor es correcta, WebSEAL devuelve al cliente el objeto web protegido solicitado originariamente. Si la llamada falla, el flujo de trabajo de autenticacin regresa al paso 6.
Captulo 6. Autenticacin
179
4. Reinicie el servidor WebSEAL. Consulte tambin: v Conceptos de la autenticacin de seal en la pgina 176 v Bibliotecas de autenticacin en la pgina 461
180
Windows: Establezca las propiedades de seguridad en los archivos en Everyone. 2. Establezca la variable de entorno VAR_ACE para notificar a WebSEAL la ubicacin del directorio de estos dos archivos. En el ejemplo siguiente, se presupone que estos archivos se encuentran en el directorio /opt/ace/data: UNIX:
# export VAR_ACE=/opt/ace/data
Windows:
Inicio > Configuracin > Panel de control > Sistema > Entorno
Para obtener informacin sobre el soporte de WebSEAL para el cliente SecurID, consulte el apartado Conceptos de la autenticacin de seal en la pgina 176.
Habilite la compatibilidad con versiones anteriores para la biblioteca de autenticacin de seal personalizada
En los releases de Tivoli Access Manager WebSEAL anteriores al 5.1, WebSEAL no daba soporte a las funciones de definicin de PIN de RSA. Para estas versiones, cuando una comprobacin de autorizacin para el ACE/servidor devuelve el cdigo de error de PIN nuevo, WebSEAL la trata como un intento de autenticacin fallido. Si el usuario intenta enviar un nuevo PIN a la pgina /pkmspasswd cuando ha iniciado la sesin con la autenticacin de seal, WebSEAL devuelve un formulario con un mensaje de error parecido a este: Operacin no permitida para el mtodo: token-card. Para mantener este comportamiento de WebSEAL con el release 5.1, los usuarios que cumplan las condiciones siguientes debern agregar un valor de configuracin al archivo de configuracin de WebSEAL: v El usuario ha desplegado una versin de WebSEAL anterior a la 5.1 y ha habilitado la autenticacin de seal. v El usuario ha utilizado el mdulo WebSEAL Authorization Development Kit Password Strength para desarrollar una biblioteca de intensidad de contraseas personalizada. v El usuario no desea reemplazar la biblioteca de intensidad de contraseas personalizada existente por la nueva interfaz xauth_change_password().
Captulo 6. Autenticacin
181
Para mantener un comportamiento compatible con versiones anteriores con el perfil de software anterior, modifique la entrada token-cdas del archivo de configuracin de WebSEAL. Por ejemplo, en un servidor WebSEAL de una versin anterior a la 5.1, la siguiente seria una entrada de ejemplo en Solaris:
[authentication-mechanisms] token-cdas = /opt/pdweb/lib/libxtokenauthn.so
Para mantener la compatibilidad con versiones anteriores en Tivoli Access Manager WebSEAL 5.1, agregue el parmetro NO_NEW_PIN:
[authentication-mechanisms] token-cdas = /opt/pdweb/lib/libxtokenauthn.so& NO_NEW_PIN
3. Reinicie el servidor WebSEAL. Nota: La autenticacin de seal est inhabilitada de forma predeterminada.
182
Captulo 6. Autenticacin
183
cualquier atributo ampliado de la cookie en la credencial de usuario. El cliente ahora puede establecer una sesin nueva con un servidor WebSEAL replicado sin que se le solicite que inicie una sesin. Nota: Las cookies de migracin tras error pueden utilizarse a travs de HTTP o HTTPS. La secuencia de eventos para un evento de autenticacin de migracin tras error es la siguiente: 1. El cliente (navegador) intenta acceder a un recurso protegido. La solicitud del cliente va a un equilibrador de carga que controla el acceso a los servidores WebSEAL replicados. 2. El equilibrador de carga selecciona un servidor WebSEAL de destino y reenva la solicitud del usuario. 3. El cliente se autentica correctamente ante WebSEAL utilizando uno de los mtodos de autenticacin soportados. 4. WebSEAL crea una cookie de autenticacin de migracin tras error que contiene informacin sobre la autenticacin del cliente y enva la cookie al cliente. 5. El cliente enva la cookie a travs del equilibrador de carga a WebSEAL con cada solicitud subsiguiente. El servidor WebSEAL procesa cada solicitud. 6. Si el equilibrador de carga detecta que el servidor WebSEAL no est disponible, la solicitud del cliente se direcciona a otro servidor WebSEAL replicado. 7. El servidor WebSEAL replicado est configurado para comprobar la existencia de una cookie de autenticacin de migracin tras error cada vez que intenta autenticar a un usuario. 8. WebSEAL utiliza la informacin de la cookie para establecer una sesin con el cliente, sin solicitar al cliente que vuelva a iniciar manualmente una sesin. Se crean los datos de la sesin del cliente y la credencial del usuario y se procesa la solicitud para el recurso protegido. 9. El cambio de la sesin de un servidor WebSEAL a otro servidor WebSEAL es transparente para el cliente. Puesto que los servidores WebSEAL contienen recursos idnticos, la sesin de cliente contina ininterrumpida. Nota: Para obtener ms informacin sobre la rplica de servidores WebSEAL, consulte el apartado Servidores WebSEAL frontales replicados en la pgina 64.
184
v v v v v
Autenticacin de tarjetas de seal Autenticacin de certificado Autenticacin de solicitudes HTTP Inicio de sesin nico entre dominios (CDSSO) Autenticacin Kerberos (SPNEGO)
WebSEAL proporciona una biblioteca compartida de migracin tras error estndar que funciona para todos los mtodos de autenticacin anteriores. Esta biblioteca se denomina libfailoverauthn en sistemas UNIX y failoverauthn en Windows. Nota: Como alternativa, puede proporcionar una biblioteca CDAS personalizada que proporcione las posibilidades especficas de autenticacin que necesita el entorno. Por ejemplo, puede configurar un servidor WebSEAL para dar soporte a la autenticacin de formularios y a la autenticacin de migracin tras error. Cuando WebSEAL se inicia se carga la biblioteca compartida de autenticacin de formularios y la biblioteca de autenticacin de formularios de migracin tras error. El usuario se autentica utilizando la autenticacin de formularios. El servidor WebSEAL enva una cookie de autenticacin de migracin tras error a cada cliente (navegador). Los datos de la cookie especifican que la cookie se ha creado en un entorno de autenticacin de formularios. Cuando el servidor WebSEAL deja de estar disponible, la cookie de migracin tras error se enva al segundo servidor WebSEAL. El segundo servidor WebSEAL, que generalmente es un servidor WebSEAL replicado, tambin tiene la biblioteca compartida de autenticacin de formularios y la biblioteca de migracin tras error de formularios cargada. El segundo servidor WebSEAL recibe la cookie de migracin tras error y la examina para determinar el mtodo de autenticacin anterior del usuario. El segundo servidor WebSEAL llama a la biblioteca de autenticacin de formularios de migracin tras error para extraer los datos necesarios de la cookie y, a continuacin, utiliza dichos datos para autenticar al usuario y obtener una credencial de usuario. Por ejemplo, cuando tanto la autenticacin de formularios como la autenticacin de migracin tras error estn habilitadas en un entorno WebSEAL replicado, deben configurarse dos bibliotecas distintas en el archivo de configuracin de WebSEAL. Una biblioteca especifica la biblioteca del mtodo de autenticacin de formularios. La otra biblioteca especifica la biblioteca del mtodo de autenticacin de migracin tras error. A continuacin se muestran entradas de archivo de configuracin de ejemplo:
[authentication-mechanisms] passwd-ldap = /opt/pdweb/lib/libldapauthn.so failover-password = /opt/pdweb/lib/libfailoverauthn.so
En este ejemplo, la entrada de la stanza passwd-ldap especifica la biblioteca de autenticacin de formularios incorporada de WebSEAL. La entrada de la stanza failover-password especifica la biblioteca de autenticacin de migracin tras error incorporada de WebSEAL. Instrucciones de configuracin: v Especifique la biblioteca de autenticacin de migracin tras error en la pgina 193 v Agregue el nivel de autenticacin en la pgina 195
Captulo 6. Autenticacin
185
186
v Marca de fecha y hora de inactividad de la sesin WebSEAL tambin realiza un seguimiento del tiempo durante el que la entrada del usuario en la cach de la sesin de WebSEAL ha estado inactiva. Cuando la sesin de un usuario est inactiva durante un perodo de tiempo ms largo del valor establecido para la inactividad de la sesin, WebSEAL invalida la sesin del usuario. La marca de fecha y hora de inactividad de la sesin tambin puede agregarse a la cookie de autenticacin de migracin tras error. Esta marca de fecha y hora difiere ligeramente de la marca de fecha y hora de inactividad de la sesin mantenida para la cach de la sesin de WebSEAL. El tiempo de espera de inactividad del sistema mantenido para la cach se calcula combinando dos valores: Hora actual del sistema Nmero mximo de segundos durante los que una sesin de usuario puede permanecer inactiva. Cuando este valor se agrega a la cookie de autenticacin de migracin tras error, este valor se combina con un valor adicional: Nmero mximo de segundos (intervalo) entre las actualizaciones para la cookie de autenticacin de migracin tras error El valor para el intervalo entre la actualizacin de cookies de migracin tras error afecta al rendimiento. Los administradores deben seleccionar un equilibrio entre un rendimiento ptimo y una precisin absoluta del temporizador de inactividad en la cookie. Para mantener el temporizador de inactividad ms preciso, debe actualizarse cada vez que el usuario formula una solicitud. No obstante, las actualizaciones frecuentes del contenido de la cookie dan lugar a sobrecarga y reducen el rendimiento. Cada administrador debe seleccionar el intervalo que sea ms adecuado para el despliegue de WebSEAL. En algunos casos, es apropiado actualizar la cookie de migracin tras error con cada solicitud de usuario. En otros casos, el administrador puede optar por no actualizar nunca el temporizador de inactividad en la cookie de migracin tras error. v Atributos ampliados adicionales Los administradores pueden configurar WebSEAL para insertar un conjunto personalizado de atributos en una cookie de migracin tras error. Los atributos pueden especificarse de forma individual o en un grupo. Para especificar un grupo de atributos, utilice un patrn comodn que coincida con las entradas del archivo de configuracin. Esta funcin es til en los despliegues que tambin utilizan bibliotecas de autenticacin personalizadas, como los servidores de autenticacin entre dominios, para insertar atributos especiales en una credencial de usuario. Al especificar dichos atributos en el archivo de configuracin de WebSEAL, el administrador puede garantizar que los atributos estn disponibles para agregarlos a la credencial de usuario creada de nuevo durante la autenticacin de migracin tras error. Nota: El tamao mximo de una cookie de autenticacin de migracin tras error es 4 kilobytes (4.096 bytes). Instrucciones de configuracin: v Agregue el nivel de autenticacin en la pgina 195 v Agregue la marca de fecha y hora de la duracin de la sesin en la pgina 195 v Agregue la marca de fecha y hora de actividad de la sesin en la pgina 196
Captulo 6. Autenticacin
187
v Agregue un intervalo para actualizar la marca de fecha y hora de actividad en la pgina 196 v Agregue atributos ampliados en la pgina 197
188
cookie y todos sus posibles atributos de credencial. La duracin de la sesin no se mantiene y se solicita al usuario que inicie una sesin. Nota: Para un uso correcto de estas marcas de fecha y hora es necesario sincronizar los relojes entre los servidores WebSEAL replicados. Si la desviacin del reloj es notable, las sesiones caducarn o pasarn a estar inactivas en un momento no previsto. v Atributos ampliados adicionales Estos atributos incluyen atributos personalizados definidos por el usuario, como los generados por los servicios de autenticacin entre dominios. WebSEAL agrega los atributos a la credencial de usuario. Los atributos que no se hayan especificado en el archivo de configuracin de WebSEAL se omitirn y no se extraern. Adems, los administradores pueden especificar que determinados atributos deben omitirse durante la extraccin de la cookie de migracin tras error. Aunque omitir es el comportamiento predeterminado, esta especificacin puede ser til, por ejemplo, para garantizar que los atributos de usuario se obtienen del registro del usuario y no de la cookie de migracin tras error. Instrucciones de configuracin: v Extraccin de datos de una cookie de migracin tras error en la pgina 188
Captulo 6. Autenticacin
189
190
191
d. Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado en la pgina 200 e. Habilite la compatibilidad con versiones anteriores a la versin 4.1 para cookies en la pgina 201 8. Una vez que haya finalizado todas las instrucciones pertinentes para el despliegue, reinicie el servidor WebSEAL. Informacin de consulta del archivo de configuracin de WebSEAL: v Migracin tras error de autenticacin en la pgina 467 v Mtodos de autenticacin en la pgina 455 v Bibliotecas de autenticacin en la pgina 461
192
Nota: Habilitar la autenticacin de migracin tras error para HTTP o HTTPS provoca que se escriban cookies en los clientes que se conectan a travs de todos los protocolos. El valor especificado en la entrada de la stanza failover-auth indica el protocolo a travs del que se aceptarn cookies para autenticacin durante un evento de autenticacin de migracin tras error.
WebSEAL proporciona una biblioteca compartida de migracin tras error estndar que funciona para todos los mtodos de autenticacin anteriores. Consulte la tabla siguiente para obtener los nombres de las bibliotecas.
Tabla 31. Nombres de archivo de bibliotecas de autenticacin de migracin tras error Solaris Linux AIX HP-UX Windows libfailoverauthn.so libfailoverauthn.so libfailoverauthn.a libfailoverauthn.sl failoverauthn.dll
Captulo 6. Autenticacin
193
Por ejemplo, para habilitar la autenticacin de migracin tras error para clientes que originalmente se autenticaron mediante autenticacin de formularios en Solaris, anule el comentario de la entrada failover-password y agregue el nombre de la biblioteca:
[authentication-mechanisms] failover-password = libfailoverauthn.so
Como alternativa, cuando haya desarrollado una biblioteca CDAS que implemente una versin personalizada de la autenticacin de migracin tras error para uno o ms mtodos de autenticacin, inserte el nombre de la biblioteca CDAS personalizada como valor para la palabra clave del archivo de configuracin. Por ejemplo, si ha desarrollado una CDAS para la autenticacin de formularios, especifique el nombre de ruta de acceso absoluta:
[authentication-mechanisms] failover-password = /nombre_dir/biblioteca_migracin_tras_error_cdas_personalizada.so
Windows: Puede asignar al archivo de claves cualquier nombre adecuado, como por ejemplo /opt/pdweb/lib/ws.key. 2. Edite el archivo de configuracin de WebSEAL. En la stanza [failover], especifique la ubicacin del archivo de claves.
[failover] failover-cookies-keyfile = nombre_ruta_acceso_absoluta_archivo_claves
3. Copie manualmente el archivo de claves en cada uno de los servidores replicados restantes. 4. En cada servidor replicado, edite el archivo de configuracin de WebSEAL para especificar el nombre de ruta de acceso correcto para failover-cookieskeyfile en la stanza [failover].
194
El valor predeterminado es yes. Debe utilizarse UTF-8 cuando los nombres de usuario o los atributos de credencial de la cookie no estn codificados en la misma pgina de cdigos que la que utiliza el servidor WebSEAL. De forma predeterminada, los servidores WebSEAL utilizan codificacin UTF-8. Cuando todos los servidores WebSEAL del despliegue de WebSEAL utilizan codificacin UTF-8, deje este valor en el valor predeterminado yes. Compatibilidad con versiones anteriores Los servidores WebSEAL anteriores a la versin 5.1 no utilizaban codificacin UTF-8. Por consiguiente, las cookies creadas por dichos servidores no tienen codificacin UTF-8 en sus cadenas. Cuando un servidor WebSEAL opera con servidores WebSEAL de versiones anteriores a la 5.1, WebSEAL no debera utilizar codificacin UTF-8. Para obtener compatibilidad con versiones anteriores, establezca use-utf8 en no.
[failover] use-utf8 = no
Para obtener informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
El valor real para AUTHENTICATION_LEVEL es un nmero entero del que WebSEAL realiza un seguimiento internamente. No es necesario especificar el nmero entero en esta stanza.
Captulo 6. Autenticacin
195
Para agregar este valor a la cookie de autenticacin de migracin tras error, agregue la entrada siguiente al archivo de configuracin de WebSEAL:
[failover-add-attributes] session-lifetime-timestamp = add
Este atributo no puede definirse mediante la coincidencia de caracteres comodn. Debe especificar la entrada session-lifetime-timestamp exacta.
El valor predeterminado es 600 segundos. v Intervalo para actualizar la cookie de autenticacin de migracin tras error. Este valor se establece en la stanza [failover] del archivo de configuracin de WebSEAL:
[failover] failover-update-cookie = 60
El valor predeterminado es 60 segundos. Para obtener ms informacin, consulte el apartado Agregue un intervalo para actualizar la marca de fecha y hora de actividad. Para agregar este valor a la cookie de autenticacin de migracin tras error, agregue la entrada siguiente al archivo de configuracin de WebSEAL:
[failover-add-attributes] session-activity-timestamp = add
Este atributo no puede definirse mediante la coincidencia de caracteres comodn. Debe especificar la entrada session-activity-timestamp exacta. Nota: Si establece failover-update-cookie en un nmero mayor que cero, asegrese de que tambin establece session-activity-timestamp = add. Si no establece session-activity-timestamp = add, WebSEAL descodificar la cookie de migracin tras error en cada acceso del usuario. Esto podra afectar negativamente al rendimiento.
196
Cuando se establece failover-update-cookie en 0, la ltima marca de fecha y hora de actividad se actualiza con cada solicitud. Cuando se establece failover-update-cookie en un nmero entero inferior a 0 (cualquier nmero negativo), la ltima marca de fecha y hora de actividad nunca se actualiza. Cuando se establece failover-update-cookie en un nmero entero mayor que 0, la marca de fecha y hora de actividad de la sesin de la cookie se actualiza a intervalos del nmero de segundos especificado. El valor seleccionado para esta entrada de la stanza puede afectar al rendimiento. Consulte el apartado Adicin de datos a una cookie de migracin tras error en la pgina 186. Nota: Si establece failover-update-cookie en un nmero mayor que cero, asegrese de que tambin establece session-activity-timestamp = add. Si no establece session-activity-timestamp = add, WebSEAL descodificar la cookie de migracin tras error en cada acceso del usuario. Esto podra afectar negativamente al rendimiento. Consulte el apartado Agregue la marca de fecha y hora de actividad de la sesin en la pgina 196.
El patrn_atributo puede ser un nombre de atributo especfico o una expresin de comodines insensible a maysculas y minsculas que coincida con ms de un nombre de atributo. Por ejemplo, para especificar todos los atributos que presentan el prefijo tagvalue_, agregue la entrada siguiente:
[failover-add-attributes] tagvalue_* = add
El orden de las entradas de la stanza es importante. Las reglas que aparecen con anterioridad en [failover-add-attributes] prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coinciden con ninguno de los patrones comodn o que no se especifican de forma explcita no se agregan a la cookie de migracin tras error.
Captulo 6. Autenticacin
197
Puede establecer el nivel de autenticacin en funcin del ltimo mtodo de autenticacin utilizado. Para ello, debe pasar un indicador al mtodo de autenticacin. La sintaxis es la siguiente:
[authentication-mechanisms] failover-nombre_mtodo = bibl_migracin_tras_error_WebSEAL -i nivel_autenticacin
Por ejemplo:
failover-password = /opt/pdweb/liblibfailoverauth.so& -i 1 failover-token = /opt/pdweb/liblibfailoverauth.so& -i 2 failover-certificate = /opt/pdweb/liblibfailoverauth.so& -i 3
Nota: Este mtodo slo puede utilizarse con la biblioteca de autenticacin de migracin tras error de WebSEAL incorporada. Este mtodo no est disponible para mdulos de autenticacin personalizados. v Estableciendo el nivel en la entrada de la stanza [failover-restore-attributes] del archivo de configuracin. Este atributo puede especificar si debe utilizarse el nivel de autenticacin de la cookie de migracin tras error, si existe:
[failover-restore-attributes] AUTHENTICATION_LEVEL =preserve
El valor preserve indica a WebSEAL que extraiga el atributo y que lo agregue a la credencial. El valor refresh indica a WebSEAL que omita el atributo y que no lo extraiga de la cookie. El patrn_atributo puede ser un nombre de atributo especfico o una expresin de comodines insensible a maysculas y minsculas que coincida con ms de un nombre de atributo. Por ejemplo, para extraer todos los atributos que presentan el prefijo tagvalue_, agregue la entrada siguiente:
[failover-restore-attributes] tagvalue_* = preserve
Los atributos que no coincidan con los patrones especificados con el valor preserve no se extraen de la cookie de autenticacin de migracin tras error. El orden de las entradas de la stanza es importante. Las reglas que aparecen con anterioridad en [failover-restore-attributes] prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos siguientes no pueden hacerse coincidir con ningn patrn comodn, sino que deben definirse de forma explicita para la extraccin: v Nivel de autenticacin
[failover-restore-attributes] AUTHENTICATION_LEVEL = preserve
198
Para obtener informacin sobre los efectos que implica habilitar esta entrada de stanza, consulte el apartado Autenticacin de migracin tras error del dominio en la pgina 189.
Esta entrada de stanza se utiliza principalmente para la compatibilidad con versiones anteriores. Atencin: Para obtener compatibilidad con versiones anteriores con cookies creadas por servidores WebSEAL anteriores a la versin 5.1, establezca esta entrada en no. Las cookies de autenticacin de migracin tras error creadas por servidores WebSEAL anteriores a la versin 5.1 no contienen esta marca de fecha y hora. v Si este valor es no, y la cookie de migracin tras error no contiene la marca de fecha y hora de duracin de la sesin, el servidor receptor ver la cookie como vlida. v Si este valor es yes, y la cookie de migracin tras error no contiene la marca de fecha y hora de duracin de la sesin, el servidor receptor ver la cookie como no vlida. v Si este valor es no o yes, y la cookie de migracin tras error contiene la marca de fecha y hora de duracin de la sesin, el servidor receptor evala la marca de fecha y hora. Si la marca de fecha y hora no es vlida, se produce un error de autenticacin. Si la marca de fecha y hora es vlida, el proceso de autenticacin prosigue.
Captulo 6. Autenticacin
199
Nota: La marca de fecha y hora de duracin de la sesin se configura de forma independiente de la marca de fecha y hora de actividad de la sesin.
Esta entrada de stanza se utiliza principalmente para la compatibilidad con versiones anteriores. Atencin: Para obtener compatibilidad con versiones anteriores con cookies creadas por servidores WebSEAL anteriores a la versin 5.1, establezca esta entrada en no. Las cookies de autenticacin de migracin tras error creadas por servidores WebSEAL anteriores a la versin 5.1 no contienen esta marca de fecha y hora. v Si este valor es no, y la cookie de migracin tras error no contiene la marca de fecha y hora de actividad de la sesin, el servidor receptor ver la cookie como vlida. v Si este valor es yes, y la cookie de migracin tras error no contiene la marca de fecha y hora de actividad de la sesin, el servidor receptor ver la cookie como no vlida. v Si este valor es no o yes, y la cookie de migracin tras error contiene la marca de fecha y hora de actividad de la sesin, el servidor receptor evala la marca de fecha y hora. Si la marca de fecha y hora no es vlida, se produce un error de autenticacin. Si la marca de fecha y hora es vlida, el proceso de autenticacin prosigue. Nota: La marca de fecha y hora de actividad de la sesin se configura de forma independiente de la marca de fecha y hora de duracin de la sesin.
200
Nota: Para habilitar la compatibilidad con versiones anteriores con servidores WebSEAL anteriores a la versin 4.1, debe establecer un parmetro adicional. Consulte el apartado Habilite la compatibilidad con versiones anteriores a la versin 4.1 para el cifrado en la pgina 200.
Captulo 6. Autenticacin
201
202
Puesto que WebSEAL mantiene una sesin autenticada para el MPA, debe mantener simultneamente sesiones aparte para cada cliente. Por lo tanto, los datos de sesin y el mtodo de autenticacin que se utilizan para el MPA deben ser distintos (diferentes) de los datos de sesin y el mtodo de autenticacin que utiliza el cliente.
Captulo 6. Autenticacin
203
Tipos de sesin vlidos De MPA a WebSEAL Cabecera BA Direccin IP Cookie Cookie De cliente a WebSEAL Cabecera BA
v El cliente no puede utilizar un ID de sesin SSL como tipo de datos de sesin. v Por ejemplo, si el MPA utiliza una cabecera BA para el tipo de datos de sesin, las opciones del cliente para el tipo de datos de sesin slo pueden ser la cabecera HTTP y la cookie. v Si el MPA utiliza una cabecera HTTP para los datos de sesin, el cliente puede utilizar un tipo de cabecera HTTP diferente. v La cookie especfica del servidor contiene slo informacin sobre la sesin; no contiene informacin sobre la identidad. v Si est habilitado el soporte MPA, la funcin de ssl-id-sessions cambia. Normalmente, si ssl-id-sessions=yes, slo se utiliza el ID de sesin SSL para mantener las sesiones de los clientes HTTPS. Para que el MPA pueda mantener una sesin con un ID de sesin SSL y tener clientes manteniendo sesiones con otro mtodo, se debe eliminar esta restriccin. Consulte tambin el apartado Determinacin de los tipos de datos vlidos de ID de sesin en la pgina 153. El mtodo de autenticacin que se utiliza de MPA a WebSEAL debe ser distinto (diferente) del mtodo de autenticacin que se utiliza de cliente a WebSEAL. En la tabla siguiente se muestran los mtodos de autenticacin vlidos para el MPA y el cliente:
Tipos de autenticacin vlidos De MPA a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP Certificados Direccin IP De cliente a WebSEAL Autenticacin bsica Formularios Seal Cabecera HTTP
v Por ejemplo, si el MPA utiliza la autenticacin bsica, las opciones del cliente para los mtodos de autenticacin incluyen cabeceras HTTP, de formularios y de seal. v Los mtodos de autenticacin de direcciones IP y de certificados no pueden ser utilizados por el cliente. v Normalmente, si se habilita la autenticacin de formularios (o de seal) para un transporte determinado, la autenticacin bsica se inhabilitar automticamente para ese transporte (consulte el apartado Configuracin del mecanismo de autenticacin bsica en la pgina 160). Si est habilitado el soporte MPA, esta restriccin se eliminar. Por ejemplo, esto permite al MPA iniciar la sesin con formularios (o seales) y a los clientes iniciar la sesin con autenticacin bsica a travs del mismo transporte.
204
205
206
207
Para obtener ms informacin sobre las cachs de sesin de WebSEAL, consulte el apartado Estructura de cach de sesin/credenciales de WebSEAL en la pgina 11. 2. El administrador se conecta a un formulario HTML preconfigurado de cambio de usuario y lo rellena. En el formulario, el administrador especifica: v El nombre de la identidad del usuario que el administrador debe adquirir. v Una direccin URL de destino. v Un mtodo de autenticacin. Esta accin da como resultado que se enve una solicitud POST a /pkmssu.form. Opcionalmente, el administrador de WebSEAL puede modificar el contenido del formulario HTML de cambio de usuario antes de hacerlo disponible para que otros administradores lo utilicen. Consulte el apartado Parte 3: Configuracin del formulario HTML de cambio de usuario en la pgina 214. Opcionalmente, el administrador tambin puede ampliar las posibilidades del formulario. Consulte el apartado Parte 4: Diseo de formularios de entrada adicionales en la pgina 216.
208
3. WebSEAL determina si debe permitir la solicitud de cambio de usuario realizando las siguientes comprobaciones: a. WebSEAL examina los miembros del grupo su-admins de Tivoli Access Manager para determinar si el administrador tiene permiso para invocar la funcin de cambio de usuario. Los administradores que soliciten el uso de la autenticacin de cambio de usuario deben ser miembros del grupo su-admins. Antes de poder utilizar el cambio de usuario, deben configurarse los miembros de este grupo. Para obtener ms informacin, consulte el apartado Parte 1: Configuracin del acceso de los usuarios en la pgina 210. b. WebSEAL examina los miembros de los grupos su-admins, securitygroup y su-excluded de Tivoli Access Manager para asegurarse de que la identidad de usuario proporcionada en el formulario de cambio de usuario no sea miembro de uno de estos grupos. La funcin de cambio de usuario no puede acceder a las identidades de usuarios que pertenezcan a cualquiera de estos grupos. El administrador de WebSEAL debe configurar los miembros de estos grupos antes de que los administradores puedan utilizar la funcin de cambio de usuario. Para obtener instrucciones de configuracin y ms informacin sobre estos grupos, consulte el apartado Parte 1: Configuracin del acceso de los usuarios en la pgina 210. 4. Cuando se ha concedido el acceso a la funcin de cambio de usuario, WebSEAL llama a la biblioteca compartida de cambio de usuario apropiada para realizar la autenticacin de cambio de usuario especial. WebSEAL da soporte a varios mecanismos de autenticacin distintos. Cada mecanismo de autenticacin tiene un mecanismo de autenticacin de cambio de usuario correspondiente. WebSEAL proporciona bibliotecas compartidas que contienen mecanismos de cambio de usuario especiales. Antes de poder utilizar la autenticacin de cambio de usuario, el administrador de WebSEAL debe configurar WebSEAL para que utilice las bibliotecas compartidas necesarias. Para obtener ms informacin, consulte el apartado Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211. Nota: Tambin se puede realizar la autenticacin de cambio de usuario mediante una biblioteca de CDAS de cambio de usuario personalizada. Para obtener ms informacin, consulte el apartado Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario en la pgina 218. 5. Cuando el usuario especificado se autentica correctamente, el mecanismo de autenticacin de cambio de usuario devuelve una credencial vlida para el usuario, sin necesidad de especificar la contrasea del usuario. 6. WebSEAL manipula el contenido de la entrada adecuada de la cach de sesin de WebSEAL de la siguiente forma: a. Coloca la credencial del usuario en una nueva estructura de datos de cach. b. Elimina los datos de cach de sesin de WebSEAL del administrador y los almacena en una ubicacin separada. c. Inserta los datos de cach del usuario, incluida la credencial del usuario, en el lugar de los datos de cach del administrador. 7. WebSEAL enva una redireccin al navegador para la direccin URL de destino proporcionada en el formulario de cambio de usuario. La solicitud se procesa normalmente, utilizando la credencial del usuario, y se accede a la direccin URL.
Captulo 7. Autenticacin avanzada de WebSEAL
209
8. El administrador puede continuar haciendo otras solicitudes. Todas las decisiones de autorizacin para estas solicitudes se basan en la credencial del usuario. Al utilizar la funcin de cambio de usuario, es posible que los administradores deban establecer y gestionar sesiones con aplicaciones adicionales. Estas sesiones deben establecerse utilizando la identidad del nuevo usuario. Para ello, la credencial del nuevo usuario tambin contiene un nuevo ID de sesin de usuario. Este nuevo ID de sesin de usuario se utiliza, por ejemplo, durante la resolucin de problemas de la capacidad del usuario de acceder y utilizar recursos web adicionales. Para obtener ms informacin sobre las cachs de sesin de WebSEAL, consulte los apartados Visin general de la cach de sesin de GSKit y WebSEAL en la pgina 146 y Estructura de cach de sesin/credenciales de WebSEAL en la pgina 11. 9. El administrador finaliza la sesin de cambio de usuario usando la utilidad Tivoli Access Manager /pkmslogout estndar. Despus de finalizar la sesin correctamente: a. Se suprimen los datos de cach del usuario. b. Se restauran los datos de cach (y la credencial) originales del administrador. c. El administrador se devuelve a la pgina original desde la que se ha solicitado el formulario de cambio de usuario. El servicio de autorizaciones utiliza la credencial original del administrador para todas las solicitudes posteriores.
Procedimiento de configuracin
El administrador de WebSEAL debe realizar varios pasos de configuracin antes de que los administradores puedan utilizar la funcin de cambio de usuario. Para configurar el cambio de usuario, siga las instrucciones de los siguientes apartados: 1. Parte 1: Configuracin del acceso de los usuarios 2. Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211 3. Parte 3: Configuracin del formulario HTML de cambio de usuario en la pgina 214 Esta parte es opcional. 4. Parte 4: Diseo de formularios de entrada adicionales en la pgina 216 Esta parte es opcional. 5. Parte 5: Detencin y reinicio de WebSEAL en la pgina 216
210
grupo. El administrador de WebSEAL debe agregar manualmente usuarios a este grupo. Normalmente, slo se agregan a este grupo usuarios administradores. Los usuarios a los que se les ha permitido ser miembros de su-admins pueden realizar el cambio de usuario a la mayora de identidades de usuario, pero no pueden cambiar a la identidad de cualquier otro usuario que tambin sea miembro del grupo su-admins. Por lo tanto, una vez que a un administrador se le concede los privilegios de cambio de usuario al agregarlo al grupo su-admins, la cuenta del administrador est protegida contra el acceso de cualquier otro usuario que obtenga privilegios de cambio de usuario. 2. Agregue usuarios al grupo su-excluded. Este grupo contiene los nombres de usuarios a cuyas identidades no se puede acceder mediante la funcin de cambio de usuario. Durante la instalacin de WebSEAL, el proceso de configuracin de WebSEAL crea este grupo automticamente. De forma predeterminada, no existe ningn usuario en el grupo. Normalmente, el administrador de WebSEAL agrega a este grupo los nombres de usuarios que no son miembros del grupo de administracin su-admins, pero cuyo acceso al cambio de usuario debe bloquearse. Cuando se utiliza el cambio de usuario, WebSEAL tambin comprueba los miembros del grupo de Tivoli Access Manager denominado securitygroup. Este grupo contiene el nombre del usuario administrador de Tivoli Access Manager sec_master, adems de un nmero de procesos de WebSEAL que deben excluirse del acceso mediante la funcin de cambio de usuario. Este grupo se crea automticamente de forma predeterminada durante la instalacin de un servidor WebSEAL. Las identidades siguientes se agregan a este grupo automticamente durante la instalacin: v sec_master el administrador de Tivoli Access Manager v acld el daemon de Tivoli Access Manager Authorization Server v webseald el daemon de WebSEAL Los administradores de WebSEAL no deben agregar ningn usuario al grupo securitygroup. Para controlar el acceso de los usuarios al cambio de usuario, utilice los grupos su-admins o su-excluded.
211
La biblioteca incorporada da soporte a los siguientes mecanismos de autenticacin: v su-password v su-token-card v su-certificate v su-http-request v su-cdsso v su-kerberosv5 Los mecanismos de autenticacin se especifican en la stanza [authenticationmechanisms] del archivo de configuracin de WebSEAL. Hay una entrada distinta para cada mecanismo de autenticacin soportado. De forma predeterminada, todos los mecanismos de autenticacin de cambio de usuario estn inhabilitados en el archivo de configuracin. Por ejemplo:
[authentication-mechanisms] #su-password = <biblioteca-su-password> #su-token-card = <biblioteca-su-token-card> #su-certificate = <biblioteca-su-certificate> #su-http-request = <biblioteca-su-http-request> #su-cdsso = <biblioteca-su-cdsso> #su-kerberosv5 = <biblioteca-su-kerberos>
Los pasos de configuracin para habilitar la autenticacin consisten principalmente en editar las entradas nombre=valor del archivo de configuracin. Sin embargo, cuando el despliegue de WebSEAL da soporte a ms de un mtodo de autenticacin y el administrador desea utilizar las funciones de cambio de usuario para ms de un tipo de mecanismo soportado, se requiere un paso adicional. En este caso, se deben realizar copias adicionales de la biblioteca compartida de cambio de usuario predeterminada. Las siguientes instrucciones estn separadas en dos partes. La primera parte describe cmo configurar un nico mecanismo de autenticacin de cambio de usuario. La segunda parte describe cmo configurar mltiples mecanismos de autenticacin de cambio de usuario. Utilice las instrucciones adecuadas para su despliegue. Configuracin de un nico mecanismo de autenticacin de cambio de usuario Para habilitar un nico mecanismo de autenticacin de cambio de usuario, realice los siguientes pasos: 1. Edite la entrada apropiada del archivo de configuracin de WebSEAL. Elimine el carcter de comentario (#) del principio de la lnea. 2. Escriba el nombre de la biblioteca de autenticacin de cambio de usuario. Por ejemplo, en un sistema Solaris, antes de configurar el cambio de usuario, el archivo de configuracin para un servidor WebSEAL configurado para dar soporte slo a la autenticacin de contrasea debera contener las entradas siguientes (cada entrada en una sola lnea continua):
212
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] ..... #su-password = <biblioteca-su-password> #su-token-card = <biblioteca-su-token-card> #su-certificate = <biblioteca-su-certificate> #su-http-request = <biblioteca-su-http-request> #su-cdsso = <biblioteca-su-cdsso>
La biblioteca de cambio de usuario especificada en la entrada su-password corresponde a la biblioteca de autenticacin especificada en passwd-ldap. La entrada que se muestra a continuacin en negrita muestra la entrada modificada (especificada en una nica lnea de comandos):
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] ..... su-password = /opt/pdwebrte/lib/libsuauthn.so #su-token-card = <biblioteca-su-token-card> #su-certificate = <biblioteca-su-certificate> #su-http-request = <biblioteca-su-http-request> #su-cdsso = <biblioteca-su-cdsso>
Configuracin de mltiples mecanismos de autenticacin de cambio de usuario La biblioteca compartida de cambio de usuario predeterminada, libsuauthn (UNIX) o suauthn (Windows), da soporte a mltiples mecanismos de autenticacin. Sin embargo, en el archivo de configuracin cada entrada de biblioteca de autenticacin de cambio de usuario configurada debe tener un nombre exclusivo, aunque se utilice la misma biblioteca compartida para mltiples mtodos de autenticacin. En el siguiente ejemplo, para una plataforma Solaris, un entorno existente tiene habilitados dos mtodos de autenticacin: v Autenticacin de formularios utilizando la biblioteca libldapauthn incorporada. v Autenticacin de certificado utilizando la biblioteca libsslauthn incorporada. Las entradas del archivo de configuracin son las siguientes:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so
Para habilitar mecanismos de autenticacin de cambio de usuario para estos dos mtodos de autenticacin, realice los pasos siguientes: 1. Realice una copia de la biblioteca compartida de cambio de usuario para cada mecanismo de autenticacin. El administrador puede elegir cualquier nombre para la copia, siempre que cada copia tenga un nombre exclusivo. Por ejemplo, para dar soporte al cambio de usuario para la autenticacin de formularios y la autenticacin de certificado:
# cp libsuauthn.so libsuformauthn.so # cp libsuauthn.so libsucert.so
2. Edite las entradas apropiadas en el archivo de configuracin de WebSEAL. Elimine el carcter de comentario (#) del principio de la entrada para cada mecanismo de autenticacin de cambio de usuario soportado.
213
3. En cada entrada descomentada, escriba el nombre de la copia con nombre exclusivo de la biblioteca de autenticacin de cambio de usuario. Las entradas actualizadas del archivo de configuracin del ejemplo anterior son las siguientes:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] cert-ssl = /opt/pdwebrte/lib/libsslauthn.so & -cfgfile [/opt/pdweb/etc/webseald-nombre_instancia.conf] su-password = /opt/pdwebrte/lib/libsuformauthn.so su-certificate = /opt/pdwebrte/lib/libsucert.so
De esta manera, el entorno se ampla para dar soporte a la funcionalidad de cambio de usuario para ambos mtodos de autenticacin. Nota: Si su entorno incluye un mecanismo de autenticacin de CDAS personalizado, debe proporcionar la misma funcionalidad. Consulte el apartado Desarrollo de un mdulo de autenticacin personalizado para el cambio de usuario en la pgina 218.
214
El nombre completo de la ruta de acceso del formulario de cambio de usuario se define en el archivo de configuracin de WebSEAL. Este nombre de ruta de acceso puede modificarse. Los valores de los tres parmetros se combinan para generar el nombre completo de la ruta de acceso: v El parmetro server-root situado en la stanza [server] especifica la raz de la jerarqua del servidor. v El parmetro mgt-pages-root de la stanza [acnt-mgt] especifica el subdirectorio de localizacin. v El parmetro switch-user de la stanza [acnt-mgt] especifica el nombre del archivo de cambio de usuario. Por ejemplo, en un sistema UNIX, las entradas del archivo de configuracin seran las siguientes:
[server] server-root = /opt/pdweb/www-nombre_instancia .... [acnt-mgt] mgt-pages-root = lib/html/<IDIOMA> switch-user = switchuser.html
El valor del directorio IDIOMA es especfico del entorno local. Puede determinar la ruta de acceso completa del formulario de cambio de usuario mediante la combinacin de los valores. Por ejemplo, en un sistema UNIX con idioma ingls de Estados Unidos donde el directorio IDIOMA se denomina C, la ruta de acceso completa sera:
/opt/pdweb/www-nombre_instancia/lib/html/C/switchuser.html
Personalizacin del formulario HTML Para personalizar el formulario de cambio de usuario, abra el formulario para editarlo y realice los pasos siguientes: 1. Especifique la ubicacin y el contenido de la direccin URL de destino. Puede configurarla como una entrada oculta que contiene una pgina de presentacin adecuada o una pgina de confirmacin correcta de cambio de usuario. 2. Especifique los mtodos de autenticacin. Puede configurar este campo como una entrada oculta. Los valores vlidos para el mtodo de autenticacin son:
su-ba su-forms su-certificate su-token-card su-http-request su-cdsso
Los mtodos de la lista anterior se correlacionan directamente con los mecanismos de autenticacin especificados en el archivo de configuracin de WebSEAL. Sin embargo, tenga en cuenta que tanto el mtodo su-ba como el
Captulo 7. Autenticacin avanzada de WebSEAL
215
mtodo su-forms se correlacionan con el mecanismo de autenticacin su-password. Tanto la autenticacin bsica (ba) como la autenticacin de formularios (forms) utilizan la biblioteca de autenticacin su-password. Tenga en cuenta que un despliegue de WebSEAL puede dar soporte a la autenticacin bsica sin dar soporte a la autenticacin de formularios. Por lo tanto, se mantiene valores de configuracin separados para cada tipo de autenticacin (su-ba y su-forms).
216
3. En el formulario, especifique: v El nombre de la identidad del usuario que desea adquirir. v Una direccin URL de destino. v Un mtodo de autenticacin. Esta accin da como resultado que se enve una solicitud POST a /pkmssu.form. WebSEAL enva una redireccin al navegador para la direccin URL de destino proporcionada en el formulario de cambio de usuario. La solicitud se procesa utilizando la credencial del usuario y se accede a la direccin URL. 4. Realice otras solicitudes, si es necesario. Todas las decisiones de autorizacin para estas solicitudes se basan en la credencial del usuario. 5. Cuando haya terminado, finalice la sesin de cambio de usuario usando la utilidad /pkmslogout estndar de Tivoli Access Manager. Para obtener ms informacin sobre el funcionamiento de la funcin de cambio de usuario, consulte el apartado Visin general de la funcin de cambio de usuario en la pgina 208.
Autenticacin incremental
La especificacin de biblioteca compartida puede tomar argumentos adicionales con el formato:
<biblioteca>& <arg1> <arg2> .... <argx>
Puede designar niveles de autenticacin incremental utilizando la opcin l seguida del nmero de nivel. Por ejemplo:
su-password = /opt/PolicyDirector/lib/libsuformauthn.so& -l 1 su-certificate = /opt/PolicyDirector/lib/libsucert.so& -l 0 su-token-card = /opt/PolicyDirector/lib/libsucustom.so& -l 2
217
Nota: El administrador debe saber la contrasea del usuario para realizar correctamente a autenticacin incremental.
Reautenticacin
La operacin de cambio de usuario reconoce la funcionalidad de la reautenticacin de WebSEAL. Si se necesita la reautenticacin durante una operacin de cambio de usuario, el administrador debe autenticarse como usuario al que se ha cambiado. Nota: El administrador debe saber la contrasea del usuario al que se ha cambiado para realizar correctamente la reautenticacin.
Indicador-valor
La funcionalidad de cambio de usuario reconoce y da soporte a la posibilidad tag-value (indicador-valor) utilizada a menudo por un CDAS.
Auditora
Es posible auditar al administrador durante una operacin de cambio de usuario. La funcionalidad de cambio de usuario agrega un atributo ampliado a la credencial de usuario a la que se ha cambiado que identifica al administrador. El atributo ampliado, como se almacena en la credencial, se denomina tagvalue_su-admin:
tagvalue_su-admin = <nombre-admin-su>
218
La informacin se almacena en el tipo de datos xnlist_t data. Se puede acceder a los valores mediante la funcin de la utilidad xnvlist_get(). Los componentes de identidad apropiados para un mdulo de autenticacin de cambio de usuario son los siguientes:
xauthn_su_method xauthn_admin_name xauthn_admin_cred xauthn_existing_cred xauthn_username xauthn_qop xauthn_ipaddr xauthn_browser_info
Los componentes de identidad xauthn_browser_info, xauthn_qop y xauthn_ipaddr representan los del administrador, no los del usuario al que se ha cambiado. Estos datos se proporcionan para cualquier mdulo de autenticacin que deba realizar validaciones adicionales de la cuenta del administrador. Nota: Consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference para obtener ms informacin sobre cmo escribir un mdulo de autenticacin personalizado. Configuracin de un mdulo de autenticacin personalizado para el cambio de usuario El siguiente ejemplo ampla el ejemplo descrito en el apartado Parte 2: Configuracin de los mecanismos de autenticacin de cambio de usuario en la pgina 211. El ejemplo agrega un mdulo de autenticacin personalizado para obtener una lista de los mecanismos de autenticacin habilitados. El ejemplo, para una plataforma Solaris, muestra un entorno existente que tiene habilitados tres mecanismos de autenticacin: v Autenticacin de formularios utilizando la biblioteca libldapauthn incorporada. v Autenticacin de certificado utilizando la biblioteca libsslauthn incorporada. v Autenticacin de seal utilizando un mdulo de autenticacin personalizado. En este ejemplo, el administrador desea poder utilizar la autenticacin de cambio de usuario para los tres mtodos de autenticacin. Por consiguiente, en el archivo de configuracin de WebSEAL deben habilitarse tres parmetros adicionales de autenticacin para el cambio de usuario. El tercer parmetro representa la nueva biblioteca de mdulos de autenticacin personalizados que se ha escrito para emular la autenticacin de seal existente y para dar soporte a los requisitos de autenticacin de cambio de usuario: Las entradas del archivo de configuracin antes de habilitar el cambio de usuario para los tres mecanismos de autenticacin son las siguientes:
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so token-cdas = /opt/PolicyDirector/lib/libcustom.so
Observe que la biblioteca de autenticacin personalizada de seales del ejemplo se denomina libcustom.so. La nueva versin de cambio de usuario de esta biblioteca de autenticacin personalizada de seales se denominar libsucustom.so. Despus de agregar el mecanismo de autenticacin de cambio de usuario, las entradas del archivo de configuracin son las siguientes:
Captulo 7. Autenticacin avanzada de WebSEAL
219
[authentication-mechanisms] passwd-ldap = /opt/PolicyDirector/lib/libldapauthn.so cert-ssl = /opt/PolicyDirector/lib/libsslauthn.so token-cdas = /opt/PolicyDirector/lib/libcustom.so su-password = /opt/PolicyDirector/lib/libsuformauthn.so su-certificate = /opt/PolicyDirector/lib/libsucert.so su-token-card = /opt/PolicyDirector/lib/libsucustom.so
Observe los siguientes cambios: v La nueva entrada para el mdulo de autenticacin se denomina su-token-card. El valor para esta entrada es el nombre completo de la ruta de acceso de la biblioteca compartida que se ha ampliado para dar soporte al cambio de usuario. v Para los mtodos de autenticacin no personalizados del ejemplo, recuerde que: El mtodo de autenticacin su-forms proporcionado en el formulario de cambio de usuario se correlaciona con el parmetro del mecanismo de autenticacin su-password del archivo de configuracin de WebSEAL. Se ha cambiado el nombre de la biblioteca libsuauthn proporcionada para los mecanismos de autenticacin de certificado y formularios.
220
221
4. Finalmente, el usuario enva el formulario completado (POST). WebSEAL no detecta ninguna entrada en la cach para el usuario, una nueva entrada en la cach y almacena temporalmente en la cach toda la informacin que contiene la solicitud POST. 5. Dado que WebSEAL no encuentra credenciales para este usuario, ste se debe autenticar. WebSEAL enva un formulario de inicio de sesin al usuario. 6. El usuario devuelve el formulario de inicio de sesin completado a WebSEAL (POST). La autenticacin es correcta. La cach contiene ahora las credenciales del usuario, as como la solicitud almacenada en la cach. 7. WebSEAL enva una redireccin HTTP de vuelta al navegador, que contiene la direccin URL del recurso solicitado originalmente. 8. El navegador sigue la redireccin (GET). WebSEAL intercepta la redireccin y vuelve a crear la solicitud (formulario) original utilizando los datos de POST de la cach. La solicitud (formulario) restaurada se entrega a la designacin de la direccin URL.
Notas de utilizacin v Los parmetros de almacenamiento en la cach del servidor protegen a WebSEAL de ataques del tipo de denegacin de servicio que podran provocar que WebSEAL almacenara en la cach ms datos de los que pueda gestionar. v El almacenamiento en la cach de la solicitud del servidor no funcionar correctamente si el valor de tiempo de espera de la sesin del usuario caduca durante el proceso de inicio de sesin. En esta situacin, se pierde la entrada de la cach.
222
v El almacenamiento en la cach de la solicitud en el servidor puede causar limitaciones en la capacidad del navegador de manipular el recurso. El navegador no sabe que WebSEAL ha vuelto a crear la redireccin HTTP. Por consiguiente, la funcin de recarga y renovacin y la capacidad de almacenamiento en la cach del navegador pueden quedar afectadas.
Este valor puede incrementarse cuando el despliegue necesita almacenar en la cach solicitudes que son anormalmente grandes. El nico tamao mximo existente es el tamao impuesto por el tipo de datos. No obstante, aumentar el tamao puede afectar negativamente al rendimiento y a la seguridad del sistema. Asignar bferes de mayor tamao supone un aumento del uso de memoria y, por consiguiente, puede dar lugar a una disminucin del rendimiento. Y, lo que es an ms importante, asignar bferes de gran tamao aumenta el riesgo de un ataque satisfactorio de denegacin de servicio provocado por un usuario malicioso. El riesgo aumenta simplemente porque WebSEAL carga y retiene ms datos en la memoria, lo que ofrece al usuario un bfer de mayor tamao desde el que puede intentar un ataque.
223
autenticacin de formularios, WebSEAL establece un mnimo fijo de 512 bytes en el parmetro request-body-max-read. Cuando este valor se establece en un valor inferior al mnimo, dicho valor se omite y se utiliza el valor 512. Este valor tambin tiene un impacto sobre el proceso de direcciones URL dinmicas ya que la parte de consulta de URI de la solicitud POST se encuentra en el cuerpo de la solicitud. Nota: Este valor no limita el tamao mximo de POST. El tamao mximo de POST es ilimitado. El valor del parmetro request-body-max-read est relacionado con el valor del parmetro max-client-read. Cuando request-body-max-read se establece en un valor superior a 16384, es necesario aumentar el valor de max-client-read como mnimo el doble del valor de request-body-max-read. Cuando el valor de max-client-read es inferior al doble del valor de request-body-max-read, WebSEAL omite request-body-max-read e impone un valor de la mitad del valor de max-client-read. El valor predeterminado es 4096:
[server] request-body-max-read = 4096
Puede establecer este parmetro en cero (0). Cuando se sobrepasa el valor de la cach del servidor para request-body-max-read durante una solicitud, WebSEAL cancela el proceso de almacenamiento en la cach de la solicitud. WebSEAL devuelve al navegador el mensaje Error en el almacenamiento en cach de la solicitud, y escribe el error en el archivo de registro. Puede personalizar este mensaje de error. Consulte el apartado Pginas de mensajes de error HTTP en la pgina 93. El valor de request-body-max-read tambin afecta al valor especificado para request-max-cache. Consulte el apartado Modificacin del parmetro request-max-cache.
224
Cuando se sobrepasa el valor de la cach del servidor para request-max-cache durante una solicitud, WebSEAL cancela el proceso de almacenamiento en la cach de la solicitud. WebSEAL devuelve al navegador el mensaje Error en el almacenamiento en cach de la solicitud, y escribe el error en el archivo de registro. Puede personalizar este mensaje de error. Consulte el apartado Pginas de mensajes de error HTTP en la pgina 93.
225
226
periodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la entrada de la cach de sesin.
Cualquier usuario que intente acceder a budget.html est forzado a reautenticarse utilizando la misma identidad y el mismo mtodo de autenticacin que generaron la credencial existente. Si el usuario que solicita el recurso no est autenticado, la POP fuerza al usuario a autenticarse. No es necesaria ninguna reautenticacin para este recurso despus de un inicio de sesin inicial correcto. Los detalles acerca de la utilidad de lnea de comandos pdadmin pueden encontrarse en la publicacin IBM Tivoli Access Manager Base Gua del administrador.
Independientemente de la actividad o inactividad de la sesin, la entrada de la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario. No obstante, puede configurar el restablecimiento de la duracin de la entrada de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la cach de sesin.
227
Puede configurar el restablecimiento de la duracin de la entrada de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la entrada de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 230.
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de entrada de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental. Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes.
228
Este parmetro es tambin adecuado para la reautenticacin debido a la caducidad del valor de tiempo de espera de inactividad de la entrada de la cach de sesin. Consulte el apartado Configuracin de la reautenticacin basada en la poltica de inactividad de sesin en la pgina 230.
Durante un inicio de sesin inicial, el valor de la macro %USERNAME% est vaco y el campo de texto de nombre de usuario aparece en blanco en la pgina de inicio de sesin. Para un cliente reautenticado, la macro %USERNAME% contiene el valor del nombre de usuario del cliente. El campo de texto de nombre de usuario de la pgina de inicio de sesin aparece con el nombre de usuario completado automticamente.
229
230
WebSEAL enva una solicitud de inicio de sesin. Tras realizar una reautenticacin correcta, el indicador de la sesin inactiva se elimina y el temporizador de inactividad se restablece. Si falla la reautenticacin, WebSEAL devuelve de nuevo la solicitud de inicio de sesin. La entrada de la cach de sesin sigue marcada con un indicador y el usuario puede continuar como usuario no autenticado hasta que caduque el valor de duracin de la entrada de la cach de sesin. Si la reautenticacin es satisfactoria, pero la comprobacin de ACL falla para ese recurso, se devuelve un error 403 No autorizado y se rechaza el acceso del usuario al recurso solicitado. El valor de duracin de la entrada de la cach de sesin normalmente determina la longitud mxima de la sesin. Cuando caduque este valor de duracin, la sesin terminar independientemente de la actividad que haya. No obstante, WebSEAL se puede configurar para permitir al usuario reautenticarse despus de que caduque el valor de duracin de la sesin. Tras una reautenticacin correcta, se restablece el valor de duracin de la entrada de la cach de sesin. Otras dos condiciones pueden terminar una sesin de usuario: el usuario puede finalizar la sesin de forma explcita o un administrador puede terminar una sesin de usuario. Consulte el apartado Terminacin de sesiones de usuario en la pgina 382. Se dispone de la configuracin para restablecer el temporizador de duracin de la entrada de la cach de sesin de WebSEAL. Adems, se puede configurar un periodo de gracia para permitir que haya tiempo suficiente para completar el proceso de reautenticacin antes de que caduque el tiempo de espera de duracin de la entrada de la cach de sesin.
Independientemente de la actividad o inactividad de la sesin, la entrada de la cach de sesin se elimina cuando se alcanza el valor de duracin, en cuyo momento se finaliza la sesin del usuario.
Captulo 7. Autenticacin avanzada de WebSEAL
231
No obstante, puede configurar el restablecimiento de la duracin de la entrada de la cach de sesin siempre que se produzca una reautenticacin. Con esta configuracin, la sesin del usuario ya no tendr un valor mximo nico de duracin. Cada vez que se produzca una reautenticacin, se restablecer el valor de duracin de la entrada de la cach de sesin. Puede configurar el restablecimiento de la duracin de las entradas de la cach de sesin con el parmetro reauth-reset-lifetime en la stanza [reauthentication] del archivo de configuracin webseald.conf:
[reauthentication] reauth-reset-lifetime = yes
El valor predeterminado es no. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 226.
El valor predeterminado, 0, no proporciona ninguna ampliacin al valor de tiempo de espera de la entrada de la cach de sesin. El parmetro reauth-extend-lifetime se aplica a los usuarios con entradas de cach de sesin existentes y a los que se requiera reautenticacin. Por ejemplo: v Los usuarios que realicen una reautenticacin como resultado de la poltica de seguridad POP. v Los usuarios que realicen una reautenticacin como resultado de la inactividad de la cach de sesin. v Los usuarios que realicen una autenticacin incremental.
232
Se prev que la opcin reauth-extend-lifetime se utilice junto con la opcin reauth-reset-lifetime=yes. Este parmetro es tambin adecuado para la reautenticacin debido a la poltica de seguridad (POP). Consulte el apartado Configuracin de la reautenticacin basada en la poltica de seguridad en la pgina 226.
233
Durante un inicio de sesin inicial, el valor de la macro %USERNAME% est vaco y el campo de texto de nombre de usuario aparece en blanco en la pgina de inicio de sesin. Para un cliente reautenticado, la macro %USERNAME% contiene el valor del nombre de usuario del cliente. El campo de texto de nombre de usuario de la pgina de inicio de sesin aparece con el nombre de usuario completado automticamente.
234
El ejemplo anterior habilita la redireccin automtica para la autenticacin de formularios, la autenticacin bsica y la autenticacin de seal. 3. Especifique la direccin URL a la que se redirecciona al usuario tras iniciar la sesin.
235
La direccin URL se puede expresar como una ruta de acceso completa o relativa al servidor. Por ejemplo:
[acnt-mgt] login-redirect-page = http://www.ibm.com
O bien
[acnt-mgt] login-redirect-page = /jct/intro-page.html
Observe que se agrega el carcter de almohadilla (#) al principio de cada lnea. El ejemplo anterior inhabilita la redireccin automtica de la autenticacin de formularios, la autenticacin bsica y la autenticacin de seal. 3. Detenga y reinicie el servidor WebSEAL.
Limitaciones
WebSEAL no da soporte a la redireccin automtica al iniciar la sesin en las condiciones siguientes: v Cuando un cliente Windows se ha autenticado utilizando el protocolo SPNEGO (y la autenticacin Kerberos) como parte del inicio de sesin nico del escritorio de Windows. v Durante la reautenticacin. v Cuando el navegador se abre de nuevo mientras se utiliza la autenticacin bsica. La redireccin funciona de la forma esperada la primera vez que un usuario visita una pgina con un navegador y se autentica con un nombre de usuario y una contrasea vlidos. No obstante, si dicha instancia del navegador se cierra y se abre otra instancia, la pgina redireccionada no se visualiza una vez que el usuario se ha autenticado.
236
237
238
Si el servicio de titularidad de atributos de credencial incorporado no puede proporcionar toda la informacin necesaria para el despliegue, puede escribir su propio servicio de titularidad de atributos de credencial. Este servicio puede incluir su propia versin de un servicio de titularidad de atributos de registro. Tivoli Access Manager da soporte a esto como parte de la API de autorizacin. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. v Servicio de autenticacin externo de atributos ampliados de credencial (CDAS) WebSEAL proporciona una interfaz API de autenticacin externa que puede utilizarse para desarrollar servicios de autenticacin externos. Estos servicios se conocen como CDAS (servicio de autenticacin entre dominios). Puede utilizar la API de autenticacin externa de WebSEAL para desarrollar su propio servicio de autenticacin externo. Este servicio puede utilizarse cuando es necesario obtener informacin sobre autenticacin del usuario que va ms all de la informacin de titularidad. El uso del servicio CDAS de atributos ampliados de credencial es aconsejable cuando una aplicacin necesita acceder a informacin disponible solamente en el momento de la autenticacin, o cuando la aplicacin necesita correlacionar un ID de usuario utilizado durante la autenticacin con el ID de usuario de Tivoli Access Manager. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Web Security Developer Reference.
Tenga en cuenta que WebSEAL toma automticamente el valor azn_ent_cred_attrs y busca la biblioteca compartida correspondiente. Por ejemplo, en Solaris, libazn_ent_cred_attrs.so
239
2. Agregue una entrada de definicin del servicio de la API de autorizacin para especificar el uso del servicio de titularidad. Agregue la entrada en la stanza [aznapi-configuration]. La entrada debe utilizar la palabra clave cred-attribute-entitlementservices. El valor de esta entrada debe ser el ID de servicio que ha seleccionado con anterioridad, como por ejemplo TAM_CRED_ATTRS_SVC. Por ejemplo:
[aznapi-configuration] cred-attribute-entitlement-services = TAM_CRED_ATTRS_SVC
Nota: Para obtener ms informacin sobre la configuracin de los servicios de titularidad de atributos de credencial, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference y revise el archivo de configuracin de ejemplo, aznapi.conf. Este archivo de configuracin se incluye en el kit de desarrollo de aplicaciones de autorizacin de Tivoli Access Manager (PDAuthADK).
El nombre de la stanza [TAM_CRED_ATTRS_SVC] es el ID del servicio. En esta stanza se indican las fuentes de los atributos que deben recuperarse. Los nombres de las fuentes, como user y group, se utilizan para identificar la ubicacin de la fuente en el registro. Debe definirlas. Los valores para estas fuentes son identificadores de registro que se encuentran en el registro. Los valores pueden ser nombres de atributos de credencial existentes. En tal caso, el servicio encuentra y utiliza automticamente los valores respectivos. Configure los atributos de registro para cada una de las fuentes de la stanza de servicio en una stanza distinta. La sintaxis de la stanza distinta es el nombre de la biblioteca de los ID de servicio seguida por dos puntos (:) y, a continuacin, el nombre de la fuente. Esta conexin es necesaria porque en el mismo archivo puede configurarse ms de un servicio. Las entradas del archivo de configuracin contienen correlaciones de los atributos de usuario con atributos de credencial definidos por el usuario.
240
Por ejemplo, en un registro de usuarios LDAP, el DN para un usuario podra ser el siguiente:
cn=joeuser, o=tivoli
Para este usuario, las entradas de registro de usuarios LDAP podran ser las siguientes:
sn=Smith employeetype=bankteller homepostaladdress="3004 Mission St Santa Cruz CA 95060" email=joeuser@bigco.com
Utilizando las entradas de configuracin de ejemplo mostradas, la lista de atributos devuelta tendra estas entradas:
Nombre del atributo credattrs_lastname credattrs_employeetype credattrs_address credattrs_email credattrs_businesscategory Valor del atributo Smith bankteller 3004 Mission St Santa Cruz CA 95060 joeuser@bigco.com finance
Observe que el servicio, la fuente y los atributos pueden tener varios valores. Si especifica el mismo nombre de atributo en una palabra clave de una entrada de stanza, los atributos que se recuperen se agregarn como un atributo de varios valores aun cuando provengan de distintas fuentes. Por ejemplo, es posible encadenar ms de un servicio de titularidad. Esto permite utilizar los valores recuperados de un servicio como valores de entrada para otro servicio. Del mismo modo, es posible recuperar atributos de ms de un DN del registro de usuarios. Por consiguiente, si utilizamos el mismo ejemplo anterior, podra agregar valores de varios usuarios (DN) a un atributo credattrs_businesscategory si quisiera obtener una lista de todas las entradas businesscategory para un grupo de usuarios. Por ejemplo, si desea crear un atributo denominado myemployeeinfo para agregarlo a la credencial, y desea que este atributo contenga los apellidos y el tipo de empleado de todos los usuarios que autentica, podra definir lo siguiente:
[myID] source = azn_cred_authzn_id [myID:source] myemployeeinfo = lastname myemployeeinfo = employeetype
241
Debe configurar la unin para extraer los datos de atributos ampliados de la credencial e insertarlos en la cabecera HTTP de la solicitud. Esta funcin se consigue definiendo un atributo ampliado de unin, denominado HTTP-Tag-Value, en el objeto de unin del espacio de objetos protegidos de WebSEAL. Utilice el comando pdadmin object modify set attribute para definir atributos ampliados en un objeto de unin del espacio de objetos protegidos de WebSEAL.
pdadmin> object modify nombre_objeto set attribute nombre_atributo valor_atributo
La lnea de comandos anterior debe especificarse en una sola lnea. Un atributo ampliado (nombre_atributo) habilita la unin para realizar un tipo especfico de funcin. El atributo ampliado HTTP-Tag-Value indica a la unin que extraiga un valor determinado de una credencial de usuario y enve el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el formato siguiente:
nombre_atributo_ampliado_credencial = nombre_cabecera_http
La entrada nombre_atributo_ampliado_credencial es la misma que el atributo especificado en el archivo de configuracin de WebSEAL pero sin el prefijo tagvalue_. La entrada no es sensible a las maysculas y minsculas. La entrada nombre_cabecera_http especifica el nombre de la cabecera HTTP utilizada para entregar los datos a travs de la unin. Por ejemplo:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value ldap-employee-number=employee-id
Cuando WebSEAL procesa una solicitud de usuario para un servidor de aplicaciones de fondo, busca si hay algn atributo HTTP-Tag-Value configurado en el objeto de unin. En este ejemplo, la unin configurada busca la credencial del usuario que ha efectuado la solicitud, extrae el valor del atributo ampliado de credencial tagvalue_ldap-employee-number y lo coloca en una cabecera HTTP como:
employee-id:09876
En resumen:
Valor del atributo HTTP-Tag-Value definido en el objeto de unin: Nombre y valor de atributo tal como aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: ldap-employee-number=employee-id tagvalue_ldap-employee-number:09876
employee-id:09876
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
HTTP_nombre_cabecera_http
242
Por ejemplo:
HTTP_employee-id=09876
Se pueden pasar mltiples datos de atributos de usuario al servidor con unin en cabeceras HTTP utilizando varios comandos pdadmin object modify set attribute para especificar mltiples atributos de unin HTTP-Tag-Value (se especifica un atributo por comando).
243
Renovacin de credenciales
Este apartado contiene los temas siguientes: v Conceptos sobre la renovacin de credenciales v Configuracin de la renovacin de credenciales en la pgina 249 v Uso de la renovacin de credenciales en la pgina 250
244
Para obtener ms informacin sobre los servicios de atributos de credencial indicados, consulte el apartado Mecanismos para agregar atributos de registro a una credencial en la pgina 238. Cuando se lleva a cabo la renovacin de la credencial, los servicios indicados se gestionan del modo siguiente: v Se ejecuta el servicio de titularidad de atributos de credencial predeterminado. v Se ejecuta el servicio de titularidad de atributos de credencial personalizado. v Los mdulos de autenticacin externos de atributos ampliados de credencial no se ejecutan. Los valores de configuracin de renovacin de la credencial permiten conservar los atributos obtenidos durante el uso inicial de un servicio de titularidad. Por ejemplo, si un atributo contena una marca de fecha y hora para el inicio de la sesin del usuario, puede ser necesario conservar esta marca de fecha y hora aun cuando la credencial se haya renovado. Los valores de configuracin de renovacin de la credencial permiten conservar los atributos obtenidos de un mdulo de autenticacin de atributos ampliados de credencial. Puesto que los mdulos de autenticacin personalizados no se ejecutan de nuevo durante la reconstruccin de la credencial, se utilizan los valores del archivo de configuracin para especificar qu atributos deben agregarse a la nueva credencial.
3. Para cada atributo de la credencial antigua para el que existe un atributo correspondiente en la credencial nueva, se aplican las reglas siguientes: v Cuando el archivo de configuracin contiene una entrada coincidente, el atributo de la credencial fusionada se conserva o se renueva de acuerdo con el valor de la entrada en el archivo de configuracin. v Si el archivo de configuracin no contiene ninguna entrada que coincida, se asigna el valor de la nueva credencial al atributo de la credencial fusionada. 4. Para cada atributo de la credencial antigua para el que no existe ningn atributo correspondiente en la credencial nueva, se aplican las reglas siguientes: v Si el archivo de configuracin contiene una entrada para el atributo que especifica refresh, el atributo no se agrega a la credencial fusionada.
Captulo 7. Autenticacin avanzada de WebSEAL
245
v Si el archivo de configuracin contiene una entrada para el atributo que especifica preserve, el atributo se agrega a la credencial fusionada. v Si el archivo de configuracin no contiene ninguna entrada para el atributo, el atributo no se agrega a la credencial fusionada.
246
El patrn del nombre del atributo se utiliza para seleccionar un conjunto determinado de atributos. Tambin puede utilizarse la coincidencia con caracteres comodn. Es posible que un atributo determinado coincida con varios patrones comodn distintos. Por consiguiente, el orden de los elementos del archivo de configuracin es importante. El primer patrn que coincida con un atributo determinado es el nico patrn que se aplica a dicho atributo. Los nombres de atributo del patrn_nombre_atributo no deberan ser sensibles a maysculas y minsculas, ya que los nombres de atributo de las credenciales no lo son. Ejemplo: Mantener todos los atributos de valor de indicador agregados por un CDAS de atributos ampliados:
[credential-refresh-attributes] tagvalue_* = preserve
Ejemplo: Actualizar el atributo tagvalue_last_refresh_time con el valor de la nueva credencial, pero mantener todos los dems atributos que empiezan por tagvalue_:
[credential-refresh-attributes] tagvalue_last_refresh_time = refresh tagvalue_* = preserve
Tenga en cuenta que el orden de los atributos del archivo es importante. En el ejemplo siguiente, tagvalue_last_refresh_time no se renovar porque la primera coincidencia que se encuentra es la entrada tagvalue_*, que est establecida en preserve (conservar):
[credential-refresh-attributes] tagvalue_* = preserve tagvalue_last_refresh_time = refresh
Evite conservar los atributos que empiezan por las letras AZN_. Por lo general, la API de autorizacin utiliza dichos atributos internamente al tomar decisiones sobre la autorizacin. Estos atributos se describen con ms detalle en la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. En dicha publicacin, consulte el apartado dedicado a la obtencin de listas de atributos de credenciales.
247
v El nivel de autenticacin del usuario se conserva cuando se renuevan las credenciales. Durante una sesin de usuario, el nivel de autenticacin del usuario puede cambiarse cuando se aplica la poltica de intensidad de la autenticacin (autenticacin incremental). En la mayora de los casos, es aconsejable conservar el nivel de autenticacin modificado durante una renovacin de credencial. Si no desea conservar el nivel de autenticacin, cambie la entrada del archivo de configuracin:
authentication_level = refresh
v La entrada tagvalue_* conserva todos los atributos de credencial cuyo nombre empieza por los caracteres tagvalue_. Los atributos que tienen el prefijo tagvalue_ generalmente los proporcionan los servicios de autenticacin externos (CDAS) que desean agregar informacin del usuario a la credencial. El prefijo es necesario para garantizar que se incluyen las credenciales cuando WebSEAL inserta datos de credencial en una cabecera HTTP para enviarlos a travs de una unin.
Limitaciones
v No es posible llamar a los CDAS de atributos ampliados durante la renovacin de una credencial. Si tiene un atributo que debe poder renovarse durante la renovacin de una credencial, utilice el servicio de titularidad de atributos de credencial para establecer el atributo, o utilice una regla de renovacin de credencial para conservar el atributo. v No es posible evitar la llamada al servicio de titularidad de atributos de credencial durante la renovacin de una credencial. Si tiene un atributo que debera establecerse slo una vez, durante la autenticacin inicial, utilice un CDAS de atributos ampliados para establecer el atributo.
248
v Si es apropiado, utilice el orden de las entradas para gestionar entradas especficas y grupos de entradas. Por ejemplo, para conservar el atributo special_cred_attr1 y renovar todos los dems atributos que presentan la construccin de denominacin special_cred_attr*, agregue las entradas siguientes:
[credential-refresh-attributes] special_cred_attr1 = preserve special_cred_attr* = refresh
Paso 3: Habilite la ubicacin del nombre del servidor en una cabecera de unin
Se pasa una cabecera con el nombre del servidor de administracin de la API de autorizacin con codificacin URI a todos los servidores de unin. Si no se especifica ningn nombre de cabecera, la cabecera no se enviar a la unin. El valor se establece en el archivo de configuracin predeterminado de WebSEAL.
[header-names] server-name = iv_server_name
Este valor controla el nombre de la cabecera que se utiliza para pasar el nombre del servidor a las aplicaciones con unin. Por ejemplo, si server-name = iv_server_name, y la instancia de servidor WebSEAL es default-websealddiamond.subnet1.ibm.com, WebSEAL pasa la cabecera siguiente a la unin:
iv-server-name:default-webseald-diamond.subnet1.ibm.com
Generalmente, se utiliza el valor predeterminado iv_server_name. No obstante, puede reemplazarlo por cualquier cadena vlida. Las cadenas vlidas estn limitadas a estos caracteres: [A-Z], [a-z], [09], guin (-) o carcter de subrayado (_).
Captulo 7. Autenticacin avanzada de WebSEAL
249
WebSEAL acepta un valor en blanco para server-name. Generalmente, esto no es muy til, pero puede utilizarse si la aplicacin con unin opta por tener el nombre del servidor codificado en lugar de obtenerlo de la cabecera. 1. Asegrese de que la clave server-name est establecida en el archivo de configuracin para la instancia de servidor WebSEAL. 2. Reinicie el servidor WebSEAL.
Especifique este comando en una sola lnea de comandos. Para obtener el nombre del servidor con el formato correcto, utilice el comando pdadmin server list. A continuacin, escriba el comando pdadmin para renovar todas las sesiones. Por ejemplo, si est conectado a pdadmin como el usuario administrador sec_master:
pdadmin sec_master> server list default-webseald-diamond.subnet1.ibm.com default-webseald-cmd pdadmin sec_master> server task default-webseald-diamond.subnet1.ibm.com \ refresh all_sessions brian DPWWA2043I The users credential was updated.
Cada comando de la tarea de servidor pdadmin debe escribirse en una nica lnea de comandos. Si el usuario no ha iniciado una sesin en el servidor WebSEAL, se devuelve un mensaje de aviso. Notas de uso: v Configure la renovacin de credenciales para WebSEAL antes de utilizar este comando pdadmin. Consulte el apartado Configuracin de la renovacin de credenciales en la pgina 249. v Debe emitir un comando pdadmin distinto para cada usuario cuyas credenciales deban renovarse. No es posible renovar las credenciales de ms de un usuario a la vez. v El usuario que invoque este comando debe tener el permiso de administrador del servidor (bit s de ACL) en el objeto de servidor /WebSEAL/nombre_instancia_nombre_host. De este modo evitar que usuarios no autorizados realicen operaciones de renovacin de credenciales. Tenga en cuenta que el objeto de servidor nombre_instancia_nombre_host es distinto del nombre del servidor. Para determinar el nombre exacto del objeto de servidor, utilice pdadmin object list. Por ejemplo, si ha iniciado una sesin en pdadmin como el usuario administrador sec_master:
250
Resolucin de problemas
v Problema: cuando se agrega una nueva entrada de grupo a la informacin del usuario en un registro de usuarios, el comando de renovacin de credenciales no obtiene la nueva entrada. Solucin: algunos registros de usuario mantienen la informacin almacenada en la cach. La cach se actualiza de forma peridica. La actualizacin de la cach debe tener lugar antes de renovar la credencial. Del mismo modo, cuando se utiliza un registro de usuarios LDAP replicado, las actualizaciones en los registros replicados no se realizan inmediatamente. Espere 30 segundos e intente renovar la credencial de nuevo. Para obtener ms informacin, consulte el apartado Renovacin de la informacin de la credencial almacenada en la cach en la pgina 246.
251
252
253
254
Descripcin Archivo de bases de datos de claves. Almacena certificados personales, solicitudes de certificados personales y certificados de firmante. Por ejemplo, el archivo de bases de datos de claves predeterminado de WebSEAL es pdsrv.kdb. Archivo stash. Almacena una versin enmascarada de la contrasea de la base de datos de claves. El nombre del que se deriva este archivo es el mismo que el del archivo .kdb asociado. Tambin almacena claves privadas, si existen. Archivo de bases de datos de solicitudes. Se crea automticamente cuando se crea un archivo de bases de datos de claves .kdb. El nombre del que se deriva este archivo es el mismo que el del archivo .kdb asociado. Este archivo contiene solicitudes de certificado que son especiales y no se han recibido todava de la CA. Cuando se devuelve un certificado de la CA, se busca la solicitud de certificados correspondiente en el archivo .rdb (segn la clave pblica). Si se encuentra una coincidencia, el certificado se recibe y la solicitud de certificados correspondiente se elimina del archivo .rdb. Si no se encuentra, se rechaza el intento de recibir el certificado. En la solicitud de certificado se incluyen el nombre comn, la organizacin, la direccin postal y otra informacin especificada en el momento de la solicitud, as como la clave pblica y la clave privada asociadas con la solicitud. Archivo de lista de revocacin de certificados. Este archivo contiene normalmente la lista de certificados que se han revocado por alguna razn. No obstante, iKeyman no da soporte a las listas de revocacin de certificados, por lo que est vaco. Archivo binario en cdigo ASCII. Un archivo .arm contiene una representacin ASCII codificada en base 64 de un certificado, incluida la clave pblica, pero no la privada. Los datos originales binarios del certificado se transforman en una representacin ASCII. Cuando un usuario recibe un certificado en un archivo .arm, iKeyman descodifica la representacin ASCII y coloca la representacin binaria en el archivo .kdb correspondiente. De la misma forma, cuando un usuario extrae un certificado de un archivo .kdb, iKeyman convierte los datos de binario a ASCII, y los coloca en un archivo .arm. Nota: Se puede utilizar cualquier extensin de archivo (distinta de .arm), siempre que el archivo est codificado en Base64. Archivo de Reglas de codificacin distinguida. Un archivo .der contiene una representacin binaria de un certificado, incluida la clave pblica, pero no la privada. Es muy parecido al archivo .arm, excepto que la representacin es binaria, no ASCII. Archivo PKCS 12, donde PKCS hace referencia a los Estndares criptogrficos de clave pblica. Un archivo .p12 contiene una representacin binaria de un certificado, incluidas tanto la clave pblica como la privada. Un archivo .p12 tambin puede contener ms de un certificado; por ejemplo, una cadena de certificados. Como el archivo .p12 contiene una clave privada, su contrasea est protegida.
.sth
.rdb
.crl
.arm
.der
.p12
Puede usar la utilidad iKeyman para crear una nueva base de datos de claves. Sin embargo, debe especificar el nombre y la ubicacin de este nuevo archivo de claves en el parmetro webseal-cert-keyfile para que WebSEAL pueda encontrar y utilizar los certificados que contiene la base de datos.
255
Contrasea del archivo de base de datos de claves: Durante la instalacin, WebSEAL tambin proporciona un archivo stash predeterminado que contiene la contrasea para el archivo de claves pdsrv.kdb. El parmetro webseal-cert-keyfile-stash indica a WebSEAL la ubicacin del archivo stash:
webseal-cert-keyfile-stash = /var/pdweb/www/certs/pdsrv.sth
La contrasea predeterminada cifrada en este archivo stash es pdsrv. Tambin puede expresar una contrasea como texto sin formato en el parmetro webseal-cert-keyfile-pwd. Por ejemplo:
webseal-cert-keyfile-pwd = pdsrv
Durante la instalacin, WebSEAL utiliza el archivo stash para obtener la contrasea de archivo de claves. El parmetro webseal-cert-keyfile-pwd est comentado. Si utiliza el archivo stash, podr evitar que la contrasea aparezca como texto en el archivo de configuracin webseald.conf. Nota: Elimine el comentario del parmetro de contrasea especfico que desee utilizar. Si ha especificado la contrasea y el archivo stash, se utilizar el valor de la contrasea. Certificado de prueba de WebSEAL: Durante la instalacin, WebSEAL proporciona un certificado autofirmado de prueba que no es seguro. El certificado de prueba, que funciona como certificado de servidor, permite a WebSEAL identificarse ante los clientes SSL. Para controlar mejor la utilizacin de este certificado de prueba, el certificado no se instala como certificado predeterminado. En su lugar, el parmetro webseal-cert-keyfile-label designa al certificado como certificado de servidor activo, prevaleciendo sobre cualquier otro certificado designado como predeterminado en la base de datos del archivo de claves.
webseal-cert-keyfile-label = WebSEAL-Test-Only
Nota: WebSEAL utiliza las funciones de manejo de certificados de GSKit. GSKit permite, pero no requiere, designar un certificado de las bases de datos de archivos de clave como el certificado predeterminado. Para obtener ms informacin sobre el manejo de certificados, consulte el documento de GSKit: Secure Socket Layer and iKeyman Users Guide. Aunque este certificado de prueba permite a WebSEAL responder a una solicitud de navegador habilitado para SSL, el navegador (que no contiene ningn certificado raz de CA apropiado) no lo puede verificar. Debido a que la clave privada para este certificado predeterminado est incluida en cada distribucin de WebSEAL, este certificado no ofrece ninguna comunicacin verdaderamente segura. Debe usar la utilidad iKeyman para generar una solicitud de certificados que se pueda enviar a una entidad emisora de certificados (CA). Utilice iKeyman para instalar y etiquetar el certificado de servidor devuelto. Si utiliza certificados diferentes para otras situaciones (por ejemplo, para uniones K), puede usar la utilidad iKeyman para crear, instalar y etiquetar estos certificados. La etiqueta del archivo de claves no debe contener espacios.
256
WebSEAL (que se ejecuta de forma predeterminada como user ivmgr) debe disponer de permiso read (r) en esos archivos de base de datos de claves. Comunicacin SSL entre servidores para Tivoli Access Manager: La stanza [ssl] del archivo de configuracin webseald.conf contiene cuatro parmetros adicionales utilizados para configurar el archivo de claves que utiliza WebSEAL para la comunicacin SSL interna con otros servidores de Tivoli Access Manager. Slo debe modificar estos parmetros a travs del script de configuracin pdconfig.
[ssl] ssl-keyfile = ssl-keyfile-pwd = ssl-keyfile-stash = ssl-keyfile-label =
257
Los parmetros para la ubicacin del servidor LDAP a los que se puede hacer referencia durante la autenticacin a travs de uniones SSL de la comprobacin CRL se encuentran en la stanza [junction] del archivo de configuracin webseald.conf:
[junction] #crl-ldap-server = <nombre-servidor> #crl-ldap-server-port = <id-puerto> #crl-ldap-user = <nombre-admin-webseal> #crl-ldap-user-password = <contrasea-admin>
La comprobacin de CRL est inhabilitada de forma predeterminada (los parmetros estn comentados). Para habilitar la comprobacin de CRL durante la autenticacin de certificado, elimine el comentario de cada uno de los parmetros y especifique los valores apropiados. Un valor vaco para crl-ldap-user indica que el mecanismo de autenticacin de SSL debe enlazarse al servidor LDAP como usuario annimo.
258
259
260
Los pasos de configuracin WebSEAL varan en funcin de la plataforma del sistema operativo y del tipo de registro de usuarios de Tivoli Access Manager. Nota: Para poder utilizar SPNEGO es necesario desplegar un servicio de sincronizacin de la hora en el servidor Active Director, el servidor WebSEAL y en los clientes (navegadores) que se autenticarn utilizando SPNEGO. WebSEAL e IIS gestionan las sesiones de forma distinta. IIS mantiene el estado de la sesin con los clientes volviendo a autenticar cada nueva conexin TCP mediante el protocolo SPNEGO. SPNEGO y Kerberos estn diseados para realizar una autenticacin segura a travs de redes que no son seguras. Es decir, deben proporcionar autenticacin segura aun cuando utilicen un transporte que no sea seguro, como HTTP. Este mtodo de IIS de mantener el estado de una sesin podra tener un efecto negativo en el rendimiento. WebSEAL evita este problema utilizando distintos mtodos de estado de la sesin. Los mtodos de estado de la sesin de WebSEAL se basan en un modelo de seguridad que espera que el despliegue de WebSEAL se realice a travs de una red segura o mediante un transporte seguro, como SSL. WebSEAL optimiza el rendimiento manteniendo el estado mediante los ID de sesin SSL o las cookies HTTP. WebSEAL tambin proporciona un entorno seguro y escalable ya que da soporte a uniones entre WebSEAL y servidores de fondo. Por consiguiente, las soluciones de inicio de sesin nico que utilicen SPNEGO para WebSEAL slo deberan desplegarse a travs de una red segura o de un transporte seguro, como SSL.
261
v Internet Explorer 5.5 SP2 v Internet Explorer 6.0 SP1 (en Windows 2000) Internet Explorer debe configurarse para que participe en la solucin de inicio de sesin nico del escritorio de Windows.
Limitaciones
A continuacin se indican las funciones de WebSEAL a las que no se da soporte con autenticacin SPNEGO: v Temporizador de sesin o POP basado en la reautenticacin de clientes autenticados mediante SPNEGO. v Cambio de contrasea mediante pkmspasswd.
262
v Correlacin de un nombre de usuario a travs de a CDAS. v Uso de un CDAS de atributos ampliados de credencial para agregar atributos ampliados a una credencial de usuario. v Los clientes SPNEGO no pueden finalizar la sesin de WebSEAL. Deben finalizar la sesin desde la estacin de trabajo. Los clientes que acceden a pginas del comando pkms de WebSEAL (con la excepcin del cambio de usuario) reciben la pgina de ayuda de PKMS. v Reautenticacin cuando el temporizador de sesin inactiva caduca para los clientes SPNEGO. La entrada de la cach de usuario se elimina, pero el ID de la sesin se mantiene. La informacin de la cabecera que se recibe del cliente SPNEGO se utiliza para la reautenticacin. El cliente no debe iniciar la sesin de nuevo pero recibe una entrada de cach de sesin nueva. v Reautenticacin cuando el usuario accede a un objeto con una poltica de reautenticacin asociada. En este caso, se deniega el acceso y el usuario recibe un mensaje que indica que es necesario autenticarse de nuevo. Tambin existe la siguiente limitacin: v No se da soporte a la autenticacin de Microsoft NT LAN Manager (NTLM). No obstante, el plug-in web de Tivoli Access Manager para IIS da soporte a NTLM. WebSEAL puede desplegarse en una solucin de inicio de sesin nico de e-community que utiliza el plug-in web para IIS para llevar a cabo la autenticacin SPNEGO utilizando NTLM. v El uso de SPNEGO simultneamente con otros mtodos de autenticacin no funciona con Netscape 4.7,
263
v Paso 10: Configure el cliente Internet Explorer en la pgina 270 Informacin sobre resolucin de problemas: v Sugerencias para la resolucin de problemas en la pgina 270
264
Este nombre debe correlacionarse con el usuario de Active Directory que representa la instancia de servidor WebSEAL, como se ha creado en el paso 1 anterior. Para llevar a cabo esta correlacin, se necesita la utilidad ktpass de Windows. Es posible que la utilidad ktpass no est cargada en el sistema Windows de forma predeterminada. Puede obtenerse del paquete de herramientas de soporte de Windows que se encuentra en el CD de Windows. Windows Los pasos de configuracin difieren entre la configuracin del primer servidor WebSEAL (default) y la configuracin de varias instancias de servidor. Utilice las instrucciones apropiadas que se indican a continuacin. Servidor WebSEAL default (primer servidor): 1. Registre el nombre del principal del servicio para el servidor WebSEAL. En el controlador de dominio de Active Directory, ejecute el comando ktpass. Por ejemplo, si el nombre de host de WebSEAL es diamond.subnet2.ibm.com y el dominio de Active Directory es IBM.COM, el comando es:
ktpass -princ HTTP/diamond.subnet2.ibm.com@IBM.COM -mapuser diamond$
Observe que el valor de la opcin -mapuser presenta el carcter de dlar ($) al final. El usuario que tiene el signo de dlar ($) representa la cuenta de servicio local. Varias instancias de servidor WebSEAL: 1. Registre el nombre del principal del servicio para el servidor WebSEAL. En el controlador de dominio de Active Directory, ejecute el comando ktpass. Por ejemplo, si el nombre de la instancia de WebSEAL es web1, el nombre de host es web1.subnet2.ibm.com y el dominio de Active Directory es IBM.COM, el comando es:
ktpass -princ HTTP/web1.subnet2.ibm.com@IBM.COM -mapuser web1
Nota: El usuario especificado mediante -mapuser debe coincidir con el usuario creado en el paso 1 anterior. La opcin -mapuser no crea una cuenta de usuario. 2. Modifique el servicio para la instancia de modo que empiece a utilizar el nuevo usuario que acaba de crear. Abra el panel de control Servicios, haga clic con el botn derecho del ratn en el servicio para un servidor WebSEAL nuevo y seleccione Propiedades. Seleccione la ficha Iniciar sesin y seleccione el botn de opcin Esta cuenta. Para el nombre de cuenta, introduzca el nombre de la cuenta que acaba de crear. Por ejemplo, web1@subnet1.ibm.com. Introduzca la contrasea para la cuenta. 3. Otorgue al administrador de la cuenta nueva privilegios para la mquina local. En la mquina cliente, seleccione:
Panel de control > Herramientas administrativas > Administracin de equipos
A continuacin, seleccione:
Usuarios locales y grupos > Grupos
Haga clic con el botn derecho del ratn en Administradores y seleccione Agregar a grupo. Pulse el botn Agregar. 4. Seleccione el men desplegable Buscar en. Busque el nombre del dominio de Active Directory. Busque el nombre del usuario que acaba de crear. Haga doble
Captulo 9. Soluciones de inicio de sesin nico de cliente
265
clic en el nombre de usuario. Pulse Aceptar. Pulse Aceptar en cada pantalla segn sea necesario para finalizar la configuracin. UNIX Efecte los pasos siguientes: 1. En sistemas UNIX, adems de correlacionar cada usuario, debe crear un archivo keytab para utilizarlo al iniciar una sesin en el dominio Kerberos. La sintaxis es la siguiente:
ktpass -princ nombre_DNS_servidor_WebSEAL@nombre_dominio_Active_Directory \ -pass su_contrasea -mapuser instancia_servidor_WebSEAL \ -out ruta_acceso_completa_archivo_keytab -mapOp opcin
Especifique este comando en una sola lnea de comandos. Por ejemplo, dados los valores siguientes:
Valor de configuracin Sistema host de WebSEAL Identidad de usuario para la instancia de servidor WebSEAL Dominio de Active Directory Contrasea Archivo Keytab Valor diamond.subnet2.ibm.com diamond
Mensaje de error de set supresin cuando el principal de Kerberos ya est asociado con el usuario (-map0p)
Especifique este comando en una sola lnea de comandos. La identidad de usuario es el usuario de Active Directory creado en el paso anterior. La contrasea especificada aqu restablece la contrasea para el usuario de Active Directory. Es preferible utilizar una contrasea muy segura, como una contrasea creada de forma aleatoria. La ubicacin del archivo keytab es arbitraria. Conserve esta contrasea para utilizarla en un paso posterior para probar la configuracin Kerberos (al probar la autenticacin de una mquina UNIX con el Centro de distribucin de claves de Active Directory). 2. Transfiera el archivo keytab al sistema UNIX. Asegrese de que se utiliza un mtodo de transferencia seguro. La ubicacin recomendada es la siguiente:
/var/pdweb/keytab-nombre_instancia/nombre_archivo_keytab
3. Para una mayor seguridad, elimine el archivo keytab del sistema Windows.
266
4. En el sistema UNIX, asigne la propiedad del archivo a ivmgr y limite los permisos en el archivo keytab de modo que slo el propietario tenga acceso al mismo. Por ejemplo:
# chown ivmgr archivo_keytab # chgrp ivmgr archivo_keytab # chmod 600 archivo_keytab
5. Para servidores UNIX, repita los pasos anteriores para cada instancia de servidor WebSEAL.
Siga las instrucciones que correspondan a su sistema operativo: AIX Use la utilidad mkkrb5clnt.. Esta utilidad crea y completa el archivo /etc/krb5/krb5.conf. 1. Ejecute mkkrb5clnt. La sintaxis es la siguiente:
mkkrb5clnt -r dominio_Active_Directory -c DNS_del_controlador_Active_Directory -s DNS_del_controlador_Active_Directory -d dominio_DNS_local
Por ejemplo:
mkkrb5clnt -r IBM.COM -c dc1.ibm.com -s dc1.ibm.com -d dns.com
2. Edite manualmente el archivo krb5.conf para eliminar el valor criptogrfico al que Active Directory no da soporte.
[libdefaults] default_tkt_enctypes = des-cbc-md5 des-cbc-crc default_tgs_enctypes = des-cbc-md5 des-cbc-crc
267
Solaris Edite manualmente el archivo krb5.conf. Personalice la siguiente informacin para su dominio: v Dominio Por ejemplo, IBM.COM v Nombre de servidor del controlador de Active Directory Por ejemplo, dc1. v Nombre de dominio Por ejemplo, ibm.com. v Nombre de DNS Por ejemplo, ibm.com. Utilizando estos valores de ejemplo, el contenido del archivo de configuracin de Kerberos incluira las entradas siguientes:
La ltima lnea del archivo de ejemplo anterior (.ibm.com = IBM.COM) representa el dominio de DNS en el que el servidor WebSEAL funciona y al que se conectan los usuarios. Observe el punto (.) que aparece delante del dominio IBM en la ltima lnea. Este punto acta como comodn para todos los hosts del dominio ibm.com.
Paso 5: Verifique la autenticacin del principal del servidor web (slo UNIX)
Utilice el programa kinit para verificar que el principal de Kerberos para el servidor WebSEAL puede autenticarse. Utilice la contrasea que ha especificado al ejecutar ktpass en el paso 2:
# /usr/krb5/bin/kinit diamond@IBM.COM Password for diamond@IBM.COM: contrasea_servidor # klist
Debera obtener datos de salida de klist que muestren las credenciales para diamond@IBM.COM. Nota: La ubicacin de la utilidad kinit puede variar en funcin de la plataforma del sistema operativo.
268
Debera obtener datos de salida de klist que muestren las credenciales para HTTP/diamond.subnet2.ibm.com@IBM.COM.
Por ejemplo:
[spnego] # UNIX ONLY spnego-krb-service-name = HTTP@diamond.subnet1.ibm.com # UNIX ONLY spnego-krb-keytab-file = /var/pdweb/keytab-diamond/diamond_HTTP.keytab
Si configura varias instancias de servidor WebSEAL, asegrese de especificar la informacin para la instancia. Por ejemplo, utilizando el ejemplo anterior del paso 2, para una instancia de servidor denominada web1, introduzca:
269
Windows Utilice el panel de control Servicios. En Windows, WebSEAL debe ejecutarse como un servicio para que la autenticacin SPNEGO funcione correctamente. De lo contrario, se ejecuta utilizando la identidad del usuario que ha iniciado la sesin.
270
Solucin: algunas versiones de kinit no manejan correctamente los problemas que surgen cuando no se encuentra una entrada en un archivo keytab. Compruebe que el archivo keytab tiene la misma entrada exacta que est pasando a kinit. Configuracin de WebSEAL v Cuando surge un problema, considere la posibilidad de habilitar el seguimiento para SPNEGO. Agregue una entrada al archivo de rutas. El archivo de rutas se encuentra en el directorio de instalacin, en etc/routing. Entrada de ejemplo:
bst:*.9:TEXTFILE:directorio_instalacin_WebSEAL/log/spnegotrace.log
En UNIX, el directorio predeterminado de instalacin de WebSEAL es /opt/pdweb. Sustituya la ruta de acceso para su directorio de instalacin. Detenga y reinicie WebSEAL. Busque los mensajes de error en el archivo de seguimiento. v Problema: el servidor WebSEAL no se inicia. El archivo de registro contiene un error que indica que el mtodo de autenticacin (kerberosv5) no est configurado. Solucin: habilite el mtodo de autenticacin kerberosv5 en la stanza [authentication-mechanisms] del archivo de configuracin de WebSEAL. v Problema: el servidor WebSEAL no se inicia. El mensaje de error indica que la funcin gss_import_name del servicio de seguridad ha devuelto un cdigo de error principal 131072 y un cdigo de secundario -1765328168. Solucin: el nombre de principal especificado en el archivo de configuracin no es vlido. Debera tener el formato HTTP@nombre_host donde nombre_host es el nombre de DNS completo de un equipo que est configurado en el dominio de Kerberos. v Problema: el servidor WebSEAL no se inicia. El mensaje de error indica que la funcin gss_acquire_cred del servidor de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario 39756033. Solucin: el nombre de principal del archivo de configuracin no coincide con ninguna de las claves del archivo keytab especificado. Las claves del archivo keytab tienen nombres del tipo HTTP/nombre_host@REALM. El nombre de principal debera tener el formato HTTP@nombre_host v Problema: el servidor WebSEAL no se inicia. El mensaje de error es HPDST0129E e indica que la funcin gss_acquire_cred del servicio de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario 486484225 (pd / bst) o el mensaje de error HPDST0129E que indica que la funcin gss_acquire_cred del servicio de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario 39756033 (pd / bst). Solucin: estos errores surgen debido a problemas de bsqueda inversa de DNS. Verifique que la bsqueda inversa funciona correctamente. v Problema: cuando un usuario intenta acceder a WebSEAL recibe un error HPDIA0100E que indica que se ha producido un error interno. El archivo de registro de seguimiento de WebSEAL contiene un mensaje que indica que la funcin gss_accept_sec_context del servicio de seguridad ha devuelto un cdigo de error principal 851968 y un cdigo de error secundario -1765328347. Solucin: el reloj del sistema de la mquina del cliente no est sincronizado con el reloj del sistema del servidor WebSEAL. Debe mantener los relojes sincronizados cuando utilice Kerberos. Para que la solucin sea permanente, despliegue algn servicio de sincronizacin en las mquinas. Para una solucin temporal, ajuste los relojes de las mquinas de modo que la diferencia entre ellos sea de un minuto como mximo.
Captulo 9. Soluciones de inicio de sesin nico de cliente
271
272
1. Cualquier usuario que desea participar en mltiples dominios debe tener una cuenta de usuario vlida en el dominio inicial y una identidad que se pueda correlacionar en una cuenta vlida en cada uno de los dominios remotos participantes. Un usuario no puede invocar la funcionalidad de CDSSO sin autenticarse inicialmente en un dominio seguro inicial (A) que contiene la cuenta del usuario. 2. El usuario realiza una solicitud para acceder a un recurso del dominio B a travs de un vnculo personalizado en una pgina web. El vnculo contiene una expresin de la pgina de gestin de CDSSO especial:
/pkmscdsso?<URL-destino>
Por ejemplo:
http://websealA/pkmscdsso?https://websealB/resource.html
3. La solicitud se procesa en primer lugar por el servidor WebSEAL en el dominio A. El servidor websealA crea una seal de autenticacin que contiene las credenciales del usuario, incluida la identidad de Tivoli Access Manager (nombre corto), el dominio actual (A), informacin adicional del usuario y la marca de fecha y hora. Este proceso lo lleva a cabo la funcin token create del mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca). La informacin adicional del usuario (atributos ampliados) se puede obtener mediante una llamada a la biblioteca compartida CDMF compartida (cdmf_get_usr_attributes). Esta biblioteca proporciona atributos de usuario que pueden ser utilizados por el dominio B durante el proceso de correlacin de usuarios. WebSEAL cifra mediante DES triple estos datos de la seal con la clave simtrica generada por la utilidad cdsso_key_gen. Este archivo de claves se comparte y se especifica en la stanza [cdsso-peers] del archivo de configuracin de WebSEAL de los servidores WebSEAL del dominio A y del dominio B. La seal contiene una marca de fecha y hora configurable ( authtoken-lifetime) que define la duracin de la seal. La marca de fecha y hora, cuando se configura correctamente, puede evitar los ataques de respuestas. La seal se encuentra en una solicitud redireccionada al servidor de destino, mediante la direccin URL contenida en el vnculo pkmscdsso. Por ejemplo:
http://websealB/resource.html?PD-ID=<encoded-authentication-token>
4. El servidor websealA redirecciona la solicitud que contiene la seal cifrada de nuevo hacia el navegador y, a continuacin, al servidor websealB (redireccin HTTP). 5. El servidor websealB descodifica y valida la seal como si viniera del dominio de referencia. Este proceso lo lleva a cabo la funcin token consume del mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca). 6. La funcionalidad de token consume puede invocar ms una biblioteca CDMF personalizada que lleva a cabo la correlacin del usuario real (cdmf_map_usr). La biblioteca CDMF pasa la identidad del usuario, y cualquier informacin de atributo ampliado, de nuevo a la biblioteca de token consume. La biblioteca de consumo de seal utiliza esta informacin para crear una credencial. 7. El servicio de autorizacin websealB permite o deniega el acceso a objetos protegidos basndose en la credencial del usuario y los permisos de la ACL especficos asociados con los objetos solicitados.
273
274
Objetivo: configurar la mquina para que primero busque informacin sobre DNS en el DNS antes de comprobar el archivo /etc/hosts local. 1. Asegrese de que el archivo /etc/resolv.conf tiene entradas de servidor DNS vlidas. 2. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts dns files
Objetivo alternativo: configurar la mquina para que primero utilice informacin sobre DNS local (/etc/hosts) antes de comprobar el DNS. 1. Configure la mquina para comprobar /etc/hosts antes de buscar en el DNS. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts files dns
La informacin general especfica de Windows que se ofrece a continuacin slo se proporciona como ejemplo: 1. Utilice DNS y especifique dos direcciones IP:
Conexiones de red > LAN > Propiedades > TCP/IP
3. En esta misma ventana, especifique el sufijo DNS principal para esta conexin:
Conexiones de red > LAN > Propiedades > TCP/IP > Avanzadas > DNS > Agregar...
4. En las propiedades del sistema, especifique el nombre del equipo y su sufijo DNS:
Mi PC > Propiedades > ID de red > Propiedades > Nombre del equipo Mi PC > Propiedades > ID de red > Propiedades > Ms > Sufijo de DNS principal
275
El valor both especifica los protocolos HTTP y HTTPS. El valor none inhabilita la biblioteca de creacin de seales. Para habilitar la biblioteca de consumo de seales (es decir, que el servidor aceptar seales CDSSO para autenticacin), establezca la entrada siguiente:
[cdsso] cdsso-auth = {none|http|https|both}
El valor both especifica los protocolos HTTP y HTTPS. El valor none inhabilita la biblioteca de consumo de seales. Nota: Debe detener y reiniciar el servidor WebSEAL para poder activar los cambios realizados en el archivo de configuracin de WebSEAL. Siga todos los pasos de configuracin que corresponda de este apartado y, a continuacin, reinicie WebSEAL.
276
Biblioteca de seal de inicio de sesin nico Solaris libssocreate.so libssoconsume.so AIX libssocreate.a libssoconsume.a Windows ssocreate.dll ssoconsume.dll HP-UX libssocreate.sl libssoconsume.sl
Puede configurar el mecanismo de autenticacin de CDSSO especificando los parmetros sso-create y sso-consume con el nombre de la ruta de acceso completo del archivo de biblioteca predeterminado especfico de la plataforma adecuada en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] sso-create = /opt/pdwebrte/lib/libssocreate.so sso-consume = /opt/pdwebrte/lib/libssoconsume.so
Windows:
[authentication-mechanisms] sso-create = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssocreate.dll sso-consume = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssoconsume.dll
Windows:
MSDOS> C:\Archivos de programa\Tivoli\PDWebRTE\bin\cdsso_key_gen <ubicacin-archivo-claves>
Especifique esta ubicacin del archivo de claves en la stanza [cdsso-peers] del archivo de configuracin de WebSEAL del servidor WebSEAL participante de cada dominio. El formato debe incluir el nombre de host completo del servidor WebSEAL y el nombre de ruta de acceso absoluta de la ubicacin del archivo de claves:
[cdsso-peers] <nombre-host-completo> = <nombre-ruta-acceso-archivo-claves-completo>
277
Esta configuracin especifica qu clave utiliza websealA para cifrar una seal destinada a websealB en el dominio B. Ejemplo de configuracin para el servidor websealB en el dominio B:
[cdsso-peers] websealA.domainA.com = <nombre_ruta>/A-B.key
Esta configuracin especifica qu clave utiliza websealB (en el dominio B) para descifrar una seal recibida de websealA en el dominio A. En el ejemplo anterior, el archivo A-B.key se genera en una mquina (websealA, por ejemplo) y se copia manualmente (de forma segura) a la otra mquina (websealB, por ejemplo).
Debe tener en cuenta las diferencias horarias entre los dominios participantes. La diferencia horaria significa que las horas del sistema difieren en los servidores relevantes de cada dominio. Cuando esta diferencia se aproxima al valor de authtoken-lifetime, la duracin efectiva de la seal se reduce en gran medida. Cuando esta diferencia supera el valor de authtoken-lifetime, las seales de un dominio no pueden ser vlidas para el otro dominio. Los administradores deben ajustar authtoken-lifetime en consecuencia. Sin embargo, cuando la diferencia horaria requiere que authtoken-lifetime est establecido en un valor elevado, el riesgo de ataques de resolicitud aumenta. En este caso, los administradores deben considerar la sincronizacin de la hora del sistema en los servidores relevantes de cada uno de los dominios. Consulte el apartado Inicio de sesin nico entre dominios (CDSSO) en la pgina 472.
278
Debe configurar esta etiqueta de la seal de forma idntica en ambos servidores WebSEAL que participen en la funcionalidad de inicio de sesin nico. Para configurar la etiqueta de la seal, utilice el parmetro cdsso-argument que se encuentra en la stanza [cdsso] del archivo de configuracin de WebSEAL. Por ejemplo (predeterminado):
[cdsso] cdsso-argument = PD-ID
Consulte el apartado Inicio de sesin nico entre dominios (CDSSO) en la pgina 472.
Por ejemplo:
http://websealA/pkmscdsso?https://websealB/resource.html
La biblioteca de creacin de seales crea y codifica la seal de autenticacin (que contiene la informacin de identidad del usuario) e incluye esta seal en una solicitud redireccionada al recurso que utiliza la informacin de URL de destino desde el vnculo de CDSSO. Por ejemplo:
http://websealB/resource.html?PD-ID=<seal-autenticacin-codificada>
279
El valor predeterminado es true. Cuando el parmetro use-utf8 est establecido en false, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico entre dominios con servidores WebSEAL antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Para obtener informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
Nota: Para habilitar la compatibilidad con versiones anteriores con servidores WebSEAL anteriores a la versin 4.1, debe establecer un parmetro adicional. Consulte el apartado Habilitacin de la compatibilidad con seales anteriores a la versin 4.1.
280
? * []
A cada entrada de WebSEAL se le asigna el nombre del dominio para el que se ha concebido la seal. Este nombre toma uno o ms argumentos que especifican nombres o patrones. La sintaxis es la siguiente:
[cdsso-token-attributes] nombre_dominio = patrn1 [patrn2], ... [patrnN] <default> = patrn1 [patrn2], ... [patrnN]
La entrada <default> es opcional. Cuando WebSEAL no encuentra ninguna entrada que coincida con el nombre del dominio, WebSEAL busca una entrada <default>. Si el archivo de configuracin contiene una entrada <default>, WebSEAL utiliza los patrones de atributo asignados para el dominio actual. La
281
cadena <default> es una palabra claves y debe especificarse exactamente como se muestra, incluidos los caracteres < y >. Ejemplo: est creando una solucin de inicio de sesin nico entre dominios entre dos dominios, example1.com y example2.com. Los usuarios inician una sesin en example1.com pero pueden ser redireccionados a example2.com durante la sesin de usuario. El despliegue incluye un CDAS personalizado que inserta informacin en cada credencial de usuario. La informacin incluye un atributo de nombre fijo job_category y un nmero variable de atributos, cada uno con el prefijo formado por los caracteres "my_cdas_attr_. Esta informacin debe agregarse a la seal entre dominios. Las entradas del archivo de configuracin seran las siguientes:
example2.com = job_category, my_cdas_attr_*
Generalmente, los nombres de los atributos ampliados (patrn_atributo) coinciden con los nombres de los atributos especificados en la stanza [cdsso-tokenattributes] del archivo de configuracin para un servidor WebSEAL que genera las seales. El valor debe ser una de las palabras clave siguientes: v preserve Extrae todos los atributos que coinciden con el patrn_atributo. v refresh No extrae los atributos que coinciden con el patrn_atributo. Los atributos ampliados de la seal que no coinciden con ninguna entrada de la stanza [cdsso-incoming-attributes] se conservan (extraen). El orden de las entradas de la stanza es importante. Se utiliza la primera entrada que coincide con un nombre de atributo. Las dems entradas se omiten. Por ejemplo, si desea extraer un atributo denominado my_special_attr1, pero desea omitir todas las dems entradas que tengan el prefijo my_special_attr_, las entradas de la stanza seran las siguientes:
282
Utilizando los ejemplos mostraros anteriormente en el apartado Especificacin de los atributos ampliados que deben agregarse a la seal en la pgina 281, las entradas del archivo de configuracin de WebSEAL para un servidor que funciona en el dominio example2.com podran ser las siguientes:
[cdsso-incoming-attributes] job_category = preserve my_cdas_attr_1 = preserve my_cdas_attr_* = refresh
En este ejemplo, los atributos job_category y my_cdas_attr_1 se extraen de la seal. El resto de atributos que presentan el prefijo my_cdas_attr_ se omiten.
283
El dominio inicial es el propietario de los usuarios, es decir, controla la informacin de autenticacin del usuario. Independientemente de dnde haga el usuario la solicitud de recursos, el dominio inicial siempre es el dominio donde el usuario se tiene que autenticar. La autenticacin se produce en un servidor maestro de autenticacin (MAS)un servidor (o conjunto de servidores replicados) que se encuentra en el dominio inicial y que est configurado para autenticar todos los usuarios. El diagrama representa el MAS como mas.dA.com. La labor del MAS debe estar restringida a proporcionar servicios de autenticacin. El MAS no debe contener recursos que estn disponibles a otros usuarios. Despus de que un usuario se haya autenticado correctamente en el MAS, el MAS genera una seal de garantizacin. Esta seal se pasa de nuevo al servidor en el que el usuario est realizando la solicitud. El servidor trata esta seal de garantizacin como prueba de que el usuario se ha autenticado correctamente en el MAS y puede participar en la e-community. La transferencia de informacin entre los dominios de la e-community se describe en detalle en el apartado Flujo de proceso de e-community en la pgina 285.
284
v La implementacin de la e-community permite la autenticacin local en dominios remotos si el usuario no tiene una cuenta vlida con el MAS (por ejemplo, usuarios que pertenecen al dominio B pero que no participan en el dominio A e-community B). Un usuario que no pasa la autenticacin con el MAS al solicitar un recurso en un dominio no MAS (pero que s participa) tiene la opcin de autenticarse en el servidor local en el que se est realizando la solicitud. v El MAS (y eventualmente otros servidores seleccionados en los dominios remotos) garantizan la identidad autenticada del usuario. v Las cookies especficas del dominio se utilizan para identificar al servidor que puede proporcionar servicios de garantizacin. Esto permite a los servidores de un dominio remoto solicitar informacin de garantizacin localmente. El contenido cifrado de las cookies de la e-community no incluye informacin de seguridad ni de identidad de usuarios. v Las seales especiales se utilizan para pasar la identidad de usuario de garantizacin cifrada. La seal de garantizacin no contiene informacin de autenticacin de usuarios real. La integridad viene garantizada por la clave secreta compartida (DES triple). La seal contiene un valor de tiempo de espera (de duracin) para limitar la duracin de la validez de la seal.
285
La verificacin solicitada del servidor de garantizacin adopta la forma de seal de garantizacin. El servidor de garantizacin crea la seal y la devuelve al servidor WebSEAL que realiza la solicitud. La informacin de la identidad del usuario en la seal est cifrada. La seal contiene un lmite de duracin. Tras recibir la seal de garantizacin, el servidor que realiza la solicitud crea credenciales y una sesin local para el usuario. El usuario tiene ahora acceso al recurso solicitado, siguiendo los controles normales de autorizacin. El usuario tiene la ventaja de que no debe repetir la autenticacinuno de los objetivos del modelo de e-community. Consulte el siguiente diagrama para seguir el flujo de proceso de la e-community en lo que queda de apartado. El flujo de proceso describe dos ejemplos posibles de PRIMER acceso (1 y 2). A continuacin, se presentan dos ejemplos posibles de SIGUIENTE acceso (3 y 4) que siguen inmediatamente despus de 2 3. El ejemplo 5 se produce en cualquier momento despus del acceso inicial.
Servidores de garantizacin v El MAS se utiliza siempre para autenticar el usuario que accede a cualquier parte de la e-community por primera vez. El MAS debe actuar slo como servidor de autenticacin y no como proveedor de recursos. El MAS no se debe configurar para funcionar como servidor maestro de autenticaciones y, simultneamente, proteger los recursos. Esta recomendacin afecta al rendimiento, y no es un requisito de seguridad. v El MAS siempre es el servidor de garantizacin para el dominio inicial (dominio A en este ejemplo). v Una cookie de e-community especfica del dominio se utiliza para identificar el servidor de garantizacin para todos los dems servidores de un determinado dominio. El servidor de garantizacin es el primer servidor de un dominio que solicita una seal de garantizacin del MAS. El servidor de garantizacin proporciona informacin de garantizacin para el usuario dentro del dominio. Este servidor puede realizar localmente las solicitudes posteriores de servicios de garantizacin en un determinado dominio remoto, en lugar de acceder al MAS fuera del dominio. En el dominio inicial, la cookie de e-community identifica el MAS como servidor de garantizacin.
286
(1) PRIMER acceso local de e-community (Dominio A): WebSEAL 1 1. El usuario solicita un recurso protegido por WebSEAL 1 (dentro del mismo dominio que MAS). El navegador no contiene ninguna cookie de e-community para este dominio. WebSEAL 1 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 1 tiene habilitada la autenticacin de la e-community, y especifica la ubicacin del MAS. WebSEAL 1 redirecciona el navegador a una direccin URL de garantizacin especial en el MAS. 3. El MAS recibe la solicitud de garantizacin y, si no encuentra credenciales para el usuario, solicita el inicio de sesin del usuario. 4. Despus de iniciar sesin correctamente, el MAS crea una credencial para el usuario, la almacena en la cach y redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 1 con una seal de garantizacin cifrada. Adems, una cookie de e-community especfica del dominio A se coloca en el navegador para identificar el servidor de garantizacin para este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica el estado de error. Esta seal se construye para que no se pueda distinguir de una seal de garantizacin de estado correcta. El servidor que realiza la solicitud reacciona a una seal de estado de error como si el usuario no hubiera pasado la autenticacin local. 5. WebSEAL 1 descifra la seal y crea su propia credencial para el usuario. Nota: La correlacin de identidades no debera ser necesaria dentro del mismo dominio. Si se requiere la correlacin de identidades, WebSEAL 1 debe utilizar CDMF (Cross-domain Mapping Framework). 6. El servicio de autorizaciones permite o rechaza la solicitud. (2) PRIMER acceso remoto de e-community (Dominio B): WebSEAL 3 1. El usuario solicita un recurso protegido por WebSEAL 3 (dominio B remoto). El navegador no contiene ninguna cookie de e-community para este dominio. WebSEAL 3 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 3 tiene habilitada la autenticacin de e-community, y especifica la ubicacin del MAS. WebSEAL 3 redirecciona el navegador a una direccin URL de garantizacin especial en el MAS. 3. El MAS recibe la solicitud de garantizacin y, si no encuentra credenciales para el usuario, solicita el inicio de sesin del usuario. 4. Despus de iniciar sesin correctamente, el MAS crea una credencial para el usuario, la almacena en la cach y redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 3 con una seal de garantizacin cifrada. Adems, una cookie de e-community especfica del dominio A se coloca en el navegador para identificar el servidor de garantizacin para este dominio (en este caso, el MAS). Si el intento de inicio de sesin no es correcto, el MAS devuelve una seal de garantizacin que indica el estado de error. Esta seal se construye para que no se pueda distinguir de una seal de garantizacin de estado correcta. Si el usuario no se autentica en el MAS, se le solicita una autenticacin local en WebSEAL 3. Si la cuenta del usuario existe en este servidor, la autenticacin es correcta. 5. WebSEAL 3 descifra la seal y crea su propia credencial para el usuario.
287
6. WebSEAL 3 crea y configura una segunda cookie de e-community (vlida para el dominio B) en el navegador, e identifica WebSEAL 3 como el servidor de garantizacin para el dominio B. 7. El servicio de autorizaciones permite o rechaza la solicitud. (3) SIGUIENTE acceso local de e-community (Dominio A): WebSEAL 2 1. El usuario solicita un recurso protegido por WebSEAL 2 (dentro del mismo dominio que MAS). El navegador contiene una cookie de e-community de dominio A que identifica el MAS como servidor de garantizacin. WebSEAL 2 recibe esta cookie. WebSEAL 2 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 2 tiene habilitada la autenticacin de la e-community, y especifica la ubicacin del MAS. La presencia de la cookie de e-community del dominio A anula la configuracin de WebSEAL 2 para la ubicacin de MAS. La cookie proporciona a WebSEAL 2 la identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, tambin habra una cookie de dominio B mantenida en el navegador que no se enviara a un servidor de dominio A). 3. WebSEAL 2 redirecciona el navegador a una direccin URL de garantizacin especial en el servidor de garantizacin del dominio A identificado en la cookie (en este caso, el MAS, porque WebSEAL 2 se encuentra en el dominio A). 4. El MAS recibe la solicitud de garantizacin y encuentra las credenciales para el usuario en la cach (esto ocurre en los casos 1 y 2). 5. El MAS redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 2 con una seal de garantizacin cifrada. 6. WebSEAL 2 descifra la seal y crea su propia credencial para el usuario. 7. El servicio de autorizaciones permite o rechaza la solicitud. (4) SIGUIENTE acceso remoto de e-community (Dominio B): WebSEAL 4 1. El usuario solicita un recurso protegido por WebSEAL 4 (dominio B remoto). Si se produjera primero el caso 2, el navegador contiene una cookie de e-community de dominio B que identifica a WebSEAL 3 como servidor de garantizacin. WebSEAL 4 no tiene credenciales almacenadas en la cach para el usuario. 2. La configuracin de WebSEAL 4 tiene habilitada la autenticacin de e-community, y especifica la ubicacin del MAS. La presencia de una cookie de e-community del dominio B anula la configuracin de WebSEAL 4 para la ubicacin de MAS. La cookie proporciona a WebSEAL 4 la identidad del servidor de garantizacin. (Si se da primero el ejemplo 2, slo habr una cookie de dominio A mantenida en el navegador que no se enviara a un servidor de dominio B. En su lugar, se utilizar la ubicacin configurada del MAS. WebSEAL 4 se convertira en un servidor de garantizacin para el dominio B.) 3. Si ocurriera primero el caso 2, WebSEAL 4 redirecciona el navegador a una direccin URL de garantizacin especial en el servidor de garantizacin del dominio B identificado en la cookie de dominio B (en este caso, WebSEAL 3). 4. WebSEAL 3 recibe la solicitud de garantizacin y encuentra las credenciales para el usuario en la cach (esto ocurre en el caso 2). 5. WebSEAL 3 redirecciona el navegador de nuevo a la direccin URL solicitada originalmente en WebSEAL 4 con una seal de garantizacin cifrada. 6. WebSEAL 4 descifra la seal y crea su propia credencial para el usuario. 7. El servicio de autorizaciones permite o rechaza la solicitud.
288
(5) OTRO acceso local de e-community (Dominio A): WebSEAL 2 1. El usuario se conecta a WebSEAL 2 (dominio A) con una solicitud. Si se ha producido el ejemplo 3, WebSEAL 2 tiene credenciales almacenadas en la cach para el usuario. 2. El servicio de autorizaciones permite o rechaza la solicitud. Fin de sesin de la e-community v Si el usuario finaliza la sesin cerrando el navegador, se borrarn todas las sesiones SSL y las cookies de e-community. v Si el usuario finaliza la sesin a travs de la pgina /pkmslogout, se borrarn la sesin SSL y la cookie de e-community para ese dominio.
La solicitud de garantizacin
La solicitud de garantizacin se desencadena cuando un usuario solicita un recurso de un servidor de destino (configurado para e-community) que no contiene informacin de credencial para ese usuario. El servidor enva una redireccin al servidor de garantizacin (el MAS o un servidor de garantizacin delegado identificado en una cookie de e-community. La solicitud de garantizacin contiene la siguiente informacin:
https://<servidor-garantizacin>/pkmsvouchfor?<nombre-e-community> &<URL-destino >
El servidor receptor comprueba el nombre-e-community para validar la identidad de e-community. El servidor receptor utiliza la direccin-URL-destino de la respuesta de garantizacin para redireccionar el navegador de nuevo a la pgina solicitada originalmente.
Captulo 9. Soluciones de inicio de sesin nico de cliente
289
La respuesta de garantizacin
La respuesta de garantizacin es la respuesta del servidor de garantizacin para el servidor de destino. El servidor de garantizacin es el MAS o un servidor de garantizacin delegado en un dominio remoto del dominio MAS. La respuesta de garantizacin contiene la siguiente informacin:
https: /<direccin-URL-destino>?PD-VFHOST=<servidor-garantizacin> &PD-VF=<seal-cifrada>
La etiqueta PD-VFHOST identifica al servidor que ha realizado la operacin de garantizacin. El servidor receptor (destino) utiliza esta informacin para seleccionar la clave correcta necesaria para descifrar la seal de garantizacin. La etiqueta PD-VF identifica la seal cifrada en la direccin URL de respuesta de garantizacin. Por ejemplo:
https://w5.dB.com/index.html?PD-VFHOST=mas.dA.com&PD-VF=3qhe9fjkp...ge56wgb
290
v Para que e-community funcione correctamente, cada servidor WebSEAL que participe debe revelar su nombre de host completo a los dems servidores participantes en el entorno de varios dominios. Si algn nombre de host no incluye un dominio, e-community no puede habilitarse y se registra un mensaje de error en msg_webseald.log. Cuando se configura un entorno de e-community, debe asegurarse de que la red especfica de la mquina para cada servidor participante est configurada para identificar al servidor con un nombre de host completo. v Todos los servidores WebSEAL que participan en la e-community deben tener sincronizadas las horas en el sistema. La autenticacin entre servidores puede fallar cuando hay grandes diferencias en las horas de los sistemas. v La implementacin de e-community tiene soporte en HTTP y HTTPS. v No se da soporte al siguiente escenario de e-community con fines de produccin o de pruebas: una instancia MAS WebSEAL y una instancia de servidor WebSEAL participante configuradas para utilizar la misma interfaz de red en la misma mquina. v Los dominios individuales de e-community gestionan sus propias identidades de usuario y privilegios asociados. Puede utilizar la API de CDMF (Cross-domain Domain Mapping Function) para correlacionar un usuario de un dominio remoto con un usuario vlido en el dominio local. Si los dominios de e-community comparten identidades de usuario globales, esos usuarios se pueden distinguir mediante contraseas diferentes en los distintos dominios. Por ejemplo, puede haber un usuario abc tanto en el dominio A como en el dominio B, mediante el uso de diferentes contraseas para cada dominio. v La configuracin de e-community se establece en el archivo de configuracin de cada servidor WebSEAL participante. v Si la direccin URL solicitada originalmente no se redirecciona de nuevo al navegador desde MAS (o servidor de garantizacin), podra producirse un problema con el almacenamiento de pginas en la cach si el navegador es Microsoft Internet Explorer. En tal caso, configure el navegador para que siempre compruebe si hay versiones ms nuevas de las pginas almacenadas:
Herramientas > Opciones de Internet > General > Archivos temporales de Internet > Configuracin
v No configure el servidor MAS en la misma interfaz (direccin IP) que otra instancia de servidor WebSEAL participante. v Puesto que algunas configuraciones de WebSEAL requieren la descripcin de los nombres de host de la mquina como nombres de host completos, debe asegurarse de que el sistema y la red puedan tener nombres de mquina como nombres de host completos. Por ejemplo, la utilizacin de nombres de host completos permite mltiples nombres de host (direcciones IP) por mquina, como en el caso de mltiples instancias WebSEAL.
291
Objetivo: configurar la mquina para que primero busque informacin sobre DNS en el DNS antes de comprobar el archivo /etc/hosts local. 1. Asegrese de que el archivo /etc/resolv.conf tiene entradas de servidor DNS vlidas. 2. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts dns files
Objetivo alternativo: configurar la mquina para que primero utilice informacin sobre DNS local (/etc/hosts) antes de comprobar el DNS. 1. Configure la mquina para comprobar /etc/hosts antes de buscar en el DNS. Edite el archivo /etc/nsswitch.conf de modo que la lnea hosts indique el orden correcto para comprobar informacin sobre DNS:
hosts files dns
La informacin general especfica de Windows que se ofrece a continuacin slo se proporciona como ejemplo: 1. Utilice DNS y especifique dos direcciones IP:
Conexiones de red > LAN > Propiedades > TCP/IP
3. En esta misma ventana, especifique el sufijo DNS principal para esta conexin:
Conexiones de red > LAN > Propiedades > TCP/IP > Avanzadas > DNS > Agregar...
4. En las propiedades del sistema, especifique el nombre del equipo y su sufijo DNS:
Mi PC > Propiedades > ID de red > Propiedades > Nombre del equipo Mi PC > Propiedades > ID de red > Propiedades > Ms > Sufijo de DNS principal
292
2. Especifique el nombre unificador de e-community para todos los servidores participantes (e-community-name). 3. Configure el mecanismo de autenticacin de inicio de sesin nico incorporado (biblioteca) para token create (creacin de seal) (sso-create). 4. Cree el archivo de claves para codificar y descodificar la seal de garantizacin. Copie el archivo de claves en todos los servidores participantes pertinentes (stanza [e-community-domain-keys]). 5. Configure el parmetro de etiqueta de la seal utilizado en la respuesta de garantizacin (vf-argument). 6. Especifique si este servidor es el MAS o no (is-master-authn-server). 7. Especifique la direccin URL de garantizacin utilizada en la solicitud de garantizacin (vf-url). 8. Configure los valores de duracin de la seal y ec-cookie (vf-token-lifetime y ec-cookie-lifetime).
293
Nota: Debe detener y reiniciar el servidor WebSEAL par poder activar los cambios realizados en el archivo de configuracin de WebSEAL. Siga todos los pasos de configuracin que corresponda de este apartado y, a continuacin, reinicie WebSEAL.
El valor de e-community-name debe ser el mismo para todos los servidores WebSEAL en todos los dominios que participan en e-community.
Puede configurar el mecanismo de autenticacin de e-community especificando los parmetros sso-create y sso-consume con el nombre de la ruta de acceso completo del archivo de biblioteca predeterminado especfico de la plataforma adecuada en la stanza [authentication-mechanism] del archivo de configuracin de WebSEAL. Por ejemplo: Solaris:
[authentication-mechanisms] sso-create = /opt/pdwebrte/lib/libssocreate.so sso-consume = /opt/pdwebrte/lib/libssoconsume.so
Windows:
[authentication-mechanisms] sso-create = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssocreate.dll sso-consume = C:\Archivos de programa\Tivoli\PDWebRTE\bin\ssoconsume.dll
294
Windows:
MSDOS> C:\Archivos de programa\Tivoli\PDWebRTE\bin\cdsso_key_gen <ubicacin-archivo-claves>
La ubicacin de los archivos de claves utilizados para asegurar las seales enviadas entre los servidores participantes de e-community se especifica en la stanza [e-community-domain-keys].
[e-community-domain-keys] <nombre-dominio> = <ruta-acceso-archivo-claves-completa> <nombre-dominio> = <ruta-acceso-archivo-claves-completa>
En este ejemplo, key.fileA-A identifica el archivo de claves que se utiliza entre todos los servidores del dominio A. key.fileA-B identifica el archivo de claves que se utiliza entre el dominio A y el dominio B. key.fileA-C identifica el archivo de claves que se utiliza entre el dominio A y el dominio C. Cada servidor remoto necesita una copia del archivo de claves adecuado utilizado por el MAS. Para intercambiar las seales con el MAS (dominio A), todos los servidores del dominio B necesitan copias de key.fileA-B:
[e-community-domain-keys] dA.com =/efg/hij/key.fileA-B
Captulo 9. Soluciones de inicio de sesin nico de cliente
295
Para intercambiar las seales con el MAS (dominio A), todos los servidores del dominio C necesitan copias de key.fileA-C:
[e-community-domain-keys] dA.com =/efg/hij/key.fileA-C
Cualquier servidor del dominio A que utilice los servicios de autenticacin proporcionados por el MAS debe tener una copia de key.fileA-A:
[e-community-domain-keys] dA.com =/efg/hij/key.fileA-A
En este ejemplo, key.fileB-B identifica el archivo de claves que se utiliza entre todos los servidores del dominio B. Del mismo modo, key.fileC-C identifica el archivo de claves que se utiliza entre todos los servidores del dominio C.
[e-community-domain-keys] dB.com =/efg/hij/key.fileB-B dC.com =/efg/hij/key.fileC-C
Se pueden configurar varios WebSEAL para actuar como servidores maestros de autenticacin y, a continuacin, colocarlos detrs de un equilibrador de carga. En ese caso, todos los dems servidores WebSEAL de e-community reconocen el equilibrador de carga como el MAS.
296
Si el servidor que est configurando no es el MAS, utilice master-authn-server para especificar a este servidor la ubicacin del MAS. master-authn-server Si el parmetro is-master-authn-server se establece en no, este parmetro debe descomentarse y eliminarse. El parmetro identifica el nombre de dominio completo del MAS. Por ejemplo:
[e-community-sso] master-authn-server = mas.dA.com
Adems, puede especificar los puertos de escucha HTTP y HTTPS utilizados por el MAS si estos valores de puerto son diferentes al predeterminado (puerto 80 para HTTP y puerto 4443 para HTTPS). master-http-port Si e-community-sso-auth habilita la autenticacin de e-community HTTP y el servidor de autenticacin maestro escucha las solicitudes HTTP en un puerto que no sea el puerto HTTP estndar (puerto 80), el parmetro master-http-port identifica el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-http-port = <nmero-puerto>
master-https-port Si e-community-sso-auth habilita la autenticacin de e-community HTTPS y el servidor de autenticacin maestro escucha las solicitudes HTTPS en un puerto que no sea el puerto HTTPS estndar (puerto 443), el parmetro master-http-port identifica el puerto no estndar. Este parmetro se omite si este servidor es el servidor maestro de autenticacin. De forma predeterminada, este parmetro est inhabilitado.
[e-community-sso] master-https-port = <nmero-puerto>
La direccin URL ampliada se utiliza cuando el cliente se comunica con un MAS que no es un servidor WebSEAL. Este uso de vf-url permite al cliente especificar
297
el acceso a un servidor MAS con una biblioteca de autenticacin especializada, como la biblioteca de consumo de seales personalizada.
ec-cookie-lifetime El parmetro ec-cookie-lifetime especifica la duracin mxima (en minutos) de la cookie de dominio de e-community. El valor predeterminado es 300 minutos. Por ejemplo:
[e-community-sso] ec-cookie-lifetime = 300
Debe tener en cuenta las diferencias horarias entre los dominios participantes. La diferencia horaria significa que las horas del sistema difieren en los servidores relevantes de cada dominio. Cuando esta diferencia se aproxima al valor de vf-token-lifetime, la duracin efectiva de la seal se reduce en gran medida. Cuando esta diferencia supera el valor de vf-htoken-lifetime, las seales de un dominio no pueden ser vlidas para el otro dominio. Los administradores deben ajustar vf-token-lifetime en consecuencia. Sin embargo, cuando la diferencia horaria requiere que vf-token-lifetime est establecido en un valor elevado, el riesgo de ataques de resolicitud aumenta. En este caso, los administradores deben considerar la sincronizacin de la hora del sistema en los servidores relevantes de cada uno de los dominios. Consulte el apartado Inicio de sesin nico de e-community en la pgina 475.
298
Cuando ecsso-allow-unauth est establecido en yes, se habilita el acceso no autenticado. El valor predeterminado es yes. Cuando ecsso-allow-unauth est establecido en no, se inhabilita el acceso no autenticado. En tal caso, los clientes debern autenticarse a travs del servidor de autenticacin maestro cuando soliciten acceso a un recurso (protegido o no protegido) de un servidor esclavo SSO de e-community. Nota: El comportamiento predeterminado cambi para WebSEAL versin 5.1. En versiones anteriores, el acceso no autenticado estaba inhabilitado. Para mantener el comportamiento de compatibilidad con versiones anteriores de WebSEAL, establezca ecsso-allow-unauth = no.
El valor predeterminado es yes. Cuando el parmetro use-utf8 est establecido en no, las cadenas se codifican utilizando la pgina de cdigos local. Utilice este valor si implementa el inicio de sesin nico en e-community con servidores WebSEAL ms antiguos (anteriores a la versin 5.1). Los servidores WebSEAL de versiones anteriores a la 5.1 no utilizan la codificacin UTF-8 para seales. Cuando realice el despliegue en un entorno que incluye estos servidores ms antiguos, configure el servidor WebSEAL de la versin 5.1 de modo que no utilice codificacin UTF-8. Este valor es necesario para la compatibilidad con versiones anteriores. Para obtener informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
299
la versin 4.1, debe especificar un valor de archivo de configuracin en el archivo de configuracin de WebSEAL para habilitar la compatibilidad inversa. La compatibilidad con versiones anteriores con el formato de cifrado antiguo no est habilitada de forma predeterminada:
[server] pre-510-compatible-tokens = no
Nota: Para habilitar la compatibilidad con versiones anteriores con servidores WebSEAL anteriores a la versin 4.1, debe establecer un parmetro adicional. Consulte el apartado Habilitacin de la compatibilidad con seales anteriores a la versin 4.1 en la pgina 299.
? * []
300
Tabla 34. Caracteres comodn soportados (continuacin) Carcter ^ Descripcin Indica una negacin. Por ejemplo, la expresin [^ab] coincide con cualquier carcter excepto los caracteres a o b.
A cada entrada de WebSEAL se le asigna el nombre del dominio para el que se ha concebido la seal. Este nombre toma uno o ms argumentos que especifican nombres o patrones. La sintaxis es la siguiente:
[ecsso-token-attributes] nombre_dominio = patrn1 [patrn2], ... [patrnN] <default> = patrn1 [patrn2], ... [patrnN]
La entrada <default> es opcional. Cuando WebSEAL no encuentra ninguna entrada que coincida con el nombre del dominio, WebSEAL busca una entrada <default>. Si el archivo de configuracin contiene una entrada <default>, WebSEAL utiliza los patrones de atributo asignados para el dominio actual. La cadena <default> es una palabra clave y debe especificarse exactamente como se muestra, incluidos los caracteres < y >. Ejemplo: est creando una solucin de inicio de sesin nico de e-community entre dos dominios, example1.com y example2.com. Los usuarios inician una sesin en example1.com pero pueden ser redireccionados a example2.com durante la sesin de usuario. El despliegue incluye un CDAS personalizado que inserta informacin en cada credencial de usuario. La informacin incluye un atributo de nombre fijo job_category y un nmero variable de atributos, cada uno con el prefijo formado por los caracteres "my_cdas_attr_. Esta informacin debe agregarse a la seal entre dominios. Las entradas del archivo de configuracin seran las siguientes:
example2.com = job_category, my_cdas_attr_*
301
Generalmente, los nombres de los atributos ampliados (patrn_atributo) coinciden con los nombres de los atributos especificados en la stanza [ecsso-tokenattributes] del archivo de configuracin del servidor WebSEAL que genera las seales. El valor debe ser una de las palabras clave siguientes: v preserve Extrae todos los atributos que coinciden con el patrn_atributo. v refresh No extrae los atributos que coinciden con el patrn_atributo. Los atributos ampliados de la seal que no coinciden con ninguna entrada de la stanza [ecsso-incoming-attributes] se conservan (extraen). El orden de las entradas de la stanza es importante. Se utiliza la primera entrada que coincide con un nombre de atributo. Las dems entradas se omiten. Por ejemplo, si desea extraer un atributo denominado my_special_attr1, pero desea omitir todas las dems entradas que tengan el prefijo my_special_attr_, las entradas de la stanza seran las siguientes:
[ecsso-incoming-attributes] my_special_attr1 = preserve my_special_attr_* = refresh
Utilizando los ejemplos mostraros anteriormente en el apartado Especificacin de los atributos ampliados que deben agregarse a la seal en la pgina 300, las entradas del archivo de configuracin de WebSEAL para un servidor que funciona en el dominio example2.com podran ser las siguientes:
[ecsso-incoming-attributes] job_category = preserve my_cdas_attr_1 = preserve my_cdas_attr_* = refresh
En este ejemplo, los atributos job_category y my_cdas_attr_1 se extraen de la seal. El resto de atributos que presentan el prefijo my_cdas_attr_ se omiten.
302
303
Debe ocuparse de los dos temas siguientes al crear una unin: 1. Decidir dnde conectar (montar) el servidor de aplicaciones web en el espacio de objetos de WebSEAL. 2. Elegir el tipo de unin.
v Cada unin se define en un archivo independiente con una extensin .xml. v Use la utilidad pdadmin para crear y gestionar las uniones y las opciones. v El formato XML permite crear, editar, duplicar y hacer copia de seguridad manualmente de los archivos de unin.
304
v Puede agregar una unin en cualquier punto del espacio de objetos de WebSEAL principal v Puede conectar varios servidores de fondo replicados al mismo punto de montaje Los diversos servidores de fondo replicados montados en el mismo punto de unin deben ser del mismo tipo TCP o SSL v Las polticas de ACL se heredan a travs de las uniones en los servidores de terceros v El nombre del punto de unin debe ser exclusivo y no debe coincidir con ningn directorio del espacio web del servidor WebSEAL local. Por ejemplo, si WebSEAL tiene recursos del tipo /path/..., no cree un punto de unin con el nombre /path. v El punto de unin no debe coincidir con ningn directorio del espacio web del servidor de fondo si las pginas HTML del servidor contienen programas (por ejemplo, Javascript o applets) con direcciones URL de ese directorio relativas al servidor. Por ejemplo, si las pginas del servidor de fondo contienen programas con una URL del tipo /path/..., no cree un punto de unin con el nombre /path. v No cree varias uniones WebSEAL que apunten al mismo servidor/puerto de aplicacin de fondo. Este tipo de configuracin puede provocar un control imprevisible de acceso a los recursos y, por consiguiente, no es una estrategia de configuracin de Tivoli Access Manager recomendada o soportada. Cada unin WebSEAL puede protegerse mediante un conjunto exclusivo de controles de accesos (ACL). No obstante, la poltica de ACL de cada unin recin creada se solapa sobre las polticas de las uniones creadas previamente y conectadas al mismo servidor de fondo/puerto. Las uniones posteriores protegidas con unas ACL ms permisivas pueden comprometer uniones anteriores con unas ACL menos permisivas. WebSEAL y el modelo de autorizacin de Tivoli Access Manager no pueden garantizar un control de accesos seguro con este tipo de implementacin de unin. v WebSEAL da soporte a HTTP 1.1 a travs de uniones. Nota: Tambin puede utilizar la interfaz grfica de usuario de Tivoli Access Manager Web Portal Manager para crear uniones. Para obtener ms informacin, consulte las pantallas de ayuda en lnea de Web Portal Manager.
305
306
5. Seleccione la casilla de verificacin que se encuentra junto al nombre de la unin y haga clic en Eliminar. Puede eliminar varias uniones al mismo tiempo.
307
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear uniones WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task nombre_servidor-nombre_host create opciones
Por ejemplo, si el nombre configurado de un nico servidor WebSEAL es default, el nombre_servidor es default-webseald seguido por -nombre_host. Por ejemplo, el nombre del servidor sera:
default-webseald-cruz.dallas.ibm.com
Si instala mltiples instancias de servidor WebSEAL en la misma mquina, el servidor-Access-Manager es el nombre configurado de la instancia de servidor WebSEAL, seguido de webseald y del nombre de host:
nombre_instancia-webseald-nombre-host
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Para obtener ms informacin, consulte la pgina de informacin de consulta para pdadmin server task create (WebSEAL) en la publicacin IBM Tivoli Access Manager for e-business Command Reference.
308
Por ejemplo:
pdadmin> server task web1-webseald-cruz create -t tcp -h doc.tivoli.com /pubs
Nota: Es recomendable, como hbito, utilizar siempre el nombre de dominio completo del servidor de fondo cuando se especifica el argumento para la opcin h.
El valor de puerto predeterminado para una unin TCP (si no est especificado) es 80.
El valor de puerto predeterminado para una unin SSL (si no est especificado) es 443.
309
Nota: En el ejemplo anterior, la opcin t ssl establece el puerto predeterminado 443. Host de unin travel_svr en puerto 4443 en el punto de unin /travel a travs de SSL:
pdadmin> server task web1-webseald-cruz create -t ssl -p 4443 \ -h travel_svr /travel
Para inhabilitar una versin de protocolo SSL para uniones, establezca la entrada correspondiente en yes.
310
311
312
Durante la verificacin de certificados de servidor, el DN contenido en el certificado se compara con el DN definido por la unin. La conexin con el servidor de fondo falla si los dos DN no coinciden. Para habilitar la coincidencia de DN del servidor, debe especificar el DN de servidor de fondo cuando cree una unin SSL utilizando la opcin D DN. Para preservar los espacios en blanco de la cadena, especifique la cadena de DN entre comillas. Por ejemplo:
-D "/C=US/O=Tivoli/OU=SecureWay/CN=Access Manager"
Las condiciones para este escenario son: v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con un certificado de cliente. v Utilizacin de la utilidad iKeyman para crear, etiquetar y almacenar una clave especial que se utiliza solamente como certificado de cliente WebSEAL al autenticar un servidor de fondo con unin. v Es muy recomendable que configure la unin para la coincidencia de DN (D). La opcin K utiliza un argumento que especifica la etiqueta de clave del certificado requerido tal como est almacenada en la base de datos de claves de GSKit. Use la utilidad iKeyman para agregar certificados nuevos a la base de datos de claves. Debe especificar el argumento de etiqueta de clave entre comillas. Por ejemplo:
-K "cert1_Tiv"
Si la clave reside en hardware criptogrfico, debe especificar el dispositivo de seal de WebSEAL con la etiqueta de clave.
-K "nombre_seal:etiqueta-clave"
Por ejemplo:
-K "websealtoken:junctionkey"
Consulte el apartado Hardware criptogrfico para cifrado y almacenamiento de claves en la pgina 33. Consulte el apartado Configuracin de los parmetros de la base de datos de claves de WebSEAL en la pgina 255.
313
v El servidor de fondo est configurado para que requiera la verificacin de la identidad de WebSEAL con una cabecera BA. v No configure la unin con ninguna opcin b. (No obstante, internamente, la opcin B utiliza el filtro b.) v WebSEAL est configurado para pasar la informacin de identidad en una cabecera de BA para autenticarse en el servidor de fondo. v Es muy recomendable que configure tambin la unin para la coincidencia de DN (D). Debe especificar los argumentos de nombre de usuario y contrasea entre comillas. Por ejemplo:
-U "WS1" -W "abCde"
Utilizacin de b supply
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera BA para el nombre de usuario del cliente original y una contrasea ficticia. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b ignore
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para el nombre de usuario y una contrasea del cliente original. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b gso
v La autenticacin de WebSEAL mediante la cabecera de BA no se permite con esta opcin. Esta opcin utiliza la cabecera de BA para la informacin de nombre de usuario y contrasea proporcionada por el servidor GSO. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
Utilizacin de b filter
v Internamente, la opcin b filter se utiliza cuando se establece la autenticacin de WebSEAL para utilizar la informacin de cabecera de BA. La cabecera de BA de WebSEAL se utiliza para todas las transacciones HTTP subsiguientes. En el servidor de fondo, WebSEAL aparece conectado en todo momento. v La autenticacin de WebSEAL mediante el certificado de cliente se permite con esta opcin.
314
v Si el servidor de fondo requiere una identidad de cliente real (del navegador), se pueden utilizar las variables de CGI HTTP_IV_USER, HTTP_IV_GROUP y HTTP_IV_CREDS. Para los scripts y servlets, utilice las cabeceras HTTP especficas de Tivoli Access Manager correspondientes: iv-user, iv-groups, iv-creds.
315
316
La autenticacin mutua se produce en las dos etapas siguientes: v El protocolo SSL permite al servidor WebSEAL de fondo autenticarse en el servidor WebSEAL frontal a travs de su certificado de servidor. v La opcin C habilita el servidor WebSEAL frontal para pasar la informacin de identidad al servidor WebSEAL de fondo en una cabecera de autenticacin bsica (BA). Adicionalmente, la opcin C habilita la funcionalidad de inicio de sesin nico proporcionada por la opcin c. La opcin c permite insertar informacin de pertenencia a grupos y de identidad de cliente especfica de Tivoli Access Manager en la cabecera HTTP de la solicitud destinada al servidor WebSEAL de fondo. Los parmetros de cabecera son iv-user, iv-groups e iv-creds. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331. Las siguientes condiciones son aplicables a las uniones de WebSEAL a WebSEAL: v La unin es apropiada slo con el tipo de unin t ssl o t sslproxy. v Ambos servidores WebSEAL deben compartir un registro LDAP comn. Esto permite al servidor WebSEAL de fondo autenticar la informacin de identidad de servidor WebSEAL frontal. v Si la unin WebSEAL-a-WebSEAL y la unin de servidor de aplicaciones de fondo utilizan la opcin de unin j (para cookies de unin), puede producirse un conflicto de denominacin entre las dos cookies de unin creadas por cada uno de los dos servidores WebSEAL. (Consulte el diagrama que se encuentra al inicio de este apartado.) Para evitar este conflicto, debe configurar el servidor WebSEAL intermediario (WebSEAL 2 en el diagrama) de modo que identifique de forma exclusiva su cookie de unin. En el servidor WebSEAL intermediario nicamente, establezca el parmetro cookie-hostname-junction-cookie de la stanza [script-filtering] del archivo de configuracin de WebSEAL en yes (el valor predeterminado es no):
[script-filtering] hostname-junction-cookie = yes
Las cookies de unin permiten a WebSEAL gestionar las direcciones URL relativas al servidor generadas en el cliente. Estas direcciones URL no tienen informacin sobre el punto de unin de la aplicacin de destino. La cookie de unin proporciona esta informacin. Para obtener informacin detallada sobre las cookies de unin, consulte el apartado Gestin de direcciones URL relativas al servidor con cookies de unin (-j) en la pgina 324.
317
WebSEAL, como proxy inverso frontal, proporciona servicios de seguridad a servidores de aplicaciones de fondo a travs de la caracterstica de unin WebSEAL. Esta caracterstica produce como resultado que se acceda a los recursos a travs de distintas expresiones de direccin URL. Por ejemplo (en un entorno WebSEAL), la direccin URL entrada por un cliente para el mismo recurso en un servidor de aplicaciones de fondo con unin debe tener el siguiente aspecto:
http://webseal.abc.com/jct/archivo.html
La caracterstica de unin de WebSEAL cambia la informacin de servidor y ruta de acceso que debe utilizarse para acceder a los recursos en los sistemas de fondo con unin. Un vnculo a un recurso en un servidor de fondo con unin slo es vlido si la direccin URL contiene la identidad de la unin. Para dar soporte a la caracterstica de unin y mantener la integridad de las direcciones URL, siempre que sea posible, WebSEAL debe realizar lo siguiente: 1. Modificar las direcciones URL (vnculos) que se han encontrado en las respuestas enviadas a los clientes 2. Modificar las solicitudes de recursos como resultado de las direcciones URL (vnculos) que WebSEAL no ha podido cambiar Observe que los mecanismos y reglas de WebSEAL para filtrar y procesar URL no se aplican a los vnculos que apuntan a recursos externos del entorno con unin de Tivoli Access Manager. El siguiente diagrama resume las soluciones disponibles en WebSEAL para modificar las direcciones URL de los recursos de fondo con unin:
318
Este apartado contiene los temas siguientes: v Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL en la pgina 319 v Filtrado de las direcciones URL en las respuestas en la pgina 319 v Proceso de direcciones URL en las solicitudes en la pgina 323 v Gestin de cookies de servidores a travs de mltiples uniones -j en la pgina 327
Informacin sobre los tipos de ruta de acceso utilizados en las direcciones URL
Es probable que cualquier pgina HTML contenga direcciones URL (vnculos) a otros recursos en ese servidor de fondo o a otro sitio. Pueden aparecer expresiones de direccin URL en los siguientes formatos: v relativo v relativo al servidor v absoluto Los vnculos que contienen direcciones URL expresadas en formato relativo nunca precisan ningn tipo de manipulacin de WebSEAL. De forma predeterminada, el navegador gestiona las direcciones URL relativas de los vnculos agregando como prefijo la informacin correcta sobre el esquema, el servidor y el directorio (incluida la unin) a la direccin URL relativa. La informacin que se agrega como prefijo se deriva de la direccin URL de la solicitud para la pgina en la cual se encuentra el vnculo. Ejemplo de expresiones de direccin URL relativas:
abc.html ./abc.html ../abc.html sales/abc.html
No obstante, surgen dificultades con los formatos de ruta de acceso relativos al servidor y absolutos. Los vnculos de recursos de fondo expresados en formatos de servidor relativo o absoluto slo son correctos si WebSEAL puede modificar la expresin de ruta de acceso de la direccin URL e incluir la informacin de unin. Ejemplo de expresiones de direccin URL relativas al servidor:
/abc.html /accounts/abc.html
Nota: Es recomendable que todos los programadores de scripts de web utilicen vnculos relativos (ni absolutos ni relativos al servidor) para las direcciones URL generadas dinmicamente.
319
Las direcciones URL relativas al servidor se modifican agregando el punto de unin del servidor con unin al nombre de la ruta de acceso. Por ejemplo:
/jct/dir/archivo.html
v Las direcciones URL absolutas indican una posicin URL con relacin al nombre de host o direccin IP (y, opcionalmente, un puerto de red). Por ejemplo:
http://nombre-host[:puerto]/file.html, o bien https://nombre-host[:puerto]/file.html
Las direcciones URL absolutas se modifican segn el siguiente conjunto de reglas: Si la direccin URL es HTTP y el host/puerto coincide con un servidor con unin TCP, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de unin. Por ejemplo:
http://nombre-host[:puerto]/file.html
se convierte en:
/tcpjct/archivo.html
Si la direccin URL es HTTPS y el host/puerto coincide con un servidor con unin SSL, la direccin URL se modifica para que sea relativa al servidor para WebSEAL y refleje el punto de unin. Por ejemplo:
https://nombre-host[:puerto]/file.html
se convierte en:
/ssljct/archivo.html
Adems: v Slo se filtran las direcciones URL de tipos de contenido definidos en la stanza [filter-content-types] del archivo de configuracin de WebSEAL.
320
v Los indicadores META se filtran siempre para solicitudes de actualizacin, por ejemplo:
<META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://server/url">
v Si un indicador BASE contiene un atributo HREF, el indicador se eliminar de la respuesta al cliente. Los parmetros para filtrar direcciones URL a travs de servidores con unin se encuentran en la stanza [filter-url] del archivo de configuracin de WebSEAL. La stanza [filter-url] contiene una lista de cdigos HTML que el servidor WebSEAL filtra o modifica para ajustar las direcciones URL absolutas que se han obtenido a travs de un servidor con unin. Todos los cdigos HTML utilizados habitualmente se configuran de forma predeterminada. Es posible que el administrador necesite agregar cdigos HTML adicionales que contengan las direcciones URL.
El mecanismo script-filter espera direcciones URL absolutas con un esquema, servidor y formato de recurso estndar:
http://server/recurso
El mecanismo script-filter sustituye las partes de esquema y servidor del vnculo por la informacin de unin correcta (como nombre de ruta relativo):
/junction-name/resource
Esta solucin de filtro analiza el script incorporado en el cdigo HTML y, por consiguiente, requiere una actividad general de proceso adicional que puede tener una influencia negativa en el rendimiento. Limite el uso del parmetro script-filter nicamente a las uniones que requieran soporte para el filtrado de direcciones URL absolutas incorporadas. El siguiente diagrama ilustra esta solucin de filtro de direcciones URL absolutas:
321
Opcionalmente, puede configurar WebSEAL para reescribir la direccin URL absoluta original como una direccin URL absoluta, en lugar de una direccin URL relativa (predeterminada). Para habilitar esta funcionalidad, establezca el parmetro rewrite-absolute-with-absolute de la stanza [script-filtering] del archivo de configuracin de WebSEAL en yes:
[script-filtering] rewrite-absolute-with-absolute = yes
Con esta funcin habilitada, la direccin URL de ejemplo del diagrama anterior aparecera de la siguiente forma:
http://nombre_host-webseal/jctA/abc.html
322
No obstante, antes de que el proceso tenga lugar, la solicitud especifica en realidad un recurso situado en el espacio Web local del servidor WebSEAL. El nuevo proceso para corregir la direccin URL tiene lugar despus de que WebSEAL reciba la solicitud y lleve a cabo una comprobacin de ACL. Una comprobacin de ACL en esta solicitud sin procesar (especificando un recurso local incorrecto o inexistente) podra dar lugar a un error que detendra la cumplimentacin de la solicitud en cuestin. Durante el proceso, por ejemplo, tiene lugar la secuencia siguiente: 1. El cliente realiza una solicitud para un recurso utilizando una direccin URL de cliente relativa al servidor generada por un script. 2. WebSEAL recibe la direccin URL relativa al servidor como una solicitud. La direccin URL sin procesar especifica un recuso situado en el espacio Web del servidor WebSEAL (evidentemente, no es el recurso que se busca). 3. WebSEAL realiza una comprobacin de ACL en este recurso local especificado en la direccin URL de la solicitud. v Si la comprobacin de ACL falla, todo el proceso de la solicitud se detiene y el cliente recibe un error 403 (No autorizado). Este error se produce porque la comprobacin de ACL se ha realizado en un recurso incorrecto (y, probablemente, inexistente). v Si la comprobacin de ACL es correcta y el recurso existe en el espacio Web local, se devuelve el recurso. Este error da lugar a que el cliente reciba el recurso incorrecto. v Si la comprobacin de ACL es correcta y el recurso no existe en el espacio Web local, WebSEAL modifica la direccin URL (utilizando la cookie de unin o el mtodo de tabla de correlacin de uniones) y procesa de nuevo internamente la solicitud. Este comportamiento es correcto. 4. WebSEAL lleva a cabo otra comprobacin de ACL en la direccin URL modificada que contiene la ruta de acceso corregida que incluye el punto de unin. Esta direccin URL modificada ahora permite llevar a cabo una comprobacin de ACL para el recurso correcto. Solucin temporal Para resolver este problema: 1. Escriba siempre scripts que generen vnculos de direcciones URL relativos. Evite los vnculos de direcciones URL absolutos y relativos al servidor. 2. Si debe utilizar vnculos relativos al servidor, no duplique nombres de recurso ni rutas de acceso en el servidor WebSEAL y en el servidor de aplicaciones con unin. 3. Si debe utilizar vnculos relativos al servidor, disee su modelo de ACL de modo que ms ACL prohibidas no afecten a recursos falsos especificados por direcciones URL no filtradas.
323
En este apartado se describe cmo WebSEAL procesa los vnculos del cliente relativos al servidor generados dinmicamente que se han encontrado en las solicitudes de recursos en los servidores de fondo con unin. v Gestin de direcciones URL relativas al servidor con cookies de unin (-j) en la pgina 324 v Gestin de direcciones URL relativas al servidor con correlacin de uniones en la pgina 325 v Proceso de solicitudes de unin raz en la pgina 326 Nota: No hay soluciones disponibles para gestionar las direcciones URL absolutas generadas en el cliente.
Para cada pgina solicitada, se enva una cookie unin-identificador al cliente (como script Java incorporado en la pgina HTML). La cookie contiene el siguiente valor y nombre de cabecera:
IV_JCT = /nombre-unin
Cuando el cliente efecta una solicitud desde esta pgina utilizando una direccin URL relativa al servidor generada dinmicamente, WebSEAL (como antes) recibe una solicitud de un recurso local. Al no encontrar el recurso, WebSEAL vuelve a intentar inmediatamente la solicitud mediante la informacin de unin proporcionada por la cookie. Con la informacin de unin correcta en la expresin de direccin URL, el recurso se localiza correctamente. En el diagrama siguiente se muestra esta solucin para filtrar direcciones URL relativas al servidor:
324
Consulte tambin los apartados Gestin de cookies de servidores a travs de mltiples uniones -j en la pgina 327 y Proceso de solicitudes de unin raz en la pgina 326. WebSEAL proporciona una solucin alternativa no basada en cookies para gestionar las direcciones URL relativas al servidor generadas dinmicamente. Consulte el apartado Gestin de direcciones URL relativas al servidor con correlacin de uniones en la pgina 325.
El formato para la entrada de datos en la tabla consta del nombre de unin, un espacio y el patrn de ubicacin del recurso. Tambin se pueden utilizar caracteres comodn para expresar el patrn de ubicacin del recurso. En el ejemplo siguiente del archivo de configuracin de correlaciones de unin, dos servidores de fondo estn conectados a WebSEAL en /jctA y /jctB:
325
#jmt.conf #nombre-unin patrn-ubicacin-recurso /jctA /documents/release-notes.html /jctA /travel/index.html /jctB /accounts/* /jctB /images/weather/*.jpg
Debe crear la tabla de correlacin jmt.conf. Este archivo no existe de forma predeterminada. Una vez que haya creado el archivo y haya agregado datos en el mismo, utilice el comando jmt load para cargar los datos de modo que WebSEAL tenga conocimiento de la nueva informacin.
pdadmin> server task nombre-servidor jmt load La tabla JMT se ha cargado correctamente.
Las siguientes condiciones son aplicables a la solucin de tabla de correlaciones de uniones: v Esta solucin no requiere la opcin -j ni la cookie de unin. v La tabla de correlaciones requiere la configuracin y activacin por parte de un administrador de seguridad. v Esta solucin no gestiona los vnculos creados con direcciones URL absolutas. v La coincidencia del patrn de ubicacin del recurso debe ser exclusiva en el espacio web local y los servidores de aplicaciones web con unin. v Si hay una entrada de patrn duplicada en el archivo, la tabla de correlaciones no se cargar. Sin embargo, WebSEAL seguir ejecutndose. v Si se produce algn error al cargar la tabla de correlaciones, sta no estar disponible. Sin embargo, WebSEAL seguir ejecutndose. v Si la tabla de correlaciones est vaca o hay algn error en las entradas de la tabla, sta no se cargar. Sin embargo, WebSEAL seguir ejecutndose. v Cualquier error que se produzca al cargar la tabla de correlaciones producir entradas de servicio en el archivo de registro del servidor WebSEAL (webseald.log). Consulte tambin el apartado Proceso de solicitudes de unin raz.
326
Las solicitudes para uniones raz nunca se procesan en la unin raz. Si hay un mecanismo de correlacin de uniones configurado, dichas solicitudes se correlacionan de forma inmediata y, a continuacin, se procesan en un punto de unin correlacionado, si se ha identificado alguno. v always Las solicitudes para la unin raz siempre se intentan procesar primero en la unin raz antes de intentar utilizar un mecanismo de correlacin de uniones. Esto no es recomendable a menos que la unin raz sirva un conjunto grande de recursos o que no haya ningn mecanismo de correlacin de uniones configurado para el conjunto de uniones que sirve este servidor WebSEAL. v filter Se examinan todas las solicitudes raz para determinar si empiezan con los patrones especificados en la stanza [process-root-filter]. En caso afirmativo, se procesan primero en la unin raz. Si no empiezan por los patrones especificados en la stanza [process-root-filter], se correlacionan de nuevo inmediatamente. Cuando process-root-requests = filter, debe especificar los patrones para los que desea que las solicitudes de la unin raz se procesen en la unin raz. Utilice la stanza [process-local-filter]. La sintaxis para especificar un patrn es la siguiente:
root = patrn
Para obtener informacin sobre los mecanismos de correlacin de uniones, consulte los apartados siguientes: v Gestin de direcciones URL relativas al servidor con cookies de unin (-j) en la pgina 324 v Gestin de direcciones URL relativas al servidor con correlacin de uniones en la pgina 325
327
Problema: Cuando el entorno de unin contiene soluciones mixtas para gestionar direcciones URL visibles e incorporadas en respuestas, puede verse afectada la capacidad del navegador de devolver cookies. Por ejemplo, el filtrado WebSEAL estndar de direcciones URL relativas al servidor visibles agrega el nombre de unin al atributo de ruta de acceso de una cookie de servidor (por ejemplo, Path=/jct/xyz) adems de modificar la URL. Esta coincidencia entre el nombre de ruta de acceso de la direccin URL y el atributo de ruta de acceso de la cookie permite al navegador devolver la cookie cuando el usuario activa el vnculo. Sin embargo, la solucin basada en cookies de unin j agrega el nombre de unin a una direccin URL slo despus de que el usuario haya activado el vnculo (URL). Cuando se activa el vnculo modificado previamente, el nombre de ruta de acceso de la direccin URL (/xyz/memo.html) no coincide con el atributo de la ruta de acceso (Path=/jct/xyz). La cookie del servidor no se devuelve. Solucin: La opcin j convierte el atributo de la ruta de acceso para cualquier cookie de servidor (Set-Cookie) en / (por ejemplo, Path=/). Puesto que todos los nombres de rutas de acceso relativas al servidor empiezan con /, todas las cookies de servidor se devuelven, independientemente de los requisitos de las especificaciones de atributos de la ruta de acceso original.
328
La opcin de unin j proporciona una funcin adicional que renombre de manera nica a cualquier cookie devuelta con una respuesta desde un servidor de aplicacin de fondo. Al atributo de nombre de una cabecera Set-cookie se agrega una cadena especial como prefijo. La cadena contiene el nombre de la unin especfica encargada de entregar la respuesta (con la cookie).
AMWEBJCT_nombre-unin_
Por ejemplo, si una cookie denominada JSESSIONID llega a travs de una unin denominada /jctA, el nombre de la cookie cambia por:
AMWEBJCT_jctA_JSESSIONID
329
2. Utilice el comando server task list para mostrar todos los puntos de unin actuales:
pdadmin> server task web1-webseald-cruz list /
3. Utilice el comando server task show para mostrar los detalles de la unin:
pdadmin> server task web1-webseald-cruz show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /opt/pdweb/www/docs
4. Cree una unin local nueva para sustituir el punto de unin actual (la opcin -f es necesaria para que se fuerce una nueva unin que sobrescriba la unin existente):
pdadmin> server task web1-webseald-cruz create -t local -f -d /tmp/docs / Se ha creado una unin en /
330
pdadmin> server task webseald-cruz show / Punto de unin: / Tipo: Local Lmite fijo de unin: 0 - se utilizar el valor global Lmite dinmico de unin: 0 - se utilizar el valor global Threads de trabajo activos: 0 Directorio raz: /tmp/docs
iv-groups = iv-creds =
HTTP_IV_GROUPS = HTTP_IV_CREDS =
Las entradas de cabecera HTTP especficas de Tivoli Access Manager estn disponibles para los programas CGI como las variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros productos de entornos de aplicaciones, consulte la documentacin del producto para obtener instrucciones acerca de la extraccin de cabeceras de solicitudes HTTP.
Sintaxis de c
La opcin c especifica qu datos de cabecera HTTP especficos de Tivoli Access Manager se envan al servidor de aplicacin de fondo.
-c tipos-cabecera
331
Nota: Utilice iv-user o iv-user-l, pero no ambos. La opcin c all inserta los tres tipos de informacin de identidad en la cabecera HTTP (en este caso se utiliza el formato de nombre corto (iv_user)). Nota: Separe los argumentos mltiples slo con comas. No inserte espacios. Ejemplos:
-c all -c iv_creds -c iv_user,iv_groups -c iv_user_l,iv_groups,iv_creds
Nota: Para garantizar la seguridad del valor iv_creds, utilice uniones SSL. Nota: Consulte tambin el apartado de WebSEAL de la publicacin IBM Tivoli Access Manager Performance Tuning Guide para obtener una descripcin sobre cmo configurar las variables de entorno que almacenan en cach la informacin de unin de c. Es posible mejorar el rendimiento de WebSEAL bajo las condiciones de unin de c aplicando esta configuracin de almacenamiento en la cach.
332
Nota: El valor de la direccin IP no representa siempre la direccin de la mquina cliente de origen. El valor de la direccin IP puede representar la direccin de un servidor proxy o un traductor de direcciones de red (NAT).
Campo de cabecera HTTP especfico de PD iv-remote-address Variable de entorno de CGI equivalente HTTP_IV_REMOTE_ADDRESS Descripcin Direccin IP del cliente. Este valor puede representar la direccin IP de un servidor proxy o un traductor de direcciones de red (NAT).
La opcin r especifica que se enve la direccin IP de la solicitud entrante al servidor de aplicaciones de fondo. La opcin se expresa sin ningn argumento.
Este parmetro puede ser til si un servidor de aplicaciones de fondo rechaza las cabeceras HTTP generadas por WebSEAL porque son demasiado grandes. Por ejemplo, una cabecera iv-creds para un usuario que pertenece a mltiples grupos puede ser demasiado grande. Este parmetro, al configurarse, hace que las cabeceras generadas por WebSEAL que sobrepasen el valor mximo se dividan en varias cabeceras. La salida del ejemplo siguiente de una aplicacin CGI muestra el efecto de las cabeceras divididas:
HTTP_IV_CREDS_1=Version=1, BAKs3DCCBnMMADCCBm0wggZpAgIDkDCCAYUwKzA HTTP_IV_CREDS_2=+0+8eAgI8iAICEdYCAgCkAgFUBAaSVNCJqncMOWNuPXNlY21== HTTP_IV_CREDS_SEGMENTS=2
Si habilita esta funcin, debe modificar la aplicacin de fondo para reconocer cabeceras divididas, en lugar de las cabeceras HTTP estndar especficas de WebSEAL.
333
La opcin k se incluye, sin argumentos, cuando se crea la unin entre WebSEAL y el servidor de portal de fondo. Condiciones que se deben tener en cuenta en la configuracin del servidor de portal: v Para acceder mediante nombre de usuario y contrasea, se necesita la autenticacin de formularios. No se debe utilizar la autenticacin bsica (BA). v El parmetro ssl-id-sessions de la stanza [session] de los archivos de configuracin de WebSEAL debe estar establecido en no. En la comunicacin HTTPS, este valor exige el uso de una cookie de sesin, en lugar del ID de sesin SSL, para mantener el estado de la sesin. v Si el servidor de portal tiene delante un clster WebSEAL, habilite la cookie de tipo de migracin tras error. La cookie de migracin tras error contiene informacin de credenciales cifrada que permite realizar con xito la autenticacin con cualquier servidor WebSEAL replicado que procese la solicitud.
se consideran la misma. Este comportamiento requiere que un administrador defina los mismos controles de acceso (ACL) en ambas direcciones URL. Al conectarse a un servidor de terceros con la opcin i, WebSEAL trata las direcciones URL dirigidas a ese servidor como no sensibles a maysculas y minsculas. Atencin: cuando utilice la opcin i, los nombres de objeto deben estar en minsculas para que WebSEAL pueda encontrar las ACL o las POP asociadas a dichos objetos. Para obtener ms informacin, consulte el apartado Las ACL y las POP deben asociarse a nombres de objeto en minsculas en la pgina 339.
334
Especificacin de UUID de servidor de fondo para uniones con informacin de estado (u)
Cuando se crea una unin nueva con un servidor de aplicaciones web de fondo, WebSEAL suele generar un identificador universal nico (UUID) para identificar el servidor de fondo. Este UUID se utiliza internamente y tambin para mantener uniones con informacin de estado (create s). Cuando se produce la solicitud inicial del cliente, WebSEAL coloca una cookie en el sistema del cliente que contiene el UUID del servidor de fondo designado. Cuando el cliente realiza solicitudes posteriores del mismo recurso, la informacin
Captulo 10. Uniones WebSEAL
335
de UUID de la cookie se asegura de que las solicitudes son redireccionadas de forma coherente al mismo servidor de fondo.
Figura 15. Las uniones con informacin de estado utilizan los UUID de servidor de fondo
La gestin de uniones con informacin de estado pasa a ser ms compleja cuando hay varios servidores WebSEAL frontales conectados a varios servidores de fondo. Normalmente, cada unin entre un servidor WebSEAL frontal y un servidor de fondo genera un UUID exclusivo para el servidor de fondo. Esto significa que un solo servidor de fondo tendr un UUID diferente en cada servidor WebSEAL frontal. Si hay varios servidores frontales es necesario un mecanismo de equilibrio de carga para distribuir la carga entre los dos servidores. Por ejemplo, se podra establecer un estado inicial en un servidor de fondo a travs del servidor WebSEAL 1 mediante un UUID especfico. Sin embargo, si el mecanismo de equilibrio de carga dirige una futura solicitud del mismo cliente a travs del servidor WebSEAL 2, el estado dejar de existir, a menos que el servidor WebSEAL 2 utilice el mismo UUID para identificar el mismo servidor de fondo. Normalmente, no sucede as. La opcin u le permite proporcionar el mismo UUID para un servidor de fondo especfico en cada servidor WebSEAL frontal. Por ejemplo, tenemos dos servidores WebSEAL frontales, replicados, cada uno con una unin con informacin de estado con dos servidores de fondo. Al crear la unin con informacin de estado entre el servidor WebSEAL 1 y el servidor de fondo 2, se genera un UUID nico (UUID A) para identificar el servidor de fondo 2. Sin embargo, cuando se crea una unin con informacin de estado entre el servidor WebSEAL 2 y el servidor de fondo 2, se genera un UUID nuevo y diferente (UUID B) para identificar el servidor de fondo 2.
336
Se puede producir un error en el estado establecido entre un cliente y el servidor de fondo 2, mediante el servidor WebSEAL 1 si se dirige una solicitud posterior del cliente a travs del servidor WebSEAL 2. Aplique el siguiente proceso para especificar un UUID durante la creacin de una unin: 1. Cree una unin del servidor WebSEAL 1 con cada servidor de fondo. Utilice create s y add. 2. Visualice el UUID generado para cada servidor de fondo durante el paso 1. Utilice show. 3. Cree una unin del servidor WebSEAL 2 con cada servidor de fondo y especifique los UUID identificados en el paso 2. Utilice create s u y add u. En la figura siguiente, tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 1 como UUID 1. Y tanto WebSEAL-1 como WebSEAL-2 conocen el servidor de fondo 2 como UUID 2.
Figura 17. Especificacin de los UUID de servidor de fondo para uniones con informacin de estado
Ejemplo:
En el siguiente ejemplo, v La instancia WebSEAL-1 se denomina WS1. El nombre de host es cruz. v La instancia WebSEAL-2 se denomina WS2. El nombre de host es meow. v El servidor de fondo 1 se denomina APP1
Captulo 10. Uniones WebSEAL
337
Cuando un cliente establece una conexin con informacin de estado con el servidor de fondo 2, recibe una cookie que contiene UUID2. El ejemplo anterior garantiza que el cliente se conectar siempre al servidor de fondo 2, independientemente de si las solicitudes posteriores se dirigen a travs de WebSEAL-1 o de WebSEAL-2.
El segundo mtodo reconoce el antiguo formato de nombre de archivos 8.3 para que exista compatibilidad inversa. Por ejemplo:
abcdef~1.txt
Al crear uniones en entornos Windows, es importante restringir el control de accesos a una sola representacin de objeto y no permitir la posibilidad de puertas traseras que eludan el mecanismo de seguridad. La opcin w en una unin proporciona las siguientes medidas de proteccin: v Impide el uso del formato de nombre de archivos 8.3 Cuando la unin se configura con la opcin w, un usuario no puede evitar una ACL explcita en un nombre de archivo largo utilizando el formato corto (8.3) del nombre de archivo. El servidor devuelve un error 403 No autorizado en cualquier nombre de archivo de formato corto especificado. v Prohbe los puntos de cola en los nombres de directorio y de archivo Si un archivo o directorio contiene puntos de cola, se devuelve un error 403 No autorizado. v Aplica la no sensibilidad a maysculas y minsculas estableciendo la opcin i La opcin w invoca automticamente la opcin i. Esta opcin especifica que WebSEAL trate las direcciones URL como no sensibles a maysculas y minsculas al realizar comprobaciones de autorizacin sobre una solicitud a un servidor de fondo con unin. Despus de una comprobacin de ACL correcta, el uso original de maysculas o minsculas en la direccin URL se restaura cuando se enva la solicitud al servidor de fondo. Nota: Si requiere control sobre la no sensibilidad a maysculas y minsculas slo para los nombres de archivo, utilice slo la opcin i de la unin en lugar de la opcin w.
338
Ejemplo:
En un entorno Windows, tambin se puede acceder al archivo:
\Archivos de programa\Company Inc\Release.Notes
a travs de las rutas de acceso siguientes: 1. \archiv~1\compan~2\releas~3.not 2. \Archivos de programa\Company Inc.\Release.Notes 3. \archivos de programa\company inc\release.notes El ejemplo 1 muestra cmo Windows puede crear un alias (para la compatibilidad con DOS) que no contiene espacios en el nombre de archivo y se ajusta al formato 8.3. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 2 muestra cmo Windows puede incluir puntos de cola de extensin. La opcin w hace que WebSEAL rechace este formato para las comprobaciones de ACL. El ejemplo 3 muestra cmo Windows permite la no sensibilidad a maysculas y minsculas en el nombre de archivo. La opcin w invoca la opcin i para garantizar la comprobacin de ACL sensible a maysculas y minsculas.
339
local sin formato. Adems, se da soporte a dos formatos ms: UTF-8 sin codificar y pgina de cdigos local codificada en URI. La opcin -e para crear uniones especifica la codificacin del nombre de usuario, de grupos y de otros atributos ampliados que se envan en la cabecera HTTP al servidor de fondo. La opcin de codificacin puede tomar uno de los argumentos siguientes:
Argumento utf8_uri Descripcin Datos UTF-8 con codificacin URI Todos los espacios en blanco y los bytes que no son ASCII se codifican %XY, siendo X e Y valores hexadecimales (0F). utf8_bin Datos UTF-8 sin codificar Este valor permite transmitir datos sin que se produzca prdida de datos, y el cliente no debe descodificar los datos URI. Este valor debe utilizarse con precaucin, ya que no forma parte de la especificacin HTTP. lcp_uri Datos de pgina local con codificacin URI Todos los caracteres UTF-8 que no puedan convertirse en una pgina de cdigos local se convertirn en signos de interrogacin (?). Esta opcin debe utilizarse con precaucin y slo en entornos en los que la pgina de cdigos local produce las cadenas deseadas. lcp_bin Datos de pgina de cdigos local sin codificar Esta modalidad la utilizaban las versiones de WebSEAL anteriores a la 5.1. El uso de esta modalidad permite migrar desde versiones anteriores y se utiliza en entornos de actualizacin. Debe utilizarse con precaucin, porque con esta modalidad puede producirse una prdida de datos.
Para obtener ms informacin sobre el soporte de WebSEAL para la codificacin UTF-8, consulte el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
340
341
En resumen: v Identifique todos los certificados necesarios por el nombre de etiqueta. v No marque ningn certificado en la base de datos del archivo de claves como predeterminado. v Controle la respuesta del certificado de servidor WebSEAL con el parmetro webseal-cert-keyfile-label. v Controle la respuesta del certificado de cliente de WebSEAL mediante la opcin de unin K.
Cuando este parmetro est establecido en yes, WebSEAL no realiza ninguna coincidencia de cola y permite que las cookies, independientemente del valor de atributo del dominio, se enven al navegador. El navegador puede devolver las cookies al servidor o servidores adecuados.
[session] allow-backend-domain-cookies = yes
342
Solucin: si un servidor de aplicaciones con Web Portal Manager tiene establecida una unin con WebSEAL, debe utilizar la opcin j cuando cree esta unin. La cookie de la unin proporcionada por la opcin j permite al navegador (cliente) emitir correctamente comandos para Web Portal Manager. Adems de utilizar la opcin j, debe utilizar la opcin c iv_user,iv_creds.
343
Windows:
ruta_acceso_instalacin\www\lib\query_contents
query_contents.sh
query_contents.c
query_contents.html query_contents.cfg
344
1. Copie query_contents.sh en un directorio /cgi-bin en funcionamiento del servidor web de terceros. 2. Elimine la extensin .sh del nombre de archivo. 3. Edite manualmente el archivo de script para especificar correctamente el directorio raz del documento. 4. Establezca el bit de ejecucin de UNIX para la cuenta de administracin del servidor web.
Si cambia el nombre del programa query_contents o cambia la ubicacin de su directorio, debe utilizar la opcin q ubicacin cuando cree la unin. El argumento de ubicacin especifica la nueva ubicacin y nombre del programa. El nombre del programa query_contents utilizado en plataformas Windows es query_contents.exe. La presencia de la extensin .exe hace que el nombre del programa sea diferente. Por lo tanto, WebSEAL no puede encontrar el nombre de programa predeterminado. Debe utilizar la opcin y el argumento q ubicacin para indicar a WebSEAL dnde encontrar el archivo. Por ejemplo:
create -t tcp -h nombre-host ... -q /cgi-bin/query_contents.exe /nombre-unin
La opcin q no es necesaria para un servidor UNIX porque el nombre y la ubicacin del programa query_contents coinciden con la condicin predeterminada. Procedimiento: Localice el programa ejecutable denominado query_contents.exe y el archivo de configuracin denominado query_contents.cfg en el siguiente directorio: Windows: ruta_instalacin\www\lib\query_contents 1. Asegrese de que el servidor web de terceros tenga el directorio CGI configurado correctamente. 2. Para las comprobaciones, asegrese de que exista un documento vlido en la raz de documentos del servidor web de terceros. 3. Copie query_contents.exe en el directorio CGI del servidor web de terceros. 4. Copie query_contents.cfg en el directorio de Windows.
345
5. Edite el archivo query_contents.cfg para especificar correctamente el directorio raz del documento para el servidor web de terceros. Actualmente, el archivo contiene ejemplos de entradas para los servidores Microsoft Internet Information Server y Netscape FastTrack. Las lneas de este archivo que comienzan con punto y coma (;) son comentarios y el programa query_contents los ignora. 6. Cree una unin con el servidor Windows de fondo y utilice la opcin q para especificar que query_contents.exe es el archivo correcto. Por ejemplo:
pdadmin> server task web1-webseald-cruz create -t tcp -h nombre-host ... \ -q /cgi-bin/query_contents.exe /nombre-unin
Prueba de la configuracin
1. Desde el smbolo del sistema MS-DOS del sistema Win32, ejecute el programa query_contents del directorio CGI como se indica a continuacin:
MSDOS> query_contents dirlist=/
El nmero 100 es un estado de retorno que indica el xito de la operacin. Es importante ver el nmero 100 al menos como el primer valor (y tal vez el nico). Si, por lo contrario, ve un cdigo de error, ello indica que el archivo de configuracin no se encuentra en la ubicacin correcta o bien no contiene una entrada de raz de documentos vlida. Compruebe la configuracin del archivo query_contents.cfg y asegrese de que la raz del documento exista. 2. Desde un navegador, especifique la siguiente direccin URL:
http://nombre-mquina-win32/cgi-bin/query_contents.exe?dirlist=/
Debera aparecer el mismo resultado que en el paso anterior. Si no es as, la configuracin de CGI del servidor web no es correcta. Consulte la documentacin del servidor para corregir el problema.
Personalizacin de query_contents
La tarea de query_contents es devolver el contenido de los directorios incluidos en una solicitud de direccin URL. Por ejemplo, para obtener el contenido del directorio raz de un espacio web del servidor, el navegador ejecuta query_contents en una direccin URL como:
http://servidor-de-terceros/cgi-bin/query_contents?dirlist=/
El script query_contents lleva a cabo las acciones siguientes: 1. Lee $SERVER_SOFTWARE, una variable de entorno de CGI estndar, para determinar el tipo de servidor. Segn el tipo de servidor web, la variable $DOCROOTDIR se establece en una ubicacin raz de documentos tpica.
346
2. Lee la variable de entorno $QUERY_STRING de la direccin URL solicitada para obtener la operacin solicitada y obtener la ruta de acceso de objetos. El valor de la operacin se almacena en la variable $OPERATION y la ruta de acceso de objetos en $OBJPATH. En el ejemplo anterior, $OPERATION es dirlist y $OBJPATH es /. 3. Crea un listado de directorios (ls) en la ruta de acceso del objeto y coloca los resultados en una salida estndar para que los utilice el servidor de Tivoli Access Manager. Las entradas que indican subdirectorios tienen una barra inclinada doble (//) agregada. sta es una salida tpica:
100 index.html cgi-bin// pics//
Funcionalidad adicional
El cdigo fuente del programa query_contents (query_contents.c) se distribuye con los productos Tivoli Access Manager sin necesidad de pagar ningn derecho. Se pueden agregar funciones adicionales a este programa para dar soporte a las caractersticas especiales de algunos servidores web de terceros. Estas caractersticas son: v Correlacin de directorios en que un subdirectorio que no est por debajo del directorio raz se correlaciona en el espacio web. v Generacin de un espacio web que no est basado en el sistema de archivos. Puede tratarse de un servidor web que aloje una base de datos.
Proteccin de query_contents
Tivoli Access Manager utiliza el programa CGI query_contents para visualizar los espacios de objetos del servidor web con unin en Web Portal Manager (WPM). Es muy importante proteger este archivo para que no sea ejecutado por usuarios no autorizados.
Captulo 10. Uniones WebSEAL
347
Debe establecer una poltica de seguridad que slo permita a la identidad de Policy Server (pdmgrd) tener acceso al programa query_contents. La siguiente ACL de ejemplo (query_contents_acl) cumple estos requisitos:
grupo ivmgrd-servers Tl usuario sec_master dbxTrlcam
Use la utilidad pdadmin para asociar esta ACL con el objeto de query_contents.sh (UNIX) o query_contents.exe (Windows) en los servidores con unin. Por ejemplo (UNIX):
pdadmin> acl attach /WebSEAL/host/nombre-unin/query_contents.sh \ query_contents_acl
Resolucin de problemas
v Problema: query_contents no funciona con la opcin -b ignore en las uniones. Explicacin: Si WebSEAL y el plug-in Microsoft IIS Web estn configurados y ambos utilizan la autenticacin bsica, es posible que una unin creada en WebSEAL para IIS con la opcin -b ignore especificada no se trate correctamente en Web Portal Manager o mediante el comando pdadmin. Este problema se manifiesta en Web Portal Manager mediante la no ampliacin de la ramificacin del espacio de objetos para la unin de WebSEAL porque el comando query_contents.exe no devuelve informacin. De forma parecida, es posible que el comando pdadmin object list /WebSEAL/host_name/junction_name no muestre informacin sobre la unin. Solucin temporal: Para evitar este problema, desactive temporalmente la autenticacin bsica en el servidor de fondo cuando los administradores deban aplicar el control de acceso de nivel URI. Alternativamente, asegrese de que el comando query_contents.exe se ejecuta desde un directorio que no requiera autenticacin bsica.
348
349
350
Esta situacin da por supuesto que el servidor de fondo requiere autenticacin de la identidad de Tivoli Access Manager. Correlacionando un usuario del cliente con un usuario de Tivoli Access Manager conocido, WebSEAL gestiona la autenticacin para el servidor de fondo y proporciona una solucin de inicio de sesin nico sencilla para todo el dominio. Existen las siguientes condiciones para esta solucin: v WebSEAL est configurado para proporcionar al servidor de fondo el nombre de usuario que contiene la solicitud del cliente original, adems de una contrasea genrica (ficticia). v La contrasea ficticia se configura en el archivo de configuracin de WebSEAL. v El registro de servidor de fondo debe reconocer la identidad de Tivoli Access Manager proporcionada en la cabecera BA HTTP. v Debido a que se pasa informacin de autenticacin confidencial (nombre de usuario y contrasea) a travs de la unin, la seguridad de la unin es importante. Es muy recomendable una unin SSL.
Limitaciones
Se utiliza la misma contrasea ficticia de Tivoli Access Manager para todas las solicitudes; todos los usuarios tienen la misma contrasea en el registro de servidor de fondo. La utilizacin de la contrasea ficticia comn no ofrece ninguna base para que el servidor de aplicacin puede probar la legitimidad del registro del cliente con ese nombre de usuario.
Captulo 11. Soluciones de inicio de sesin nico a travs de uniones
351
Si los clientes pasan siempre a travs de WebSEAL para acceder al servidor de fondo, esta solucin no presenta ningn problema de seguridad. Sin embargo, es importante proteger fsicamente el servidor de fondo de otras posibles formas de acceso. Dado que en este caso no hay seguridad de nivel de contrasea, el servidor de fondo debe confiar implcitamente en WebSEAL para que verifique la legitimidad del cliente. El registro de servidor de fondo tambin debe reconocer la identidad de Tivoli Access Manager para aceptarlo.
352
Si necesita proporcionar al servidor de fondo alguna informacin de cliente, puede combinar esta opcin con la opcin c para insertar informacin de identidad de cliente de Tivoli Access Manager en campos de cabeceras HTTP. Consulte el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331.
353
354
En este ejemplo, el registro devuelve el nombre de usuario mike y la contrasea 123 a WebSEAL. WebSEAL utiliza esta informacin cuando construye la cabecera de autenticacin bsica en la solicitud enviada a travs de la unin al servidor de fondo.
355
T recurso/grupo-recursos
Se puede proteger una unin utilizada en una solucin WebSEAL/GSO a travs de SSL aplicando tambin la opcin t ssl al crear la unin. Utilice siempre uniones SSL con GSO para garantizar el cifrado de credenciales y de todos los datos.
Unir el recurso de aplicacin payroll-app en el host adm_svr con el punto de unin /admin y realizar la unin segura con SSL:
create -t ssl -b gso -T payroll-app -h adm_svr /admin
356
Parmetro gso-cache-enabled
Descripcin Habilita e inhabilita la funcionalidad de la cach de GSO. Los valores son yes o no. El valor predeterminado es no. Establece el nmero mximo de entradas permitidas en la tabla hash de la cach. Establezca este valor para que se aproxime al valor mximo de sesiones de usuario simultneas que acceden a una aplicacin a travs de una unin GSO. Un valor alto utiliza ms memoria pero permite un acceso a la informacin ms rpido. Cada entrada de cach consume aproximadamente 50 bytes. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach, independientemente de la actividad. Cuando una entrada de cach caduca, la siguiente solicitud del mismo usuario requerir una nueva llamada al servidor de registro de usuarios. El valor predeterminado es 900 segundos. Tiempo mximo (en segundos) que puede permanecer en la cach una entrada de cach inactiva. El valor predeterminado es 120 segundos.
gso-cache-size
gso-cache-entry-lifetime
gso-cache-entry-idle-timeout
Para obtener ms informacin, consulte el apartado Cach de Global Sign-On en la pgina 514.
357
358
Utilice estas opciones, adems de las otras opciones de unin necesarias, cuando cree la unin entre WebSEAL y el servidor WebSphere de fondo. Por ejemplo:
create ... -A -F "/abc/xyz/key.file" -Z "abcdefg" ...
ltpa-cache-size
ltpa-cache-entry-lifetime
ltpa-cache-entry-idle-timeout
Para obtener ms informacin, consulte el apartado Cach de LTPA (Lightweight Third Party Authentication) en la pgina 516.
359
v El servidor WebSphere es el responsable de configurar LTPA y crear la clave secreta compartida. La participacin de WebSEAL engloba la configuracin de la unin y la cach.
360
Contexto y objetivos
La autenticacin de formularios de inicio de sesin nico da soporte a las aplicaciones existentes que utilizan formularios HTML para efectuar la autenticacin y no se puede modificar para confiar directamente en la autenticacin realizada por WebSEAL. La habilitacin de la autenticacin de formularios de inicio de sesin nico produce los resultados siguientes: v WebSEAL interrumpe el proceso de autenticacin iniciado por la aplicacin de fondo. v WebSEAL proporciona los datos que necesita el formulario de inicio de sesin y enva el formulario de inicio de sesin en nombre del usuario. v WebSEAL guarda y restaura todas las cookies y las cabeceras v El usuario no sabe que se est realizando un segundo inicio de sesin. v La aplicacin de fondo no sabe que el formulario de inicio de sesin no procede directamente del usuario. WebSEAL debe configurarse para: v Reconocer e interceptar el formulario de inicio de sesin v Rellenar los datos de autenticacin adecuados El administrador habilita el inicio de sesin nico con formularios al realizar lo siguiente: v Crear un archivo de configuracin para especificar cmo se debe reconocer, completar y procesar el formulario de inicio de sesin v Habilitar el inicio de sesin nico con formularios configurando la unin adecuada con la opcin S (que especifica la ubicacin del archivo de configuracin)
361
2. WebSEAL pasa la solicitud a la unin. 3. Dado que la aplicacin de fondo requiere la autenticacin del usuario, se devuelve una redireccin a la pgina de inicio de sesin de la aplicacin (login.html) a travs de la unin. 4. WebSEAL pasa la redireccin al navegador. 5. El navegador sigue la redireccin y solicita:
https://webseal/formsso/login.html
Nota: Hasta este punto, todos los elementos del flujo de proceso corresponden a la funcionalidad estndar de WebSEAL. 6. WebSEAL se ha configurado para el inicio de sesin nico con formularios (opcin S en la unin). WebSEAL reconoce la solicitud como una solicitud de pgina de inicio de sesin, basndose en la informacin que contiene el archivo de configuracin SSO de formularios. La solicitud se pasa a la unin. WebSEAL guarda todas las cookies enviadas por el navegador para utilizarlas en el paso 8. 7. La aplicacin devuelve la pgina de inicio de sesin y, posiblemente, las cookies especficas de la aplicacin. WebSEAL analiza el cdigo HTML devuelto para identificar el formulario de inicio de sesin. Cuando WebSEAL encuentra un formulario HTML en el documento, compara el URI de accin del formulario con el valor del parmetro login-form-action del archivo de configuracin personalizado. Si hay una coincidencia, WebSEAL utiliza el formulario que ha encontrado. De lo contrario, WebSEAL sigue buscando otros formularios. Si no hay ningn formulario en la pgina que coincida con el patrn URI de accin del archivo
362
de configuracin, WebSEAL termina el proceso de inicio de sesin nico de formularios y devuelve un error al navegador. WebSEAL analiza la pgina HTML para identificar el mtodo de solicitud, el URI de accin y cualquier otro campo de entrada del formulario, y los guarda para utilizarlos en el paso 8. 8. WebSEAL genera la solicitud de autenticacin (completa el formulario de inicio de sesin) y la enva a la aplicacin de fondo. 9. La aplicacin autentica el usuario utilizando los datos de autenticacin proporcionados por WebSEAL en el formulario. La aplicacin devuelve la redireccin a content.html. 10. WebSEAL combina las cookies guardadas de las respuestas de los pasos 7 y 9 y devuelve dichas cookies con la redireccin al navegador. Nota: Esto completa la funcionalidad especfica de SSO de los formularios. 11. El navegador sigue la redireccin y solicita:
https://webseal/formsso/content.html
12. WebSEAL pasa la solicitud a la aplicacin de fondo a travs de la unin. Durante este proceso, el navegador efecta tres solicitudes a WebSEAL. Desde el punto de vista del usuario, slo se realiza una solicitud para https://webseal/formsso/content.html. Las otras solicitudes se producen automticamente a travs de redirecciones HTTP.
Creacin del archivo de configuracin para el inicio de sesin nico con formularios
El administrador crea de forma personalizada el archivo de configuracin de inicio de sesin nico con formularios y lo guarda en cualquier ubicacin. La opcin S en la unin habilita la funcionalidad de inicio de sesin nico con formularios y especifica la ubicacin del archivo de configuracin. Consulte el apartado Habilitacin del inicio de sesin nico con formularios en la pgina 367. Un
Captulo 11. Soluciones de inicio de sesin nico a travs de uniones
363
archivo de configuracin de ejemplo (que contiene instrucciones comentadas) se proporciona con la instalacin de WebSEAL y se ubica en el directorio siguiente: UNIX:
/opt/pdweb/etc/fsso.conf.template
Windows:
C:\Archivos de programa\Tivoli\PDWeb\etc\fsso.conf.template
El archivo de configuracin debe comenzar con la stanza [forms-sso-login-pages] y tener el siguiente formato
[forms-sso-login-pages] login-page-stanza = xxxxx> #login-page-stanza = aaaaa> #login-page-stanza = bbbbb> [xxxxx>] login-page = coincidencia-pgina-expresin-regular> login-form-action = coincidencia-formulario-expresin-regular> gso-resource = destino-gso> argument-stanza = yyyyy> [yyyyy>] nombre> = mtodo>:valor>
La stanza [forms-sso-login-pages]
El archivo de configuracin de inicio de sesin nico con formularios debe empezar siempre con la stanza [forms-sso-login-pages]. La stanza contiene una o ms entradas login-page-stanza que apuntan a otras stanzas de nombre personalizado que contienen informacin sobre la configuracin para las pginas de inicio de sesin que se encuentran en el servidor de aplicacin de fondo. La capacidad de dar soporte a mltiples pginas de inicio de sesin en una sola unin es importante porque un solo servidor de fondo puede alojar varias aplicaciones y cada una de stas utiliza un mtodo de autenticacin diferente. Por ejemplo:
[forms-sso-login-pages] login-page-stanza = loginpage1 login-page-stanza = loginpage2
364
Parmetro login-form-action
Descripcin Este parmetro especifica un patrn, utilizando una expresin regular, que identifica qu formulario de la pgina interceptada es el formulario de inicio de sesin de la aplicacin. Si slo hay un formulario en la pgina, o si el formulario de inicio de sesin es el primer formulario del documento, la expresin puede ser *>. De lo contrario, la expresin regular debe coincidir con la action> attribute del formulario de inicio de sesin. Este parmetro especifica el recurso GSO que se ha de utilizar al recuperar el nombre de usuario y la contrasea de GSO de una base de datos de GSO. Deje en blanco este parmetro si no se utiliza GSO para almacenar un nombre de usuario y contrasea de GSO. Este parmetro apunta a otra stanza personalizada que lista los campos y los datos necesarios para completar el formulario de inicio de sesin.
gso-resource
argument-stanza
Por ejemplo:
[loginpage1] login-page = /cgi-bin/getloginpage* login-form-action = * gso-resource = argument-stanza = form1-data
Acerca del parmetro login-page: El valor del parmetro login-page es una expresin regular que WebSEAL utiliza para determinar si una solicitud entrante es en realidad una solicitud de una pgina de inicio de sesin. En caso afirmativo, WebSEAL intercepta esta solicitud e inicia el proceso de inicio de sesin nico con formularios. Slo se permite un parmetro login-page en cada stanza de pgina de inicio de sesin personalizada. Debe crear una stanza de pgina de inicio de sesin personalizada para cada parmetro login-page adicional. La expresin regular login-page se compara con el URI de solicitud, que es relativo a la unin. En el siguiente ejemplo, el URI de una solicitud para un servidor WebSEAL denominado websealA para un recurso de una unin denominada junctionX puede ser el siguiente:
https://websealA.ibm.com/junctionX/auth/login.html
La parte de esta direccin URL que se compara a la expresin regular login-page es:
/auth/login.html
Acerca del parmetro login-form-action: El parmetro login-form-action se utiliza para identificar el formulario de inicio de sesin en la pgina interceptada. Slo se permite un parmetro login-form-action en cada stanza. El valor del parmetro login-form-action es una expresin regular que se compara con el contenido del atributo accin del indicador formulario HTML. El atributo accin es un URI expresado como ruta de acceso relativa, relativa del
365
servidor o absoluta. El parmetro login-form-action debe coincidir con esta ruta de acceso porque viene del servidor de fondo, incluso si normalmente lo modificara WebSEAL antes de enviarse al cliente. Si hay mltiples atributos accin en la pgina que coinciden con la expresin regular, slo se aceptar el primero como formulario de inicio de sesin. Si la expresin regular no coincide con ningn formulario en la pgina, se devuelve un error al navegador en el que se informa que no se ha encontrado el formulario. Puede establecer login-form-action = * como una manera sencilla de coincidir con el formulario de inicio de sesin cuando la pgina slo incluye un formulario de inicio de sesin.
En la mayora de los casos, no son necesarios los caracteres especiales porque la solicitud de la pgina de inicio de sesin es un URI nico identificable. En algunos casos, es posible utilizar * al final de la expresin para que cualquier dato de consulta al final del URI no impida la coincidencia de la pgina de inicio de sesin.
La stanza de argumento
La stanza de argumento personalizada contiene una o ms entradas en el formato siguiente:
nombre> = mtodo>:valor>
nombre El valor del parmetro nombre es igual al valor del atributo name del indicador HTML input. Por ejemplo:
<input name=uid type=text>Nombre de usuario</input>
Este parmetro tambin puede utilizar el valor del atributo name de los cdigos HTML select o textarea. mtodo:valor
366
Esta combinacin de parmetros recupera los datos de autenticacin que necesita el formulario. Los datos de autenticacin pueden incluir los siguientes: v Datos de cadena de literales
string:texto
La entrada es el nombre de usuario y la contrasea GSO del usuario actual (del destino especificado en la stanza de la pgina de inicio de sesin personalizada). v Valor de un atributo en la credencial del usuario
cred:nombre-atrib-ampl-cred
De forma predeterminada, la credencial incluye informacin como el DN y el nombre de usuario de Tivoli Access Manager. Para utilizar el nombre de usuario de Tivoli Access Manager como valor de entrada, especifique el valor como:
cred:azn_cred_principal_name
Tambin pueden utilizarse atributos de credencial personalizados (se agregan mediante el mecanismo indicador/valor). No es necesario especificar campos de entrada ocultos en esta stanza. Estos campos se recuperan automticamente del formulario HTML y se envan con la solicitud de autenticacin. Por ejemplo:
[form1-data] uid = string:brian
El argumento ruta-acceso-archivo-config especifica la ubicacin del archivo personalizado de configuracin de inicio de sesin nico con formularios. La opcin S en la unin habilita la funcionalidad de inicio de sesin nico con formularios en la unin. Por ejemplo (escrito en una sola lnea): UNIX:
pdadmin> server task web1-webseald-cruz -S /opt/pdweb/fsso/fsso.conf /jctX -t tcp -h websvrA \
Windows:
pdadmin> server task web1-webseald-cruz -t tcp -h websvrA \ -S C:/Archivos de programa/Tivoli/PDWeb/fsso/fsso.conf /jctX
Nota: En un entorno Windows, debe utilizar barras inclinadas (/) en el nombre de la ruta fsso.conf en lugar de utilizar las barras inclinadas invertidas convencionales (\).
Captulo 11. Soluciones de inicio de sesin nico a travs de uniones
367
El archivo de configuracin se lee cuando se crea la unin y cada vez que se inicia WebSEAL. Los errores en el archivo de configuracin pueden provocar que WebSEAL falle durante el inicio.
368
[auth-data] # El campo data contiene el nmero de serie de los empleados. data = gso:username # El campo Cntselect contiene un nmero que corresponde al pas de origen # del empleado. La cadena "897" corresponde a Estados Unidos. Cntselect = string:897
369
370
371
HTTP_IV_CREDS
Variable REMOTE_USER en un servidor WebSEAL local: En un entorno de servidor local controlado por WebSEAL, el valor de la variable HTTP_IV_USER listado anteriormente se incluye como valor para la variable REMOTE_USER estndar. Observe que la variable REMOTE_USER puede estar tambin presente en el entorno de una aplicacin CGI que se ejecute en un servidor de fondo con unin. Sin embargo, en esta situacin, WebSEAL no controla su valor.
Variable de entorno de CGI REMOTE_USER Descripcin Contiene el mismo valor que el campo HTTP_IV_USER.
372
Por ejemplo:
[cgi-environment-variables] #ENV = SystemDrive ENV = SystemRoot ENV = PATH ENV = LANG
Captulo 12. Integracin de aplicaciones
373
= = = = =
374
Estas cabeceras HTTP estn disponibles para las aplicaciones CGI como variables de entorno HTTP_IV_USER, HTTP_IV_GROUPS y HTTP_IV_CREDS. Si desea informacin sobre otros entornos de aplicaciones que no son CGI, consulte la documentacin asociada al producto para obtener instrucciones acerca de la extraccin de cabeceras de solicitudes HTTP. Consulte tambin el apartado Especificacin de la identidad del cliente en cabeceras HTTP (c) en la pgina 331. Nota: Para garantizar la seguridad del valor iv_creds, utilice conexiones SSL.
375
Por ejemplo:
-v xyz.ibm.com:7001
Nota: La designacin de puerto slo debe proporcionarse si se utiliza un nmero de puerto no estndar.
376
La capacidad de WebSEAL de filtrar correctamente las direcciones URL absolutas de pginas HTML estticas requiere informacin acerca del nombre de servidor, que se proporciona e n la opcin de unin h. Esta opcin proporciona a WebSEAL el nombre del servidor con unin de fondo. Entre los argumentos de esta opcin pueden estar los siguientes: v Nombre de dominio completo del servidor v Nombre corto del servidor v Direccin IP del servidor WebSEAL identifica las direcciones URL absolutas para filtrarlos segn su informacin del nombre de servidor con unin de fondo. En funcin del entorno de red, es posible que la configuracin h nombre-corto no proporcione suficiente informacin a WebSEAL. En el ejemplo siguiente, se crea una unin utilizando la opcin y el argumento siguientes para un servidor de fondo que se encuentra en la red ibm.com, con el nombre corto xyz:
-h xyz
Cuando esta pgina pasa al cliente durante una solicitud, es posible que WebSEAL no filtre esta direccin URL porque, segn la informacin proporcionada por h, no ha podido reconocer xyz.ibm.com como nombre del servidor. Sin el nombre de unin en la ruta de acceso, las solicitudes del documento de notas del release fallarn. Para dar soporte al filtrado correcto de las direcciones URL absolutas estticas, la recomendacin de mejores prcticas es que se utilice siempre el nombre de dominio completo del servidor con unin en la opcin h al crear o agregar la unin.
377
2. Edite el archivo de configuracin de WebSEAL para agregar una nueva stanza [portal-map]:
[portal-map]
3. La entrada en esta stanza identifica la direccin URL relativa al servidor del programa de servicios del portal y la regin del espacio de objetos donde se buscan los recursos de portal protegidos disponibles, seguido del permiso necesario para el acceso. sta es la lista que se coloca en la cabecera PD_PORTAL.
[portal-map] URL = regin_espacio_objetos:permiso
378
4. Despus de agregar la stanza y las entradas de correlacin adecuadas, se debe reiniciar WebSEAL (webseald).
v Defina la regin del espacio de objetos protegidos de WebSEAL que contiene los recursos disponibles para el servicio de personalizacin:
pdadmin> pdadmin> pdadmin> pdadmin> pdadmin> objectspace create /Resources Portal Object Hierarchy 10 object create /Resources/Content 10 ispolicyattachable yes object create /Resources/Support 10 ispolicyattachable yes object create /Resources/Content/CGI 11 ispolicyattachable yes object create /Resources/Support/Servlet 11 ispolicyattachable yes
Nota: El argumento ispolicyattachable debe definirse como yes para cada uno de los recursos. El mecanismo de bsqueda slo selecciona objetos de recursos cualificados con ACL definidas explcitamente. v Archivo de configuracin de WebSEAL:
[portal-map] /portal/servlet/PortalServlet = /Resources:r
379
Para habilitar la creacin de ID de sesin de usuario exclusivos, establezca user-session-ids = yes. El ID de sesin de usuario exclusivo se almacena en una credencial de usuario como un atributo ampliado con un nombre y un valor:
tagvalue_user_session_id = id_sesin_usuario
380
En la misma credencial, el nombre de atributo ampliado de credencial (user_session_id) aparece con el prefijo tagvalue_ para evitar cualquier conflicto con otras informaciones existentes en la credencial. El valor del ID de sesin de usuario es una cadena que identifica de forma exclusiva una sesin especfica para un usuario autenticado. El ID de sesin del usuario es una cadena codificada MIME-64 que incluye nombres de instancia de WebSEAL y el ID de sesin de WebSEAL estndar para el usuario. Un solo usuario que inicie una sesin varias veces (por ejemplo, desde mquinas distintas) tiene mltiples ID de sesin de WebSEAL. Dado que el ID de sesin de usuario se basa en el ID de sesin de WebSEAL, hay una correlacin de uno a uno entre ambos. El ID de sesin de usuario exclusivo se almacena en la credencial de usuario como un atributo. Esto permite que se pase el valor a travs de una unin como una cabecera HTTP (utilizando la funcionalidad de valor de seal) y que quede disponible para una aplicacin de fondo.
Un atributo (nombre-atr) habilita la unin para realizar un tipo especfico de funcin. El atributo HTTP-Tag-Value habilita la unin para extraer un valor de un atributo ampliado de credencial y enviar el valor al servidor de fondo en una cabecera HTTP. El valor del atributo ampliado HTTP-Tag-Value utiliza el formato siguiente:
nombre_atributo_ampliado_credencial=nombre_cabecera_http
Para datos de ID de sesin de usuario, la entrada nombre_atributo_ampliado_credencial es el mismo que el nombre de atributo ampliado user_session_id del archivo de configuracin pero sin el prefijo tagvalue_. La entrada no es sensible a las maysculas y minsculas. El valor de este atributo ampliado contiene el ID de sesin de usuario exclusivo. La entrada nombre_cabecera_http especifica el nombre de la cabecera HTTP utilizada para entregar los datos a travs de la unin. En este ejemplo, se utiliza una cabecera denominada PD-USER-SESSION-ID:
pdadmin> object modify /WebSEAL/WS1/junctionA set attribute \ HTTP-Tag-Value user_session_id=PD-USER-SESSION-ID
Cuando WebSEAL procesa una solicitud de usuario a un servidor de aplicaciones de fondo, busca cualquier atributo ampliado HTTP-Tag-Value que est configurado en el objeto de unin. En este ejemplo, la unin configurada busca la credencial del usuario que ha efectuado la solicitud, extrae el valor de ID de sesin de usuario del atributo ampliado tagvalue_user_session_id de la credencial y lo coloca en una cabecera HTTP como:
PD-USER-SESSION-ID:id_sesin_usuario
Captulo 12. Integracin de aplicaciones
381
En resumen:
Valor del atributo HTTP-Tag-Value user_session_id=PD-USER-SESSION-ID definido en el objeto de unin: Nombre y valor de atributo tal como aparecen en la credencial de usuario: Nombre y valor de la cabecera HTTP: tagvalue_user_session_id:nmero_id_sesin_usuario
PD-USER-SESSION-ID:nmero_id_sesin_usuario
Si la aplicacin de fondo es una aplicacin CGI, la especificacin CGI establece que las cabeceras HTTP estn disponibles para los programas CGI como variables de entorno con el formato:
HTTP_nombre_cabecera_HTTP
Por ejemplo:
HTTP_PD-USER-SESSION-ID=id_sesin_usuario
382
Consulte la publicacin IBM Tivoli Access Manager for e-business Administration C API Developer Reference para obtener ms informacin.
La cach de credenciales de WebSEAL se organiza para realizar una referencia cruzada de ID de usuario, ID de sesin de WebSEAL e informacin de entrada de cach. Un usuario tiene siempre el mismo ID de usuario en varias sesiones. En cambio, cada ID de sesin de WebSEAL es exclusivo. El comando terminate all_sessions elimina todas las entradas de la cach que pertenecen al id_usuario. WebSEAL comprueba que haya los permisos adecuados para el administrador que inicia el comando antes de terminar las sesiones de usuario. Es importante tener en cuenta las condiciones en las que se utiliza este comando. Si la intencin es asegurar que se elimine cierto grupo de usuarios completamente del dominio seguro, entonces el comando terminate all_sessions slo ser efectivo cuando, adems, las cuentas de dichos usuarios no sean vlidas (se hayan eliminado). Algunos mtodos de autenticacin como la Autenticacin bsica, el certificado de cliente o las cookies de migracin tras error devuelven la informacin de autenticacin almacenada en la cach automticamente sin necesidad de que intervenga el usuario. El comando terminate all_sessions no elimina los inicios de sesin de devolucin para los usuarios que utilicen cualquiera de estos mtodos de autenticacin. Adems, debe invalidar las cuentas de usuario adecuadas del registro.
383
Figura 21. Transferencia de datos a un gateway CGI mediante una direccin URL
384
La ubicacin de este archivo (relativa a la raz del servidor) se define mediante el parmetro dynurl-map de la stanza [server] del archivo de configuracin de WebSEAL:
[server] dynurl-map = lib/dynurl.conf
Debe crear este archivo, ya que no existe de forma predeterminada. La existencia de este archivo (con entradas) ofrece la posibilidad de direcciones URL dinmicas. Nota: Si utiliza Web Portal Manager para ver el archivo y el archivo no existe, aparece el mensaje de error siguiente:
The dynurl configuration file /opt/pdweb/www-instance/lib/dynurl.conf cannot be opened for reading.
Para eliminar este mensaje de error, cree el archivo. Para crearlo, escriba el texto en el rea de texto y haga clic en Apply. Edite este archivo para modificar las correlaciones. Las entradas del archivo tienen el formato:
objeto plantilla
Puede utilizar Tivoli Access Manager Web Portal Manager para editar este archivo remotamente. En Web Portal Manager, seleccione el vnculo Archivos de direcciones URL dinmicas en el men WebSEAL. La pgina Direccin URL dinmica permite seleccionar un servidor WebSEAL y, a continuacin, visualizar, editar y guardar el archivo de configuracin dynurl.conf localizado en el servidor. Tivoli Access Manager utiliza un subconjunto de valores que cumplen patrones de shell de UNIX (incluidos los caracteres comodn) para definir el conjunto de parmetros que constituyen un objeto en el espacio de objetos. Cualquier direccin URL que coincida con esos parmetros se correlaciona con ese objeto. Tivoli Access Manager da soporte a los siguientes caracteres que cumplen patrones especficos de shell de UNIX:
Carcter \ Descripcin El carcter que sigue a la barra inclinada invertida forma parte de una secuencia especial. Por ejemplo, \t es el carcter TAB. Tambin puede actuar como carcter de escape. Carcter comodn que coincide con un solo carcter. Por ejemplo, la cadena de caracteres abcde coincide con la expresin ab?de Carcter comodn que coincide con cero o ms caracteres. Define un juego de caracteres del cual puede coincidir cualquiera de los caracteres. Por ejemplo, la cadena abcde coincide con la expresin regular ab[cty]de. Indica una negacin. Por ejemplo, la expresin [^ab] coincide con cualquier carcter excepto los caracteres a o b.
? * []
El ejemplo siguiente muestra el formato de una direccin URL dinmica que realiza una bsqueda de balance de crdito:
http://nombre-servidor/home-bank/owa/acct.bal?acc=<account-number>
El objeto que representa esta direccin URL dinmica aparecera de la siguiente forma:
Captulo 12. Integracin de aplicaciones
385
http://nombre-servidor/home-bank/owa/acct.bal?acc=*
Si observamos la direccin URL dinmica de este ejemplo veremos que describe un nmero de cuenta especfico. El objeto de los balances de cuentas de home-bank muestra que los permisos ACL y POP se aplican a cualquier cuenta, puesto que el ltimo fragmento de la entrada (acc=*) utiliza el carcter comodn asterisco, que coincide con todos los caracteres. La siguiente figura muestra un ejemplo completo de direccin URL dinmica especfica correlacionada con un objeto protegido especfico:
386
Mantenga las correlaciones que corresponden con las ACL ms restrictivas en la parte superior de la lista. Por ejemplo, si el procedimiento book.sales de una aplicacin de pedidos de ventas se tiene que restringir a un solo grupo del club de reservas, pero todos los usuarios pueden acceder al resto de la aplicacin de pedidos de ventas, las correspondencias deben encontrarse en la tabla que se muestra a continuacin:
Entrada de espacio de objetos /ows/sales/bksale /ows/sales/general Plantilla de direccin URL /ows/db-apps/owa/book.sales* /ows/db-apps/owa/*
Observe que si las entradas de correlaciones estuvieran en orden inverso, todos los procedimientos almacenados en el directorio /ows/db-apps/owa se correlacionaran con el objeto /ows/sales/general. Esto podra provocar brechas de seguridad, debido a una resolucin incorrecta del espacio de objetos. Cuando se correlaciona una expresin regular de direccin URL con una entrada de espacio de objetos, el formato de la direccin URL debera tomar el formato tal como se produce con el mtodo GET, independientemente de si se utiliza el mtodo POST o GET. En el mtodo GET de transmisin de datos, los datos dinmicos (como los proporcionados por un usuario en un formulario) se agregan a la direccin URL. En el mtodo POST de transmisin de datos, los datos dinmicos se incluyen en el texto de la solicitud.
Observe que este parmetro no limita el tamao mximo de contenido POST (que es ilimitado). El parmetro protege a WebSEAL para que no procese una solicitud
Captulo 12. Integracin de aplicaciones
387
POST de tamao excesivo. Para obtener informacin sobre cmo modificar el parmetro request-body-max-read, consulte el apartado Modificacin del parmetro request-body-max-read en la pgina 223. dynurl-allow-large-posts Aunque el parmetro request-body-max-read limita la cantidad de contenido de POST que WebSEAL puede leer y procesar, no impide que la solicitud se pase ntegramente a travs del servidor de aplicaciones. En este caso, se pasa un contenido que no se ha validado a travs del servidor de aplicaciones. Si el servidor de aplicaciones no tiene sus propias posibilidades de autorizacin, la situacin puede suponer un riesgo de seguridad. El parmetro dynurl-allow-large-posts permite controlar la forma en la que WebSEAL maneja las solicitudes POST que tienen una longitud de contenido mayor que la especificada en request-body-max-read. Si el valor del parmetro se define como no (predeterminado), WebSEAL rechaza totalmente cualquier solicitud POST con una longitud de contenido mayor que la especificada por request-body-max-read.
[server] dynurl-allow-large-posts = no
Si el valor del parmetro se define como yes, WebSEAL acepta la solicitud POST completa, pero slo valida la cantidad de contenido equivalente al valor request-body-max-read.
[server] dynurl-allow-large-posts = yes
Ejemplo 1: v Se recibe una solicitud POST de gran tamao (mayor que el valor request-body-max-read). v dynurl-allow-large-posts = no v Las direcciones URL dinmicas estn habilitadas. v Resultado: 500 Error de servidor Ejemplo 2: v Se recibe una solicitud POST de gran tamao (mayor que el valor post-request-body-max-read). v dynurl-allow-large-posts = yes v Las direcciones URL dinmicas estn habilitadas. v Resultado: WebSEAL compara la cantidad de contenido hasta el valor request-body-max-read con cada una de las expresiones regulares del archivo de configuracin dynurl.conf y realiza una comprobacin de autorizacin en el objeto correspondiente si se encuentra una coincidencia. De lo contrario, la comprobacin de autorizacin se realiza en el objeto que corresponde a la direccin URL recibida, como siempre. La parte del cuerpo de la solicitud post-request-body-max-read no se valida. v La siguiente plantilla contiene el tipo de disposicin de coincidencia de patrones que crea dificultades debido a una solicitud POST de gran tamao:
/rtpi153/webapp/examples/HitCount\?*action=reset*
388
v Para configurar WebSEAL para que maneje de forma segura las direcciones URL dinmicas, se debe crear el siguiente archivo:
/opt/pdweb/www/lib/dynurl.conf
v Si el archivo no existe, o est vaco, no se habilita la posibilidad de direcciones URL dinmicas. v Despus de procesarse el archivo, el nombre de objeto aparece como recurso hijo en el espacio de objetos de WebSEAL. v La plantilla puede contener un subconjunto de los caracteres de coincidencia de patrones estndares. La plantilla tambin puede ser una cadena exacta sin caracteres de coincidencia de patrones. El siguiente archivo de ejemplo dynurl.conf define tres objetos que representan algunas de las aplicaciones web que forman parte del producto IBM WebSphere:
Entrada de objeto /app_showconfig /app_snoop /app_snoop /app_hitcount/ejb /app_hitcount Plantilla de direccin URL /rtpi153/webapp/examples/ShowConfig* /rtpi153/servlet/snoop /rtpi025/servlet/snoop /rtpi153/webapp/examples/HitCount\?source=EJB /rtpi153/webapp/examples/HitCount*
Notas tcnicas: v Se pueden correlacionar varias plantillas de direccin URL con el mismo objeto (por ejemplo, app_snoop se correlaciona con direcciones URL en dos servidores diferentes). v Los objetos se pueden anidar (por ejemplo, app_hitcount y app_hitcount/ejb). v Una solicitud de direccin URL entrante se compara con las plantillas en orden, de arriba abajo. Cuando se encuentra una coincidencia, el proceso se detiene. Por lo tanto, las plantillas ms restrictivas se colocan en la parte superior del archivo. v Para activar las definiciones en el archivo dynurl.conf emita el comando dynurl update (utilice pdadmin server task). La actualizacin se produce inmediatamente y el objeto aparece en Web Portal Manager cuando se renueva la vista del espacio de objetos protegidos. v Evite el uso de caracteres en maysculas en el nombre de objeto. Utilice slo caracteres en minsculas. v No utilice un nombre de objeto que ya exista en el espacio de objetos protegidos. v Antes de suprimir un objeto en el archivo dynurl.conf, elimine las ACL asociadas con el objeto.
389
La aplicacin
Travel Kingdom es una empresa que ofrece a los clientes un servicio de reserva de viajes a travs de Internet. La empresa quiere utilizar dos aplicaciones de bases de datos de Oracle en su servidor web accesible desde el cortafuegos corporativo y a travs de Internet. 1. Sistema de reserva de viajes Los clientes autorizados pueden efectuar reservas de forma remota y consultar sus reservas actuales. El personal de Travel Kingdom tambin puede efectuar reservas para los clientes que llaman por telfono, procesar cambios y realizar otras muchas transacciones. Puesto que los clientes externos pagan por los servicios con tarjeta de crdito, la transmisin de esa informacin debe estar altamente protegida. 2. Gestor de administracin Como muchas otras empresas, Travel Kingdom mantiene una base de datos de administracin que contiene salarios, posicin e informacin sobre la experiencia. Estos datos van tambin acompaados de una foto de cada miembro del personal.
La interfaz
Se configura un servidor web de Oracle para proporcionar acceso a los siguientes procedimientos almacenados en la base de datos:
/db-apps/owa/tr.browse Ofrece a todos los usuarios la posibilidad de realizar consultas acerca de los destinos de viajes, precios, etc. Se utiliza para efectuar una reserva (personal de la agencia de viajes o clientes autenticados). Se utiliza para revisar o cambiar las reservas actuales.
/db-apps/owa/tr.book /db-apps/owa/tr.change
/db-apps/owa/admin.browse
Los miembros del personal lo utilizan para ver informacin no restringida acerca de ste, como el nmero de extensin, la direccin de correo electrnico o la fotografa. Proporciona a los miembros del personal la posibilidad de ver o cambiar la informacin de sus datos personales en la base de datos de administracin. El personal de administracin lo utiliza para actualizar la informacin acerca del personal.
/db-apps/owa/admin.resume
/db-apps/owa/admin.update
390
La poltica de seguridad
Para proporcionar la seguridad apropiada a los recursos web, al mismo tiempo que se mantiene un sistema fcil de usar, la empresa ha establecido los siguientes objetivos de seguridad: v El personal de la agencia de viajes tiene un control total sobre todas las reservas. v Los clientes autenticados pueden efectuar y cambiar sus propias reservas, pero no pueden interferir con los datos de reservas de otros clientes autenticados. v El personal de administracin tiene acceso completo a toda la informacin de administracin. v El personal de Travel Kingdom que no es del departamento de administracin puede cambiar la informacin de sus propios datos personales y ver una parte de la informacin de otros miembros del personal.
Clientes seguros
El cliente se autentica en WebSEAL a travs de un canal seguro cifrado. Los clientes que deseen utilizar la interfaz web deben registrarse tambin con el administrador de web de Travel Kingdom para recibir una cuenta.
391
Observe que los miembros del personal de administracin se encuentran tambin en el grupo de personal. Customer (Cliente) Clientes de Travel Kingdom que desean efectuar sus reservas a travs de Internet. Se da a cada usuario una cuenta en el dominio seguro para que el servidor WebSEAL pueda identificarlos individualmente. La identidad del usuario se pasa tambin a los servidores web de Oracle para proporcionar una solucin de inicio de sesin nico para todos los recursos web.
Control de accesos
La tabla siguiente muestra una lista de los controles de accesos derivados de la aplicacin de la informacin anterior:
/ows/tr/browse /ows/tr/auth no autenticado Tr cualquier autenticado no autenticado any_other grupo TKStaff Tr grupo Customer PTr no autenticado any_other grupo Staff Tr no autenticado any_other grupo AdminStaff Tr
/ows/admin/forall
/ows/admin/auth
Tr
Los grupos Customer (Clientes) y TKStaff (PersonalTK) tienen los mismos privilegios en los objetos de mantenimiento de reservas y planificacin de viajes, con la excepcin de que los clientes deben cifrar la informacin (permiso de privacidad) para proporcionar una mayor seguridad al enviar datos confidenciales (por ejemplo, informacin de tarjetas de crdito) a travs de Internet, que no es fiable.
Conclusin
Este sencillo ejemplo muestra los conceptos de despliegue de un sistema capaz de: v Proteger la informacin confidencial v Autenticar usuarios v Autorizar el acceso a la informacin confidencial Adems, los servidores web de WebSEAL y de Oracle conocen las identidades de los usuarios autenticados del sistema y estn habituados a proporcionar una solucin de inicio de sesin nico con registro.
392
393
394
395
4. WebSEAL responde al nombre de contenedor AMWS_hd_host realizando una bsqueda de host en la cabecera de la solicitud del cliente y extrayendo el valor asociado con dicha cabecera. 5. WebSEAL devuelve el valor de cabecera host (como contenedor XML) al proceso de evaluacin de las reglas de autorizacin. 6. El proceso de evaluacin de las reglas de autorizacin utiliza el valor como ADI en la evaluacin de esta regla. El parmetro resource-manager-provided-adi de la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL especifica, para el proceso de evaluacin de las reglas de autorizacin, los prefijos que pueden utilizarse en los nombres de contenedor especificados por las reglas de autorizacin. Para especificar varios prefijos, utilice entradas del parmetro resource-manager-provided-adi:
[aznapi-configuration] resource-manager-provided-adi = AMWS_qs_ resource-manager-provided-adi = AMWS_pb_ resource-manager-provided-adi = AMWS_hd_
El parmetro permission-info-returned de la stanza [aznapi-configuration] del archivo de configuracin de WebSEAL aparece de forma predeterminada. Este parmetro especifica la informacin de permisos devuelta al gestor de recursos (por ejemplo, WebSEAL) del servicio de autorizacin. El ejemplo siguiente se especifica en una sola lnea, separando los dos tipos de permiso con un nico espacio:
[aznapi-configuration] permission-info-returned = azn_perminfo_rules_adi_request azn_perminfo_reason_rule_failed
El valor azn_perminfo_rules_adi_request permite al servicio de autorizacin solicitar ADI de la solicitud de cliente WebSEAL actual. El valor azn_perminfo_reason_rule_failed especifica que las causas de error de las reglas deben enviarse al gestor de recursos (este valor es necesario para las conexiones R; consulte el apartado Especificacin de una causa de error en una unin en la pgina 400).
WebSEAL est diseado para saber cmo extraer informacin ADI de la solicitud:
[aznapi-configuration] resource-manager-provided-adi = AMWS_hd_
WebSEAL sabe que esta informacin puede encontrarse en el nombre de cabecera de solicitud host. WebSEAL extrae el valor que contiene la cabecera host y lo devuelve al proceso de evaluacin de la autorizacin. La regla de autorizacin de ejemplo se evala como verdadera (true) si el valor proporcionado en la cabecera host de la solicitud es machineA.
396
De forma similar, la informacin necesaria para evaluar una regla de autorizacin puede provenir del cuerpo POST de la solicitud o de la cadena de consulta de la solicitud.
El uso del prefijo AMWS_qs_ en la regla alerta al proceso de evaluacin de la autorizacin que la ADI necesaria est disponible en la solicitud de cliente y que WebSEAL sabe cmo encontrar, extraer y devolver esta ADI.
<xsl:if test=AMWS_qs_zip = "99999">!TRUE!</xsl:if>
WebSEAL est diseado para saber como extraer informacin ADI de la solicitud:
[aznapi-configuration] resource-manager-provided-adi = AMWS_qs_
WebSEAL sabe que esta informacin puede encontrarse en el nombre de campo zip de la cadena de consulta de la solicitud. WebSEAL extrae el valor que contiene el campo zip y lo devuelve al proceso de evaluacin de la autorizacin. La regla de autorizacin de ejemplo se evala como verdadera (true) si el valor proporcionado en el campo zip de la cadena de consulta de la solicitud es 99999. De forma similar, la informacin necesaria para evaluar una regla de autorizacin puede provenir del cuerpo POST de la solicitud o de la cabecera de la solicitud.
WebSEAL est diseado para saber como extraer informacin ADI de la solicitud:
[aznapi-configuration] resource-manager-provided-adi = AMWS_pb_
WebSEAL sabe que esta informacin puede encontrarse en el nombre de campo purchase-total del cuerpo POST de la solicitud. WebSEAL extrae el valor que contiene el campo purchase-total y lo devuelve al proceso de evaluacin de la autorizacin.
397
La regla de autorizacin de ejemplo se evala como verdadera (true) si el valor proporcionado en el campo purchase-total del cuerpo POST de la solicitud es inferior a 1000.00. De forma similar, la informacin necesaria para evaluar una regla de autorizacin puede provenir de la cabecera de la solicitud o de la cadena de consulta de la solicitud.
398
399
400
401
Windows Archivo Readme Archivo de proceso por lotes C:\Archivos de programa\Tivoli\AMWebARS\Readme.deploy C:\Archivos de programa\Tivoli\AMWebARS\Deploy.bat
Realice las tareas siguientes para configurar WebSEAL de modo que utilice el servicio de recuperacin de atributos. 1. En el archivo de configuracin de WebSEAL, especifique el nombre de identificacin (ID) del servicio de recuperacin de atributos que se consulta cuando se detecta la ADI que falta durante una evaluacin de reglas. En este caso, se especifica el servicio de recuperacin de atributos:
[aznapi-configuration] dynamic-adi-entitlement-services = AMWebARS_A
2. En el archivo de configuracin de WebSEAL, utilice el ID del servicio para el servicio de recuperacin de atributos configurado como un parmetro para especificar la biblioteca incorporada apropiada que da formato a las solicitudes de ADI salientes y que interpreta las respuestas entrantes: Por ejemplo:
[aznapi-entitlement-services] AMWebARS_A = azn_ent_amwebars
3. En el archivo de configuracin de WebSEAL, especifique la direccin URL para el servicio de recuperacin de atributos que se encuentra en el entorno de WebSphere. Para una conexin TCP:
[amwebars] service-url = http://nombre_host_websphere:puerto_websphere \ /amwebars/amwebars/ServiceToIServicePortAdapter
4. Reinicie WebSEAL.
402
403
Configuracin bsica
Informacin sobre la configuracin bsica.
Archivos de configuracin
Los archivos XML y de configuracin del servicio de recuperacin de atributos que se indican a continuacin se encuentran en el directorio de trabajo de la aplicacin de soporte. La implementacin actual del servicio de recuperacin de atributos se instala en un entorno WebSphere:
dir-instalacin-websphere/WebSphere/AppServer/bin/
amwebars.conf
El archivo de configuracin amwebars.conf contiene los parmetros y valores que especifican la configuracin general del servicio de recuperacin de atributos.
ContainerDescriptorTable.xml
El archivo ContainerDescriptorTable.xml contiene una lista de todos los descriptores de contenedor que el servicio de recuperacin de atributos puede recuperar. El servicio slo reconoce los contenedores que se describen en esta tabla. La tabla se basa en XML.
ProviderTable.xml
El archivo ProviderTable.xml contiene la descripcin de los proveedores disponibles para la recuperacin de ADI. El archivo basado en XML contiene, para cada proveedor, la direccin URL del proveedor e informacin necesaria para establecer contacto con el proveedor y solicitarle contenedores (ADI). Slo pueden consultarse los proveedores que se indican en este archivo.
ProtocolTable.xml
El archivo ProtocolTable.xml contiene la descripcin de los protocolos que utiliza el servicio de recuperacin de atributos. El archivo contiene el nombre de clase completo de cada protocolo y el ID del protocolo. Slo pueden consultarse los protocolos que se indican en este archivo.
404
el servicio de recuperacin de atributos. Debe tener en cuenta que el servicio slo utiliza este archivo si la opcin protocol_module_load_from_general_config est establecida en false. key_store_filename Nombre de archivo del almacn de claves del servicio de recuperacin de atributos. El almacn de claves es un almacn central para las claves de cliente que utiliza el servicio de recuperacin de atributos. Puede administrarse con la herramienta de claves de la herramienta Java. key_store_password Contrasea que debe utilizarse para desbloquear el almacn de claves. Debe tener en cuenta que las claves se desbloquean de forma independiente. La contrasea que se utiliza para desbloquearlas se almacena en la descripcin del proveedor.
Registro
exception_logfile_filename Nombre del archivo de registro en el que se registran excepciones. El archivo de registro de excepciones contiene informacin sobre errores y entradas no vlidas. metering_logfile_filename Nombre del archivo de registro de mediciones. El archivo de registro de mediciones contiene una entrada para cada contenedor que se recupera de un proveedor. trace_logfile_filename Nombre del archivo de registro de seguimiento. El archivo de registro de seguimiento contiene un seguimiento detallado de las operaciones del programa de servicio. exception_logging Activa y desactiva el registro de excepciones. Establezca este valor en true para activar el registro de excepciones (opcin recomendada). El valor predeterminado es true. metering_logging Activa y desactiva el registro de mediciones. Establezca el valor en true para activar el registro de los contenedores recuperados. El valor predeterminado es true. trace_logging Activa y desactiva el registro de seguimiento. Establezca el valor en true para activar el seguimiento. Debe tener en cuenta que el seguimiento consume mucho espacio de disco. El valor predeterminado es false. use_stderr_for_fatal
405
Si se establece en true, los errores graves que se producen en el registro de excepciones se notifican al archivo de registro y a stderr. use_stderr_for_exceptions Si se establece en true, todas las excepciones del registro de excepciones se notifican al archivo de registro y a stderr. trace_verbose_monitor_locks Si se establece en true, todas las entradas de los supervisores sincronizados se notifican a trace. Esta opcin se utiliza para buscar puntos muertos. trace_verbose_get_entitlement Si se establece en true, el seguimiento contiene todas las entradas de las llamadas getEntitlement. Debe tener en cuenta que este tipo de seguimiento puede contener informacin personal sobre el cliente.
Opciones varias
return_ids_full_qualified El servicio devuelve los contenedores en una lista de atributos con container_type_ids como clave. De forma predeterminada, el servicio utiliza el mismo formato (con espacio de nombres o sin l) que app_context. Si establece este valor en true, puede forzar el servicio de modo que siempre devuelva container_type_ids que incluyan el espacio de nombres. El valor predeterminado es false.
406
El servicio de recuperacin de atributos carga dinmicamente los mdulos de protocolos en el momento de la inicializacin. Si esta clave se establece en true, el servicio utiliza este archivo de configuracin; de lo contrario, utiliza otro archivo XML especificado con la clave protocol_table_filename. Si se carga de acuerdo con este archivo, se basa en las entradas siguientes: protocol_module_load.* Paquete que debe cargarse. protocol_module_id.* ID de protocolo que debera asociarse con el protocolo.
407
Tabla ProviderTable
Esta tabla contiene informacin sobre los proveedores disponibles para el servicio. Esta tabla debe contener una entrada Provider para cada servidor que deba conectarse al servicio de recuperacin de atributos.
Nombre de archivo: Formato: Nombre de tabla: Nombre de elemento: ProviderTable.xml XML ProviderTable Provider
client_key_alias El protocolo utiliza este alias para buscar la clave privada y el certificado que corresponden a este proveedor en el almacn de claves del servicio. client_key_password Contrasea asignada a la clave privada del proveedor.
408
Tabla ContainerDescriptorTable
La tabla ContainerDescriptorTable describe todos los contenedores que el servicio de recuperacin de atributos puede recuperar. Debe agregar una entrada ContainerDescriptor a esta tabla si desea que el servicio recupere otro tipo de contenedor de servicio de recuperacin de atributos.
Nombre de archivo: Formato: Nombre de tabla: Nombre de elemento: ContainerDescriptor.xml XML ContainerDescriptorTable ContainerDescriptor
Si el espacio de nombres no est presente, es igual a container_name. El valor de container_type_id debe ser exclusivo. container_name Nombre de este descriptor de contenedor (necesario). En un espacio de nombres determinado, el valor de container_name debe ser exclusivo. El valor de container_name no debe contener el carcter de dos puntos (:). namespace_prefix Direccin URL del espacio de nombres en el que container_name es vlido (necesario). El indicador del espacio de nombres puede estar vaco. En tal caso, container_type_id es igual a container_name. cost Coste por recuperacin del contenedor del servicio de recuperacin de atributos que corresponde a este descriptor. No olvide especificar el tipo de moneda.
Captulo 14. Informacin de consulta del servicio de recuperacin de atributos
409
protocol_id Este ID (necesario) hace referencia al ID de protocolo exclusivo de uno de los protocolos del servicio de recuperacin de atributos. El protocolo que presenta este ID se utiliza para recuperar el contenedor del proveedor. Este elemento debe coincidir con un ID conocido por el servicio. provider_id Este ID (necesario) hace referencia al proveedor del servicio de recuperacin de atributos que puede enviar un contenedor que corresponda al descriptor. El servicio se conecta con este proveedor cuando se solicita este contenedor. properties Propiedades generales que dependen del cliente y del protocolo. El valor de una propiedad se agrega de este modo: Agregue un elemento denominado property con un atributo denominado key. El atributo contiene el nombre o la clave de la propiedad, el contenido del elemento y el valor correspondiente. Observe client_init_properties en el cdigo de ejemplo siguiente. client_init_properties Propiedades especficas de la inicializacin de los clientes del servicio de recuperacin de atributos. Una propiedad que utilizan distintos protocolos es la correlacin de atributos que se describe ms adelante. ContainerPayloadFormat Este elemento (necesario) describe la estructura y el contenido de los contenedores que corresponden a este descriptor. El contenido de este elemento depende del protocolo. El DynAdiProtocols disponible actualmente proporciona una lista de elementos cuyo nombre contiene el nombre de los atributos que deben recuperarse del proveedor en este elemento. Los contenedores estn envueltos por un elemento que tiene el nombre de container_name.
Correlacin de atributos
La correlacin de atributos puede ser necesaria si el proveedor de servicios de recuperacin de atributos utiliza nombres de atributo que no son compatibles con nombres de elemento XML. Esta correlacin se genera de este modo: La clave tiene la estructura:
"map_provider_attribute_name__" + nombre_atributo_proveedor_fuente
si correlaciona uno de los nombres de atributo del proveedor con uno de sus nombres, o la estructura:
"map_attribute_name__" + nombre_atributo_fuente
si realiza una correlacin inversa. El valor de una propiedad de este tipo contiene el nombre del atributo con el que debe establecerse la correlacin. Observe que una declaracin de este tipo es unidireccional. Debe agregar una segunda declaracin para generar una correlacin inversa.
410
Tabla ProtocolTable
La tabla ProtocolTable describe todos los protocolos que utiliza el servicio de recuperacin de atributos. Debe agregar una entrada Protocol a esta tabla si desea utilizar el servicio para recuperar otro tipo de protocolo.
Nombre de archivo: Formato: Nombre de tabla: Nombre de elemento: ProtocolTabler.xml XML ProtocolTable Protocol
411
412
413
Los recursos siguientes estn disponibles para ayudar a crear un plug-in de protocolo personalizado: v Documentacin de la clase del servicio de recuperacin de atributos
/opt/pdwebars/amwebars_class_doc.zip
414
La primera instancia de servidor WebSEAL que se instala en un sistema tiene por nombre_instancia el valor default. El administrador puede optar por cambiar este nombre durante la configuracin del servidor. Cuando el administrador acepta el nombre predeterminado (default), el archivo se denomina del modo siguiente:
UNIX /opt/pdweb/etc/webseald-default.conf Windows C:\Archivos de programa\Tivoli\PDWeb\etc\webseald-default.conf
Cuando se configuran instancias adicionales del servidor WebSEAL, el administrador especifica el valor de nombre_instancia. Este mtodo para especificar el nombre depende del mtodo de la utilidad de configuracin, ya sea como una entrada de campo de la GUI de pdconfig o un argumento de la lnea de mandatos para amwebcfg v Instalacin interactiva: como una entrada de campo de la GUI en pdconfig. v Instalacin desde la lnea de comandos: como una opcin de la lnea de comandos amwebcfg. v Instalacin silenciosa: como una entrada en un archivo de respuesta utilizado por amwebcfg.
Copyright IBM Corp. 1999, 2003
415
En todos los casos, la utilidad de configuracin utiliza el nombre_instancia introducido como nombre del nuevo archivo de configuracin de WebSEAL. Por ejemplo, si asigna a la nueva instancia de servidor el nombre webseal2, se crea el archivo de configuracin siguiente:
UNIX /opt/pdweb/etc/webseald-webseal2.conf Windows C:\Archivos de programa\Tivoli\PDWeb\etc\webseald-webseal2.conf
Los caracteres vlidos para una instancia de servidor WebSEAL son los siguientes: v Caracteres alfanumricos ([A-Z][a-z][09]) v Subrayado (_) v Guin (-) v Punto (.) No puede utilizarse ningn otro carcter. Los nombres no pueden tener una longitud superior a los 20 caracteres. Para obtener ms informacin sobre la configuracin de la instancia de servidor WebSEAL, consulte el apartado Configuracin de la instancia de servidor en la pgina 16.
Directrices generales
Utilice las siguientes directrices generales al realizar cambios en los valores de configuracin: v No hay ninguna dependencia de orden o de ubicacin de las stanzas en ningn archivo de configuracin. v Las entradas de stanza estn marcadas como obligatorias u opcionales. Cuando una entrada es obligatoria, WebSEAL requiere que la entrada contenga una clave y un valor vlidos. v No cambie los nombres de las claves de los archivos de configuracin. Si lo hace, es posible que la clave provoque resultados imprevisibles para los servidores.
416
v v v v
Nota: WebSEAL da soporte a algunas entradas de stanza que se basan en nombres de clave definidos. Consulte el apartado Listas en la pgina 418. Las maysculas y minsculas de las claves no son importantes. Por ejemplo, puede utilizar UseSSL o usessl. No se permiten espacios en los nombres de clave. En el formato de pareja de clave y valor (clave = valor), los espacios alrededor del signo igual (=) no son necesarios pero son recomendados. WebSEAL omite los caracteres no imprimibles (como indicadores, retornos de carro y saltos de lnea) que existan al final de una entrada de stanza. Los caracteres no imprimibles son caracteres ASCII que tienen un valor decimal inferior a 32. Las entradas del archivo de configuracin deberan ser caracteres ASCII. WebSEAL no espera leer caracteres que no sean ASCII, como caracteres a los que dan soporte los entornos locales de mltiples bytes, en los valores de las entradas del archivo de configuracin.
Valores predeterminados
v Muchos valores se crean o se modifican nicamente mediante programas de configuracin. No debe editar manualmente estas stanzas o valores. v Algunos valores se rellenan automticamente durante la configuracin de WebSEAL. Estos valores son necesarios para la inicializacin del servidor despus de la configuracin. v Es posible que los valores predeterminados de una entrada de stanza sean distintos en funcin de la configuracin del servidor. Algunas entradas de stanza no se aplican en determinadas configuraciones y se omiten del archivo de configuracin predeterminado para este servidor.
Cadenas
Algunos valores aceptan un valor de cadena. Cuando edite manualmente el archivo de configuracin, utilice las siguientes directrices para cambiar los valores de configuracin que requieran una cadena: v Se espera que los valores de cadena sean caracteres que formen parte del conjunto de cdigos local. Algunas cadenas de WebSEAL imponen restricciones distintas o adicionales sobre el juego de caracteres de cadena permitidos. Por ejemplo, muchas cadenas estn limitadas a caracteres ASCII. Las restricciones que se aplican a cada cadena se listan debajo de la descripcin de las entradas de stanza correspondientes ms adelante en este captulo. Consulte cada descripcin de entrada de stanza para conocer cualquier restriccin adicional. v Las comillas dobles son necesarias en algunos casos, pero no en todos, si los valores contienen espacios o ms de una palabra. Consulte las descripciones o los ejemplos de cada entrada de stanza si tiene dudas. v Las longitudes mnimas y mximas de los valores de cadena relacionados con el registro de usuarios, si existen lmites, son impuestas por el registro subyacente. Por ejemplo, para Active Directory la longitud mxima es de 256 caracteres alfanumricos. v
Cadenas definidas
Algunos valores aceptan un valor de cadena, pero el valor debe ser alguno de los especificados en un conjunto de cadenas definidas. Cuando edite manualmente el
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL
417
archivo de configuracin, asegrese de que el valor de cadena que escriba coincide con uno de los valores vlidos de las cadenas definidas. Por ejemplo, la stanza [ba] de la seccin de mecanismos de autenticacin contiene la siguiente entrada:
ba-auth = { none | http | https | both }
WebSEAL espera que el valor de ba-auth sea none, http, https o both. Cualquier otro valor no es vlido y provocar un error.
Listas
El archivo de configuracin de WebSEAL contiene algunas stanzas que utilizan entradas de stanza que no tienen nombres de clave definidos. El contenido de estas stanzas se denomina listas. El administrador puede configurar y especificar las listas. Algunas listas se incluyen de forma predeterminada y el administrador puede ampliarlas. Otras listas estn vacas de forma predeterminada y el administrador puede crearlas. WebSEAL utiliza las listas para una variedad de objetivos. WebSEAL filtra los datos entrantes en funcin del tipo de documento, tipo de manejador de eventos, tipo MIME y datos de solicitud de la cabecera. WebSEAL tambin utiliza listas para la gestin del contenido en diversas reas, que incluyen el seguimiento de los tipos de CGI, la generacin de listas de iconos para ndices, la definicin y el tamao de las cachs de contenido, la definicin de tipos MIME y el listado de codificaciones de contenido. Ejemplos de stanzas que utilizan listas son [filter-url], [filter-events] y [content-mime-types]. Existen stanzas adicionales que dan soporte a las listas. Consulte las descripciones de stanzas de este captulo para obtener la informacin completa.
Nombres de archivo
Algunos valores son nombres de archivo. En cada entrada de stanza en la que se espera un nombre de archivo como valor, la descripcin de la entrada de stanza especifica cul de las construcciones siguientes son vlidas: v Nombre de archivo No se incluye la ruta de acceso del directorio. v Nombre de archivo relativo Se permite una ruta de acceso del directorio, pero no es obligatoria. Normalmente, se espera que estos archivos sean relativos a la ubicacin de un directorio de WebSEAL estndar, como server-root o el directorio raz de documentos, doc-root, de WebSEAL. La entrada de stanza para cada relativo lista el directorio raz al cual el nombre de archivo es relativo. v Ruta de acceso completa (absoluta) Se requiere una ruta de acceso absoluta del directorio. Nota: Algunas entradas de stanza permiten ms de una de las opciones anteriores. El juego de caracteres permitidos en un nombre de archivo est determinado por el sistema de archivos y por el conjunto de cdigos local. WebSEAL no impone limitaciones adicionales sobre el juego de caracteres permitidos en un nombre de
418
archivo. En Windows, los nombres de archivo no pueden contener estos caracteres: una barra inclinada invertida (\), dos puntos (:), un signo de interrogacin (?)o comillas dobles ().
Enteros
En muchas entradas de stanza, se espera que el valor de la entrada est expresado como un entero. v Las entradas de stanza que aceptan un entero esperan valores enteros dentro de unos lmites vlidos. Los lmites se describen en trminos de un valor mnimo y un valor mximo. Por ejemplo, en la stanza [logging], la entrada de stanza logflush puede tener un valor mnimo de 1 segundo y un valor mximo de 600 segundos. v En algunas entradas, el valor entero debe ser positivo y el valor mnimo es 1. En otras entradas, se permite un valor entero mnimo de 0. Tenga precaucin al establecer un valor entero en 0. En algunas entradas, un valor entero de 0 inhabilita la caracterstica controlada por la entrada de stanza. Por ejemplo, en la stanza [junction], la entrada max-webseal-header-size limita el tamao mximo, en bytes, de las cabeceras HTTP generadas por el servidor WebSEAL. Un valor de cero (0) inhabilita el soporte para limitar el tamao de la cabecera. v En algunas entradas que requieren valores enteros, WebSEAL no impone un lmite superior sobre el nmero mximo permitido. Por ejemplo, normalmente no hay un valor mximo para los valores relacionados con el tiempo de espera, como client-connect-timeout en la stanza [server]. Para este tipo de entrada, el nmero mximo slo est limitado por el tamao de la memoria asignada para un tipo de datos entero. Este nmero puede variar en funcin del tipo de sistema operativo. En los sistemas que asignan 4 bytes para un entero, este valor es 2147483647. Sin embargo, un administrador no debera establecer valores enteros del tamao mximo de la memoria asignada. En su lugar, deberan determinar valores lgicos para cada valor en funcin de la caracterstica que se est configurando.
Valores booleanos
Muchas entradas de stanza representan un valor booleano. WebSEAL reconoce los valores booleanos yes y no. Algunas de las entradas de webseald.conf son ledas por otros servidores y utilidades. Por ejemplo, muchas entradas de la stanza [ldap] son ledas por el cliente de LDAP. Algunos de estos programas reconocen caracteres booleanos adicionales: v yes o true v no o false Las entradas booleanas reconocidas se muestran en una lista en cada entrada de stanza. Consulte las descripciones individuales para determinar cundo se reconocen otros valores, como true o false.
419
Esto le permite restaurar el archivo de configuracin a un estado de funcionamiento correcto, en caso de producirse un error posteriormente. 2. Detenga el servidor WebSEAL. 3. Realice los cambios utilizando un editor de texto ASCII para editar el archivo de configuracin (webseald.conf). Guarde los cambios. 4. Reinicie el servidor WebSEAL.
420
Migracin tras error de autenticacin en [failover] la pgina 467 [failover-attributes] [failover-add-attributes] [failover-restore-attributes] Inicio de sesin nico entre dominios (CDSSO) en la pgina 472 Inicio de sesin nico de e-community en la pgina 475 Calidad de proteccin en la pgina 480 [cdsso] [cdsso-peers] [e-community-sso] [e-community-domain-keys] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default] [session]
421
[content] [acnt-mgt]
Redireccin automtica en la pgina 492 [content] [enable-redirects] CGI local en la pgina 493 [cgi] [cgi-types] [cgi-environment-variables] [content-index-icons] [icons] [content-cache] [content-mime-types] [content-encodings]
Iconos en la pgina 495 Almacenamiento en cach de contenido en la pgina 497 Tipos de contenido MIME en la pgina 499 Codificacin de contenido en la pgina 500 Uniones en la pgina 501 Gestin de conexiones en la pgina 502 Filtrado de documentos en la pgina 506 Filtrado de manejadores de eventos en la pgina 507 Filtrado de esquemas en la pgina 509 Filtrado de tipos MIME y cabeceras en la pgina 510 Filtrado de scripts en la pgina 511
Renovacin de credenciales en la pgina [credential-refresh-attributes] 513 Nombres de cabecera en la pgina 513 Cach de Global Sign-On en la pgina 514 [header-names] [gso-cache]
Cach de LTPA (Lightweight Third Party [ltpa-cache] Authentication) en la pgina 516 Registro en la pgina 518 Auditora en la pgina 521 Base de datos de polticas en la pgina 524 Servicios de titularidad en la pgina 526 Policy Server en la pgina 527 [logging] [aznapi-configuration] [aznapi-configuration] [aznapi-entitlements-services] [policy-director] [manager]
422
423
El nombre de instancia de servidor WebSEAL. Este valor lo establece el administrador durante la configuracin de WebSEAL. Los nombres de instancia de WebSEAL deben ser alfanumricos. El nmero mximo de caracteres permitidos es 20. Esta entrada de stanza es obligatoria. Ejemplo del primer servidor WebSEAL con el nombre de instancia predeterminado aceptado, en un host denominado diamond: server-name = diamond-default Ejemplo de instancia de servidor WebSEAL, especificado como web2, en un host denominado diamond: server-name = diamond-web2 Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: server-name = diamond worker-threads = nmero_threads Nmero de threads de trabajo de WebSEAL. El valor mnimo permitido es 1. El nmero mximo de threads depende del nmero de descriptores de archivo establecido en WebSEAL durante la compilacin. Tenga en cuenta que este nmero vara en funcin del sistema operativo. Si el valor se establece en un nmero mayor que el lmite determinado por WebSEAL, WebSEAL reduce el valor al lmite aceptable y muestra un mensaje de aviso. Esta entrada de stanza es obligatoria. Valor predeterminado: 50 Ejemplo: worker-threads = 50 Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. client-connect-timeout = nmero_segundos Tiempo de espera de conexin inicial del cliente, en segundos. Debe ser un entero positivo. Otros valores pueden provocar resultados imprevisibles y no debe utilizarse. Valor mximo permitido: 2147483647. Esta entrada de stanza es obligatoria. Valor predeterminado: 120 Ejemplo: client-connect-timeout = 120 persistent-con-timeout = nmero_segundos
424
Tiempo de espera de conexin HTTP/1.1, en segundos. Debe ser un entero positivo. Otros valores pueden provocar resultados imprevisibles y no debe utilizarse. Valor mximo permitido: 2147483647. Este valor afecta a les conexiones con los clientes, no con los servidores de fondo. Esta entrada de stanza es obligatoria. Valor predeterminado: 5 Ejemplo: persistent-con-timeout = 5 chunk-responses = {yes|no} Permite a WebSEAL escribir datos fragmentados en clientes HTTP/1.1. Esto puede mejorar el rendimiento, ya que permite reutilizar las conexiones aun cuando no se conozca la longitud exacta de la respuesta antes de escribirla. Esta entrada de stanza es obligatoria. El valor predeterminado es yes. Ejemplo: chunk-responses = yes https = {yes|no} Especifica si el servidor WebSEAL aceptar las solicitudes HTTPS. Es un valor booleano. Los valores vlidos son yes o no. Este valor lo establece el administrador durante la configuracin del servidor WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: https = yes https-port = nmero_puerto Puerto en el que WebSEAL realiza la escucha de las solicitudes HTTPS. Este valor se establece durante la configuracin de WebSEAL. Si el puerto predeterminado ya est en uso, la configuracin de WebSEAL sugiere el siguiente nmero de puerto disponible (no utilizado). El administrador puede modificar este nmero. Los valores vlidos incluyen cualquier nmero de puerto que no est en uso en el host. Esta entrada de stanza es obligatoria. Valor predeterminado: 443 Ejemplo: https-port = 443 http = {yes|no} Especifica si el servidor WebSEAL aceptar las solicitudes HTTP. Los valores vlidos son yes o no. Este valor lo establece el administrador durante la configuracin del servidor WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: http = yes http-port = nmero_puerto
425
Puerto en el que WebSEAL realiza la escucha de las solicitudes HTTPS. Este valor se establece durante la configuracin de WebSEAL. Si el puerto HTTP predeterminado ya est en uso, la configuracin de WebSEAL sugiere el siguiente nmero de puerto disponible (no utilizado). El administrador puede modificar este nmero. Los valores vlidos incluyen cualquier nmero de puerto que no est en uso en el host. Esta entrada de stanza es obligatoria. Valor predeterminado: 80 Ejemplo: http-port = 80 max-client-read = nmero_bytes Especifica el nmero mximo de bytes que WebSEAL mantendr en los bferes internos durante la lectura de datos de un cliente. Este parmetro afecta al tamao mximo de las direcciones URL, de las cabeceras HTTP y al tamao de una solicitud que se almacenar en la cach. Este parmetro debe establecerse como mnimo en el doble del valor del parmetro request-body-max-read. Nmero mnimo de bytes: 32678. Si el valor se establece en un nmero inferior a 32768, el valor se omite y se utiliza el valor 32768. No existe ningn valor mximo. Esta entrada de stanza es obligatoria. Valor predeterminado: 32768 Ejemplo: max-client-read = 32768 request-body-max-read = nmero_bytes Nmero mximo de bytes que se pueden leer como contenido en el cuerpo de las solicitudes POST. Se utiliza para dynurl, autenticacin y almacenamiento en cach de solicitudes. Nmero mnimo de bytes: 512. Nmero mximo de bytes: 32768. No obstante, el nmero mximo puede aumentarse incrementando el valor de max-client-read. Consulte el apartado Configuracin de parmetros del almacenamiento en la cach del servidor en la pgina 223. Esta entrada de stanza es obligatoria. Valor predeterminado: 4096 Ejemplo: request-body-max-read = 4096 request-max-cache = nmero_bytes Cantidad mxima de datos que se pueden almacenar en cach. Se utiliza para almacenar en cach los datos de solicitudes cuando se le solicita a un usuario que se autentique antes de que poder realizar una solicitud. Este valor debe ser un entero positivo. Si se establece en cero (0), el inicio de sesin del usuario es correcto, pero la solicitud falla porque WebSEAL no puede almacenar en cach los datos de la solicitud. No existe ningn valor mximo. Esta entrada de stanza es obligatoria. Valor predeterminado: 8192 Ejemplo: request-max-cache = 8192 Consulte tambin el apartado Configuracin de parmetros del almacenamiento en la cach del servidor en la pgina 223. dynurl-map = nombre_ruta_acceso_relativa
426
Ubicacin del archivo que contiene las correlaciones de direcciones URL con objetos protegidos. La ruta de acceso es relativa al valor de la clave server-root de la stanza [server]. El administrador puede especificar un nombre de archivo y una ubicacin de directorio alternativos. El nombre de archivo puede ser cualquier nombre de archivo que sea vlido en el sistema de archivos del sistema operativo. En sistemas Windows, la ruta de acceso del directorio permite tanto la barra inclinada (/) como la barra inclinada invertida (\). Esta entrada de stanza es opcional. Valor predeterminado: Ninguno, pero normalmente est configurado como lib/dynurl.conf Ejemplo: dynurl-map = lib/dynurl.conf dynurl-allow-large-posts = {yes|no} Permite o deniega las solicitudes POST mayores que el valor actual de la entrada de stanza request-body-max-read de la stanza [server]. Cuando se establece en no, WebSEAL no permite las solicitudes POST que tengan un cuerpo mayor que el valor especificado en request-body-maxread. Cuando se establece en yes, WebSEAL compara nicamente los bytes especificados en request-body-max-read de la solicitud POST con las correlaciones de direcciones URL contenidas en el archivo de configuracin dynurl (dynurl.conf). Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: dynurl-allow-large-posts = no decode-query = {yes|no} Si decode-query se establece en yes, WebSEAL valida la cadena de consulta en las solicitudes de acuerdo con el parmetro utf8-qstring-supportenabled. De lo contrario, WebSEAL no valida la cadena de consulta. Cuando decode-query se establece en no, debe inhabilitarse dynurl. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: decode-query = yes utf8-url-support-enabled = {yes|no|auto}
427
Habilita o inhabilita el soporte para caracteres con codificacin UTF-8 en las direcciones URL. Los valores vlidos son los siguientes: v yes WebSEAL slo reconoce la codificacin UTF-8 en las direcciones URL y los datos se utilizan sin modificacin. v no WebSEAL no reconoce la codificacin UTF-8 en las direcciones URL. Se utiliza solamente para la pgina de cdigos local. v auto Si se establece en auto, WebSEAL intenta distinguir entre UTF-8 y otras formas de codificacin de caracteres de idioma. Cuando la codificacin no se reconoce como UTF-8, WebSEAL procesa la codificacin como no UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: utf8-url-support-enabled = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. utf8-form-support-enabled = {yes|no|auto} Habilita o inhabilita el soporte para caracteres de codificacin UTF-8 en datos ledos de formularios, como los nombres de usuario durante un inicio de sesin. Los valores vlidos son los siguientes: v yes WebSEAL slo reconoce la codificacin UTF-8 en formularios y los datos se utilizan sin modificaciones. v no WebSEAL no reconoce la codificacin UTF-8 en los formularios. Se utiliza solamente para la pgina de cdigos local. v auto Si se establece en auto, WebSEAL intenta distinguir entre UTF-8 y otras formas de codificacin de caracteres de idioma. Cuando la codificacin no se reconoce como UTF-8, WebSEAL procesa la codificacin como no UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: utf8-url-support-enabled = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. utf8-qstring-support-enabled = {yes|no|auto}
428
Habilita o inhabilita el soporte para los caracteres con codificacin UTF-8 en los datos de las cadenas de consulta ledos de las solicitudes de cliente. Los valores vlidos son los siguientes: v yes WebSEAL slo reconoce la codificacin UTF-8 en las cadenas y los datos se utilizan sin modificacin. v no WebSEAL no reconoce la codificacin UTF-8 en las cadenas. Se utiliza solamente para la pgina de cdigos local. v auto Si se establece en auto, WebSEAL intenta distinguir entre UTF-8 y otras formas de codificacin de caracteres de idioma. Cuando la codificacin no se reconoce como UTF-8, WebSEAL procesa la cadena como no UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: utf8-qstring-support-enabled = no Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. double-byte-encoding = {yes|no} Especifica si WebSEAL debe presuponer que los caracteres codificados dentro de las direcciones URL siempre estn codificados en Unicode y no contienen caracteres UTF-8. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: double-byte-encoding = no suppress-server-identity = {yes|no} Suprime la identidad del servidor WebSEAL de las respuestas HTTP. Normalmente, estas respuestas incluyen la lnea: Server: WebSEAL/nmero_versin Al establecer este valor en yes, se suprime la lnea anterior de la respuesta del servidor. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: suppress-server-identity = no pre-410compatible-tokens = {yes|no}
429
WebSEAL da soporte a un mtodo comn para generar seales para el inicio de sesin nico entre dominios, la migracin tras error y el inicio de sesin nico de e-community. La seguridad de estas seales se ha aumentado en la versin 4.1. Este aumento no es compatible con versiones anteriores de WebSEAL. Cuando el despliegue de Tivoli Access Manager incluye mltiples servidores WebSEAL y algunos de los servidores WebSEAL son de la Versin 3.9 o anterior, establezca este valor en yes. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: pre-410compatible-tokens = no pre-510compatible-tokens = {yes|no} WebSEAL da soporte a un mtodo comn para generar seales para el inicio de sesin nico entre dominios, la migracin tras error y el inicio de sesin nico de e-community. El formato de estas seales ha cambiado para la versin 5.1. Este cambio no es compatible con versiones anteriores de WebSEAL. Cuando el despliegue de Tivoli Access Manager incluye varios servidores WebSEAL y algunos de los servidores WebSEAL son de la versin 4.1 o de una versin anterior, establezca este valor en yes. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: pre-510compatible-tokens = no preserve-base-href = {yes|no} Especifica si WebSEAL eliminar todos los indicadores BASE HREF de los documentos HTML filtrados y agregar el identificador base como prefijo en los vnculos filtrados. Cuando se establece en no, WebSEAL elimina los indicadores BASE HREF. Cuando se establece en yes, WebSEAL filtra el indicador BASE HREF. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: preserve-base-href = no http-method-trace-enabled = {yes|no} Especifica si WebSEAL bloquea el mtodo TRACE para todas las solicitudes HTTP para los recursos locales. Este mtodo est bloqueado de forma predeterminada. Para habilitar solicitudes de mtodo TRACE para recursos locales, establezca el valor en yes. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se especifica esta entrada, WebSEAL bloquea el mtodo TRACE. Ejemplo: http-method-trace-enabled = yes http-method-trace-enabled-remote = {yes|no}
430
Especifica si WebSEAL bloquea el mtodo TRACE para todas las solicitudes HTTP para recursos con unin. Este mtodo est bloqueado de forma predeterminada. Para habilitar las solicitudes de mtodo TRACE para los recursos con unin, establezca el valor en yes. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: http-method-trace-enabled-remote = yes process-root-requests = {never|always|filter} Especifica cmo responde WebSEAL a las solicitudes para recursos localizados en la unin raz (/). Los valores vlidos son: v never Las solicitudes para conexiones raz nunca se procesan en la unin raz. v always Las solicitudes para la unin raz siempre se intentan procesar primero en la unin raz antes de intentar utilizar un mecanismo de correlacin de conexiones. v filter Se examinan todas las solicitudes para la unin raz para determinar si empiezan por los patrones especificados en la stanza [process-root-filter]. Esta entrada de stanza es obligatoria. Valor predeterminado: always Ejemplo: process-root-requests = always Consulte tambin: v Proceso de solicitudes de unin raz en la pgina 326
Stanza process-root-filter root = patrn Esta stanza slo se utiliza cuando process-root-requests = filter. Los valores para el patrn deben ser patrones comodn estndar de WebSEAL. Las entradas de esta stanza son opcionales. Entradas predeterminadas: root = /index.html root = /cgi-bin*
431
Registro de usuarios
Este apartado contiene los siguientes temas y stanzas:
Seccin LDAP Active Directory en la pgina 439 IBM Lotus Domino en la pgina 442 Stanzas [ldap] [uraf-ad] [uraf-domino]
LDAP
Stanza [ldap] ldap-server-config = ruta_acceso_completa Ubicacin del archivo de configuracin ldap.conf, representado como una ruta de acceso completa. El valor de ruta_acceso_completa debe ser una cadena alfanumrica. Esta entrada de stanza es obligatoria. El valor predeterminado depende del tipo de sistema operativo. Ejemplo para UNIX: ldap-server-config = /opt/PolicyDirector/etc/ldap.conf enabled = {yes|true|no|false} Indica si debe utilizarse LDAP como registro de usuarios. Los valores vlidos son: yes|true Habilita el soporte para el registro de usuarios de LDAP. no|false Inhabilita el soporte para el registro de usuarios de LDAP. Cualquier otro valor distinto de yes|true, incluido un valor en blanco, se interpreta como no|false. Esta entrada de stanza es obligatoria cuando se utiliza LDAP como registro de usuarios. El valor predeterminado para una instalacin de WebSEAL se determina a partir de la configuracin de Tivoli Access Manager Runtime. El componente Tivoli Access Manager Runtime es un requisito previo para WebSEAL. Ejemplo: enabled = yes host = nombre_host
432
Nombre de host del servidor LDAP. La utilidad de configuracin de WebSEAL obtiene el valor de nombre_host del archivo pd.conf. El archivo pd.conf se crea cuando se configura el componente Tivoli Access Manager Runtime en la mquina. El componente Tivoli Access Manager Runtime es un requisito previo para WebSEAL. Los valores vlidos para nombre_host incluyen cualquier nombre de host de IP vlido. El valor de nombre_host no tiene que ser un nombre de dominio completo. Esta entrada de stanza es obligatoria. El valor predeterminado es el valor especificado por el administrador durante la configuracin del componente Tivoli Access Manager Runtime. Ejemplos: host = surf host = surf.santacruz.ibm.com port = nmero_puerto Nmero del puerto TCP/IP utilizado para la comunicacin con el servidor LDAP. Tenga en cuenta que no es para la comunicacin SSL. Un nmero de puerto vlido es cualquier entero positivo permitido por TCP/IP y que ninguna otra aplicacin est utilizando actualmente. Esta entrada de stanza es obligatoria cuando LDAP est habilitado. Valor predeterminado: 389 Ejemplo: port = 389 bind-dn = DN_LDAP El nombre distinguido (DN) del usuario de LDAP que se utiliza al enlazar con el servidor LDAP (o iniciar la sesin en l). ste es el nombre que representa el daemon del servidor WebSEAL. Esta entrada de stanza es obligatoria cuando LDAP est habilitado. El valor predeterminado se construye mediante la combinacin del nombre de daemon webseald y el nombre_host especificado por el administrador durante la configuracin del componente Tivoli Access Manager Runtime. Ejemplo: bind-dn = cn=webseald/surf,cn=SecurityDaemons,secAuthority=Default Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. bind-pwd = contrasea_LDAP Contrasea del nombre distinguido del usuario de LDAP declarado en la entrada de stanza bind-dn. Esta entrada de stanza es obligatoria cuando LDAP est habilitado. El valor predeterminado de esta entrada de stanza se establece durante la configuracin de WebSEAL. La configuracin de WebSEAL lee el valor de contrasea_LDAP especificado por el administrador durante la configuracin del componente Tivoli Access Manager Runtime. Este valor se lee del archivo de configuracin de Tivoli Access Manager, pd.conf. Ejemplo: bind-pwd = zs77WVoLSZn1rKrL
433
cache-enabled = {yes|true|no|false} Habilita o inhabilita el almacenamiento en cach del cliente de LDAP. El almacenamiento en cach se utiliza para aumentar el rendimiento en consultas LDAP similares. Los valores vlidos son: yes|true Habilita el almacenamiento en cach del cliente de LDAP. no|false Inhabilita el almacenamiento en cach del cliente de LDAP. Cualquier otro valor distinto de yes|true, incluido un valor en blanco, se interpreta como no|false. Esta entrada de stanza es opcional. Valor predeterminado: disabled. Cuando no se especifica ningn valor (el valor est vaco), se inhabilita el almacenamiento en cach del cliente. Ejemplo: cache-enabled = yes Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. cache-user-size = nmero Especifica el nmero de entradas de la cach de usuarios LDAP. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 256. Ejemplo: cache-user-size = 256 cache-group-size = nmero Especifica el nmero de entradas de la cach de grupos LDAP. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 64. Ejemplo: cache-group-size = 64 cache-policy-size = nmero Especifica el nmero de entradas de la cach de polticas LDAP. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 20. Ejemplo: cache-policy-size = 20 cache-user-expire-time = nmero_segundos
434
Especifica el tiempo que debe transcurrir antes de descartar una entrada de usuario de la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 30 segundos. Ejemplo: cache-user-expire-time = 30 cache-group-expire-time = nmero_segundos Especifica el tiempo que debe transcurrir antes de descartar una entrada de grupo de la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 300 segundos. Ejemplo: cache-group-expire-time = 300 cache-policy-expire-time = nmero_segundos Especifica el tiempo que debe transcurrir antes de descargar una entrada de poltica de la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, el valor predeterminado que se utiliza es 30 segundos. Ejemplo: cache-policy-expire-time = 30 cache-group-membership = {yes|no} Indica si la informacin de pertenencia a grupos debe almacenarse en la cach. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, la informacin de grupo se almacena en la cach. Ejemplo: cache-group-membership = yes cache-use-user-cache = {yes|no} Indica si debe utilizarse o no la informacin de la cach de usuarios. Esta entrada se utiliza solamente cuando cache-enabled = {yes|true}. Esta entrada de stanza es opcional. No existe ningn valor predeterminado; no obstante, cuando no se establece, se utiliza la informacin de la cach de usuarios. Ejemplo: cache-use-user-cache = yes prefer-readwrite-server = {yes|true|no|false}
435
Permite o no al cliente preguntar al servidor LDAP de Lectura/escritura antes de consultar a cualquiera de los servidores replicados de Slo lectura configurados en el dominio. Los valores vlidos son: yes|true Habilita la opcin. no|false Inhabilita la opcin. Cualquier otro valor distinto de yes|true, incluido un valor en blanco, se interpreta como no|false. Esta entrada de stanza es opcional. Si no se especifica este valor, la opcin prefer-readwrite-server se inhabilita. Ejemplo: prefer-readwrite-server = no ssl-enabled = {yes|true|no|false} Habilita o inhabilita la comunicacin SSL entre WebSEAL y el servidor LDAP. Los valores vlidos son: yes|true Habilita la comunicacin SSL. no|false Inhabilita la comunicacin SSL. Esta entrada de stanza es opcional. La comunicacin SSL est inhabilitada de forma predeterminada. Durante la configuracin del servidor WebSEAL, el administrador de WebSEAL puede elegir si desea habilitar esta opcin. Ejemplo: ssl-enabled = yes ssl-keyfile = ruta_acceso_completa Nombre y ubicacin del archivo de claves SSL. El archivo de claves SSL gestiona los certificados que se utilizan en la comunicacin de LDAP. El nombre de archivo debe ser una ruta de acceso completa. El nombre de archivo puede ser una eleccin arbitraria, pero la extensin normalmente es .kdb. Esta entrada de stanza es obligatoria cuando se ha habilitado la comunicacin SSL, tal como se especifica en la entrada de stanza ssl-enabled. El administrador de WebSEAL especifica este nombre de archivo durante la configuracin de WebSEAL. Ejemplo para UNIX: ssl-keyfile = /var/pdweb/keytabs/webseald.kdb Ejemplo para Windows: ssl-keyfile = c:\keytabs\pd_ldapkey.kdb Para obtener ms informacin sobre la gestin de los archivos de claves SSL, consulte el apartado Gestin de certificados de cliente y servidor en la pgina 254. ssl-keyfile-label = etiqueta_clave
436
Cadena que especifica la etiqueta de clave del certificado personal de cliente dentro del archivo de claves SSL. Esta etiqueta de clave se utiliza para identificar el certificado de cliente que se presenta al servidor LDAP. Esta entrada de stanza es opcional. No se requiere una etiqueta cuando se ha identificado uno de los certificados del archivo de claves como el certificado predeterminado. La decisin de identificar un certificado como predeterminado la realiza el administrador de LDAP previamente al configurar el servidor LDAP. La utilidad de configuracin de WebSEAL solicita al administrador de WebSEAL que proporcione una etiqueta. Si el administrador sabe que el certificado contenido en el archivo de claves es el certificado predeterminado, no tiene que especificar ninguna etiqueta. Ejemplo: ssl-keyfile-dn = "PD_LDAP" ssl-keyfile-pwd = contrasea Contrasea para acceder al archivo de claves SSL. La contrasea asociada al archivo de claves SSL predeterminado es gsk4ikm Esta entrada slo es obligatoria cuando se ha habilitado la comunicacin SSL entre WebSEAL y LDAP, tal como se especifica en la entrada de stanza ssl-enabled. El administrador de WebSEAL especifica esta contrasea durante la configuracin de WebSEAL. Ejemplo: ssl-keyfile-pwd = gsk4ikm auth-using-compare = {yes|true|no|false} Habilita o inhabilita la autenticacin a travs de la comparacin de contraseas. Cuando se inhabilita, la autenticacin se realiza mediante el enlace de LDAP. Para los servidores LDAP que lo permiten, es posible que una operacin de comparacin se realice ms rpidamente que una operacin de enlace. Los valores vlidos son: yes|true Se utiliza una operacin de comparacin de contraseas para autenticar los usuarios de LDAP. no|false Se utiliza una operacin de enlace para autenticar los usuarios de LDAP. Esta entrada de stanza es opcional. El valor predeterminado, cuando se ha habilitado LDAP, es yes. Ejemplo: auth-using-compare = yes Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. default-policy-override-support = {yes|true|no|false}
437
Indica si la poltica predeterminada debe prevalecer sobre la poltica de nivel de usuario durante las bsquedas de LDAP. Cuando esta entrada de stanza se establece en yes, slo se comprueba la poltica predeterminada. Los valores vlidos son: yes|true Se inhabilita el soporte para la poltica de usuario y slo se comprueba la poltica global (predeterminada). Esta opcin permite omitir la poltica de usuario, incluso cuando se ha especificado una. no|false Se habilita el soporte para la poltica de usuario. Si el administrador ha especificado una poltica de usuario, prevalece sobre la poltica global. Esta entrada de stanza es opcional. De forma predeterminada, el valor no se especifica durante la configuracin WebSEAL. Si no especifica ningn valor, el comportamiento predeterminado es habilitar el soporte para la poltica de usuario. Esto es equivalente a establecer esta entrada de stanza en no. Ejemplo: default-policy-override-support = yes user-and-group-in-same-suffix = {yes|true|no|false} Indica si los grupos de los cuales el usuario es miembro deben definirse en el mismo sufijo de LDAP que la definicin de usuario. Cuando se autentica un usuario, deben determinarse los grupos de los cuales es miembro para generar una credencial. Normalmente, se buscan todos los sufijos de LDAP para localizar los grupos de los cuales el usuario es miembro. Los valores vlidos son: yes|true Se presupone que los grupos estn definidos en el mismo sufijo de LDAP que la definicin de usuario. Slo se busca ese sufijo para conocer la pertenencia a grupos. Este comportamiento puede mejorar el rendimiento de las bsquedas de grupos porque slo se busca un nico sufijo para conocer la pertenencia a grupos. Esta opcin slo debera especificarse si las definiciones de grupo estn restringidas al mismo sufijo que la definicin de usuario. no|false Los grupos pueden estar definidos en cualquier sufijo de LDAP. Esta entrada de stanza es opcional. Este valor no se especifica de forma predeterminada durante la configuracin de WebSEAL. Si no se especifica este valor, el valor predeterminado es no. Ejemplo: user-and-group-in-same-suffix = yes Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
438
Active Directory
Stanza [uraf-ad] ad-server-config = ruta_acceso_completa Ubicacin y nombre de archivo del archivo de configuracin activedir.conf del registro de Active Directory. Este valor se genera, pero puede cambiarse. El valor de ruta_acceso_completa representa una cadena alfanumrica no sensible a maysculas y minsculas. La longitud mxima de la cadena para el registro de usuarios de Active Directory es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria si el registro de usuarios es Microsoft Active Directory y slo se requiere para los archivos de configuracin que no sean activedir.conf. Valor predeterminado para UNIX: /opt/PolicyDirector/etc/activedir.conf Valor predeterminado para Windows: c:\Archivos de programa\tivoli\Policy Director\etc\activedir.conf Ejemplo para UNIX: ad-server-config = /opt/PolicyDirector/etc/activedir.conf enabled = {yes|no} Indica si se est utilizando Active Directory como registro de usuarios. Valores vlidos: yes Indica que el registro de usuarios es Active Directory. no Indica que el registro de usuarios no es Active Directory. Cualquier otro valor distinto de yes, incluido un valor en blanco, se interpreta como no. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. Valor predeterminado: no Ejemplo: enabled = yes multi-domain = {true|false} Indica si el dominio es una configuracin de dominio nico o de mltiples dominios. Este valor se selecciona durante la configuracin de Tivoli Access Manager Runtime. El valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. Valores vlidos: true Para dominios mltiples de Active Directory. false Para un dominio nico de Active Directory. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. No existe ningn valor predeterminado. Ejemplo: multi-domain = true hostname = nombre_host
439
Nombre de host del sistema de nombres de dominio (DNS) de Active Directory. El valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. El valor de nombre_host es una cadena alfanumrica no sensible a maysculas y minsculas. El punto (.) no puede ser el ltimo carcter del nombre de host. La longitud mxima de la cadena para el registro de usuarios de Active Directory es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. No existe ningn valor predeterminado. Ejemplo: hostname = adserver.tivoli.com domain = nombre_dominio_raz Dominio raz (primario) de Active Directory. El valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. El valor de nombre_dominio_raz es una cadena alfanumrica no sensible a maysculas y minsculas. La longitud mxima del nombre de dominio depende del registro de usuarios. Para Active Directory, la longitud mxima es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria cuando multi-domain = true. No existe ningn comportamiento predeterminado. Ejemplo: domain = dc=tivoli,dc=com useEncryption = {true|false} Indica si se debe utilizar la comunicacin cifrada con Active Directory. Este valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin de Runtime. Valores vlidos: true Habilita la comunicacin cifrada. false Inhabilita la comunicacin cifrada. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. No existe ningn comportamiento predeterminado. Ejemplo: useEncryption = false bind-id = ID_AD
440
Administrador de Active Directory o identidad de inicio de sesin del usuario que se utiliza para enlazar con el servidor de registro (o iniciar la sesin en l). Si el ID pertenece a un usuario en lugar de un administrador, el usuario de Active Directory debe tener privilegios suficientes para actualizar y modificar datos en el registro de usuarios. El valor de ID_AD es una cadena alfanumrica no sensible a maysculas y minsculas. Las longitudes mnimas y mximas del ID, si existen lmites, son impuestas por el registro subyacente. Para Active Directory, la longitud mxima es de 256 caracteres alfanumricos. Este valor se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin del servidor. Siempre que cambie este valor despus de que la configuracin haya finalizado, es posible que se produzca un conflicto. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. El valor predeterminado se genera; no lo cambie. Ejemplo: bind-id = adpdadmin bind-pwd = contrasea_admin Contrasea de inicio de sesin del administrador codificada que se utiliza para enlazar con el servidor de registro de Active Directory (o iniciar la sesin en l). Se pueden especificar requisitos de contrasea adicionales para Tivoli Access Manager despus de instalar el producto. Sin embargo, la contrasea inicial no tiene que satisfacer necesariamente esos requisitos. El valor de contrasea_admin se rellena automticamente, en funcin de la informacin proporcionada durante la configuracin del servidor. La contrasea es una cadena codificada. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. El valor predeterminado se genera; no lo cambie. Ejemplo: bind-pwd = MyADbindPwd dnforpd = DN_AD Nombre distinguido que Active Directory utiliza para almacenar los datos de Tivoli Access Manager. El valor de DN_AD es una cadena alfanumrica no sensible a maysculas y minsculas. Las longitudes mnimas y mximas del nombre distinguido, si existen lmites, son impuestas por el registro subyacente. Para Active Directory, la longitud mxima es de 256 caracteres alfanumricos. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Microsoft Active Directory. El valor predeterminado se genera; no lo cambie. Ejemplo: dnforpd = dc=child2,dc=com
441
442
Nombre de host TCP/IP del servidor de Lotus Domino. El valor de nombre_host se especifica manualmente durante la configuracin. El valor de nombre_host debe ser una cadena alfanumrica no sensible a maysculas y minsculas. El formato es el mismo que un nombre de host TCP/IP habitual. Esta entrada de stanza es obligatoria cuando el registro de usuarios es Lotus Domino. No existe ningn valor predeterminado. Ejemplo: hostname = myhost.austin.ibm.com LDAPPort = nmero_puerto Nmero de puerto de LDAP para el servidor de Lotus Domino. El valor de nmero_puerto se especifica manualmente durante la configuracin. Un nmero de puerto vlido es cualquier nmero positivo permitido por TCP/IP y que ninguna otra aplicacin est utilizando actualmente. Esta entrada de stanza es obligatoria. Valor predeterminado: 389 Ejemplo: LDAPPort = 389 UseSSL = {yes|no} Indica si se debe utilizar SSL. Valores vlidos: yes Especifica que desea utilizar SSL. no Especifica que no desea utilizar SSL. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: UseSSL = no keyfile = nombre_archivo Nombre y ubicacin del archivo de claves SSL. Utilice el archivo de claves SSL para gestionar los certificados que se utilizan en la comunicacin de LDAP. El valor de nombre_archivo debe ser una cadena alfanumrica no sensible a maysculas y minsculas que cumpla los convenios de denominacin del sistema de archivos subyacente (Windows). El archivo debe ser existir en la mquina cliente. El tipo de archivo puede ser cualquiera, pero la extensin normalmente es .kdb. Esta entrada de stanza es obligatoria cuando UseSSL = yes. El valor predeterminado depende del servidor. Ejemplo para Windows: keyfile = C:/pd/keytab/ivacld.kdb KeyFile_PW = contrasea Contrasea del archivo de claves SSL. Esta entrada de stanza es obligatoria cuando UseSSL = yes. El valor predeterminado depende del servidor. Ejemplo: KeyFile_PW = mykeyfilepw KeyFile_DN = etiqueta_cert
443
Nombre distinguido (DN) de la clave privada del archivo de claves SSL. El valor de etiqueta_cert es una cadena alfanumrica que representa la etiqueta del certificado personal de cliente dentro del archivo de claves SSL. Esta etiqueta de clave se utiliza para identificar el certificado de cliente que se presenta al servidor de Domino. Esta entrada de stanza es obligatoria cuando UseSSL = yes. No existe ningn valor predeterminado. password = contrasea Contrasea del servidor de Domino que se utiliza para enlazar con el servidor de registro de Domino (o iniciar la sesin en l). La contrasea es una cadena codificada. Esta entrada de stanza es obligatoria cuando enabled = yes. El valor se genera; no lo cambie. Ejemplo: password = myEncryptedSrvrPwd NAB = names.nsf Base de datos de nombres y libro de direcciones (NAB) de Lotus Domino. La base de datos names.nsf se establece durante la configuracin y no puede cambiarse. Esta entrada de stanza es obligatoria cuando enabled = yes. Valor predeterminado: names.nsf Ejemplo: NAB = names.nsf PDM = nombre_archivo_nsf Base de datos de metadatos de Tivoli Access Manager. El valor de nombre_archivo_nsf representa un nombre de archivo de base de datos de Domino. El nombre de archivo debe cumplir los convenios de denominacin del sistema de archivos subyacente del servidor de Domino. La extensin de archivo recomendada es .nsf. Este archivo se crea en el servidor de Domino durante la configuracin. Esta entrada de stanza es obligatoria cuando enabled = yes. Valor predeterminado: PDMdata.nsf Ejemplo: PDM = PDMdata.nsf
444
445
ssl-keyfile = ruta_acceso_completa Cadena que especifica la ruta de acceso del almacn de claves que WebSEAL utiliza para comunicarse con otros servidores de Tivoli Access Manager a travs de SSL. Esta entrada de stanza es obligatoria. El valor predeterminado se establece durante la configuracin de WebSEAL. La ruta de acceso del directorio de instalacin de WebSEAL se combina con la ruta de acceso siguiente: keytabs/webseald.kdb. Ejemplo: ssl-keyfile = C:/Archivos de programa/Tivoli/PDWeb/keytabs/webseald.kdb Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. ssl-keyfile-pwd = contrasea Cadena que contiene la contrasea para proteger las claves privadas del archivo de claves SSL. Cuando se le asigna un valor a esta entrada de stanza, se utiliza ese valor en lugar de cualquier contrasea que contenga el archivo stash especificado en ssl-keyfile-stash. Esta entrada de stanza es opcional. Esta entrada de stanza almacena la contrasea en texto sin formato. Para utilizarla en condiciones ptimas de seguridad, se recomienda el uso de ssl-keyfile-stash. No existe ningn valor predeterminado. Ejemplo: ssl-keyfile-pwd = myPassw0rd Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. ssl-keyfile-stash = ruta_acceso_completa Nombre del archivo que contiene una versin enmascarada de la contrasea y que se utiliza para proteger las claves privadas del archivo de claves SSL. Esta entrada de stanza es obligatoria. Esta ruta de acceso se establece durante la configuracin de WebSEAL. La ruta de acceso consiste en el directorio de instalacin de WebSEAL ms: keytabs/webseald.sth. Ejemplo: ssl-keyfile-stash = C:/Archivos de programa/Tivoli/PDWeb/keytabs/webseald.sth Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. ssl-keyfile-label = nombre_etiqueta
446
Cadena que contiene una etiqueta para el archivo de claves de certificado SSL. Si no se especifica esta etiqueta, se utiliza la etiqueta predeterminada. Esta entrada de stanza es opcional, pero se asigna durante la configuracin de WebSEAL. Valor predeterminado: PD Server Ejemplo: ssl-keyfile-label = PD Server Normalmente, slo la utilidad de configuracin WebSEAL modifica esta entrada de stanza. disable-ssl-v2 = {yes|no} Inhabilita el soporte para SSL Versin 2. De forma predeterminada, el soporte para SSL V2 est habilitado. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v2 = no disable-ssl-v3 = {yes|no} Inhabilita el soporte para SSL Versin 3. De forma predeterminada, el soporte para SSL V3 est habilitado. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v3 = no disable-tls-v1 = {yes|no} Inhabilita el soporte para TLS Versin 1. De forma predeterminada, el soporte para TLS V1 est habilitado. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-tls-v1 = no ssl-v2-timeout = nmero_segundos
447
Tiempo de espera de sesin en segundos para las conexiones SSL v2 entre clientes y servidores. Este valor de tiempo de espera controla la frecuencia con la que se realiza una negociacin SSL completa entre los clientes y WebSEAL. El intervalo de valores de nmero_segundos es de 1 a 100 segundos. La utilidad de configuracin de WebSEAL establece este valor. Esta entrada de stanza es obligatoria cuando SSL est habilitado. Valor predeterminado: 100 Ejemplo: ssl-v2-timeout = 100 ssl-v3-timeout = nmero_segundos Tiempo de espera de sesin en segundos para las conexiones SSL v3 entre clientes y servidores. Este valor de tiempo de espera controla la frecuencia con la que se realiza una negociacin SSL completa entre los clientes y WebSEAL. El rango vlido de valores para nmero_segundos es de 1 a 86400 segundos, donde 86400 es igual a 1 da. Si especifica un nmero fuera de este intervalo, se utilizar el nmero predeterminado de 7200 segundos. La utilidad de configuracin de WebSEAL establece este valor. Esta entrada de stanza es obligatoria cuando SSL est habilitado. Valor predeterminado: 7200 Ejemplo: ssl-v3-timeout = 7200 ssl-max-entries = nmero_entradas Valor entero que indica el nmero mximo de entradas simultneas en la cach de SSL. El valor mnimo es cero (0), que significa que el almacenamiento en cach es ilimitado. Las entradas entre 0 y 256 se establecen en 256. No existe ningn lmite mximo. Esta entrada de stanza es opcional. Si no se asigna ningn valor para esta entrada de stanza, WebSEAL utiliza un valor predeterminado de 0. Sin embargo, la utilidad de configuracin de WebSEAL asigna un valor predeterminado de 4096. Ejemplo: ssl-max-entries = 4096 Consulte tambin la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. gsk-crl-cache-size = nmero_entradas
448
Valor entero que indica el nmero mximo de entradas en la cach de CRL de GSKit. El valor mnimo es 0. Un valor de 0 significa que no se almacena en cach ninguna entrada. Ni WebSEAL ni GSKit imponen un valor mximo sobre esta cach. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Consulte la publicacin Secure Socket Layer Introduction and iKeyman Users Guide para obtener ms informacin sobre GSKit. Consulte tambin los documentos sobre los estndares SSL V3 y TLS V1 (RFC 2246) para obtener ms informacin sobre las CRL. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: gsk-crl-cache-size = 0 gsk-crl-cache-entry-lifetime = nmero_segundos Valor entero que especifica el tiempo de espera de la duracin, en segundos, de las entradas individuales en la cach de CRL de GSKit. El valor mnimo es 0. El valor mximo es 86400. Ni WebSEAL ni GSKit imponen un valor mximo sobre la duracin de las entradas de la cach. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Consulte la publicacin Secure Socket Layer Introduction and iKeyman Users Guide para obtener ms informacin sobre GSKit. Consulte tambin los documentos sobre los estndares SSL V3 y TLS V1 (RFC 2246) para obtener ms informacin sobre las CRL. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: gsk-crl-cache-entry-lifetime = 0 crl-ldap-server = nombre_servidor Nombre del servidor LDAP al que se debe hacer referencia para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin SSL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server = surf.santacruz.ibm.com crl-ldap-server-port = nmero_puerto Nmero de puerto para la comunicacin con el servidor LDAP especificado en crl-ldap-server. Se hace referencia al servidor LDAP para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin SSL. Esta entrada de stanza es opcional. Esta entrada de stanza es obligatoria cuando crl-ldap-server est establecido. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server-port = 389 crl-ldap-user = DN_usuario
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL
449
Nombre distinguido (DN) completo de un usuario de LDAP que tiene acceso a la Lista de revocacin de certificados. Esta entrada de stanza es opcional. Un valor vaco para crl-ldap-user indica que el autenticador SSL debe enlazarse al servidor LDAP de forma annima. No existe ningn valor predeterminado. Ejemplo: crl-ldap-user = cn=webseald/surf,cn=SecurityDaemons,secAuthority=Default crl-ldap-user-password = contrasea Contrasea del usuario especificado en crl-ldap-user. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: crl-ldap-user-password = mypassw0rd pkcs11-driver-path = ruta_acceso_completa Ruta de acceso de la biblioteca compartida que proporciona soporte para controladores de dispositivo PKCS#11 externos de GSKit. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: pkcs11-driver-path = /usr/lib/pkcs11/PKCS11_API.so Consulte el apartado Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 en la pgina 38. pkcs11-token-label = nombre_etiqueta Etiqueta del dispositivo de seal que almacena la pareja de claves pblica/privada. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: pkcs11-token-label = websealToken Consulte el apartado Configuracin de WebSEAL y GSKit para que utilicen la biblioteca compartida PKCS#11 en la pgina 38. pkcs11-token-pwd = contrasea Cadena que contiene la contrasea para proteger las claves privadas del archivo de claves de seales. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: pkcs11-token-pwd = secret disable-ncipher-bsafe = {yes|no}
450
Inhabilita o permite la utilizacin automtica por parte de WebSEAL de tarjetas de hardware nCipher para la aceleracin SSL a travs de BHAPI (Bsafe). WebSEAL detecta este hardware cuando est presente y lo utiliza a menos que esta entrada de stanza est establecida en yes. Esta entrada de stanza es opcional. Valor predeterminado: no Ejemplo: disable-ncipher-bsafe = no Consulte el apartado Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI en la pgina 35. disable-rainbow-bsafe = {yes|no} Inhabilita o permite la utilizacin automtica por parte de WebSEAL de tarjetas de hardware Rainbow Cryptoswift para la aceleracin SSL a travs de BHAPI (Bsafe). WebSEAL detecta este hardware cuando est presente y lo utiliza a menos que esta entrada de la stanza est establecida en yes. Esta entrada de stanza es opcional. Valor predeterminado: no Ejemplo: disable-rainbow-bsafe = no Consulte el apartado Configuracin de WebSEAL para hardware criptogrfico a travs de BHAPI en la pgina 35. base-crypto-library = {Default|RSA|ICC} Especifica el motor de cifrado que utiliza GSKit. Los valores vlidos son Default, RSA e ICC. Tenga en cuenta que, si establece este parmetro en RSA, ello afecta a los valores posibles para fips-mode-processing. El valor Default indica a GSKit que debe utilizar la base criptogrfica ptima. Esta entrada de stanza es obligatoria. Valor predeterminado: Default Ejemplo: base-crypto-library = Default fips-mode-processing = {yes|no} Habilita o inhabilita el proceso de modalidad FIPS. El valor yes lo habilita. El valor no lo inhabilita. Cuando base-crypto-library = RSA, este valor debe ser no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: fips-mode-processing = {yes|no} ssl-auto-refresh = {yes|no}
451
Indica si se debe realizar la renovacin automtica del certificado SSL y de la contrasea del archivo de base de datos de claves. Los valores vlidos son: yes Se habilita la renovacin automtica. Si est habilitado, se generan el certificado y la contrasea cuando haya riesgo de que caduquen (queda menos de la mitad del tiempo de duracin). ste es el valor predeterminado. no Desactiva la renovacin automtica del certificado y de la contrasea. Esta entrada de stanza es obligatoria slo cuando SSL est habilitado. Valor predeterminado: yes Ejemplo: ssl-auto-refresh = yes ssl-listening-port = {0|nmero_puerto} Puerto TCP que se debe utilizar para realizar la escucha de solicitudes de entrada. Los valores vlidos son: 0 Inhabilita la escucha. El valor predeterminado es 0 si no se ha especificado durante la configuracin. nmero_puerto Habilita la escucha en el nmero de puerto especificado. El intervalo vlido de nmeros de puerto es cualquier nmero positivo permitido por TCP/IP y que ninguna otra aplicacin est utilizando actualmente. Esta entrada de stanza es obligatoria slo cuando SSL est habilitado. La utilidad de configuracin de WebSEAL proporciona el valor predeterminado, que depende de los puertos TCP/IP disponibles. Un valor tpico durante la configuracin de WebSEAL es 7234. Ejemplo: ssl-listening-port = 7234 ssl-pwd-life = nmero_das Duracin de la contrasea del archivo de base de datos de claves, especificado en nmero de das. Para la renovacin automtica de la contrasea, el valor de la duracin de una contrasea est controlado por el valor de nmero_das cuando se inicia el servidor. Nota: Si un certificado y la contrasea del archivo de base de datos de conjunto de claves que contiene dicho certificado han caducado, primero debe renovarse la contrasea. Los valores vlidos para nmero_das son de 1 a 7.299 das. Esta entrada de stanza es obligatoria slo si SSL est habilitado. Valor predeterminado: 183 Ejemplo: ssl-pwd-life = 183 ssl-authn-type = tipo_autenticacin
452
Tipo de autenticacin. Esta entrada de stanza es obligatoria slo cuando SSL est habilitado. Valor predeterminado: certificate Ejemplo: ssl-authn-type = certificate
453
Autenticacin
Este apartado contiene los siguientes temas y stanzas:
Seccin Stanzas
Mtodos de autenticacin en la pgina 455 [ba] [forms] [spnego] [token] [certificate] [http-headers] [auth-headers] [ipaddr] [authentication-levels] [step-up] [mpa] Bibliotecas de autenticacin en la pgina 461 Reautenticacin en la pgina 466 [authentication-mechanisms] [reauthentication]
Migracin tras error de autenticacin en la [failover] pgina 467 [failover-attributes] [failover-add-attributes] [failover-restore-attributes] Inicio de sesin nico entre dominios (CDSSO) en la pgina 472 Inicio de sesin nico de e-community en la pgina 475 Calidad de proteccin en la pgina 480 [cdsso] [cdsso-peers] [e-community-sso] [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default]
454
Mtodos de autenticacin
Stanza [ba] ba-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de Autenticacin bsica. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin bsica, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: https Ejemplo: ba-auth = https basic-auth-realm = nombre_dominio Valor de cadena que especifica el nombre de dominio. Este nombre se muestra en el cuadro de dilogo del navegador cuando se le solicita la informacin de inicio de sesin al usuario. La cadena debe estar formada por caracteres ASCII y puede contener espacios. Esta entrada de stanza es opcional. Valor predeterminado: Access Manager Ejemplo: basic-auth-realm = Access Manager
Stanza [forms] forms-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de Autenticacin de formularios. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de formularios, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: forms-auth = none
455
Habilita la autenticacin utilizando el mecanismo de autenticacin SPNEGO. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando la autenticacin SPNEGO est habilitada, tambin debe configurarse una biblioteca de autenticacin apropiada estableciendo una pareja clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: spnego-auth = none spnego-krb-service-name = nombre_principal_servidor_kerberos Especifica el nombre principal del servicio (SPN) Kerberos para el servidor. Este nombre se crea combinando la cadena HTTP con el nombre de host. La sintaxis es la siguiente: HTTP@nombre_host El nombre de host es el nombre de DNS mediante el que los navegadores se conectan con el servidor web. En la mayora de los casos, el nombre de host debe ser un nombre completo. Esta entrada de stanza slo es obligatoria en las plataformas UNIX. Valor predeterminado: (none) Ejemplo: spnego-auth = HTTP@diamond.subnet2.ibm.com spnego-krb-keytab-file = ruta_acceso_completa Ruta de acceso al archivo keytab Kerberos para el servidor WebSEAL. Esta entrada de stanza slo es obligatoria en las plataformas UNIX. Valor predeterminado: (none) Ejemplo: spnego-krb-keytab-file = /opt/pdweb/etc/diamond_HTTP.keytab
Stanza [token] token-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de autenticacin de seal. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de seal, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: token-auth = none
456
Stanza [certificate] accept-client-certs = {never|required|optional|prompt_as_needed} Especifica cmo se deben manejar los certificados de los clientes HTTPS. Las opciones son: never Nunca se solicita un certificado de cliente. required Siempre se solicita un certificado de cliente. La conexin no se acepta si el cliente no presenta un certificado. Cuando este valor se establece en required, se omitir el resto de valores de autenticacin para los clientes HTTPS. optional Siempre se solicita un certificado de cliente. Si se presenta uno, se utilizar. prompt_as_needed No se solicita un certificado de cliente hasta que el cliente intenta acceder a un recurso que requiere la autenticacin del usuario. Nota: Si se establece este valor, asegrese de que la clave ssl-id-sessions de la stanza [ssl] est establecida en no. Cuando se habilita la autenticacin de certificado, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: never Ejemplo: accept-client-certs = never cert-cache-max-entries = nmero_entradas Nmero mximo de entradas simultneas en la cach de ID de SLL de certificado. No existe ningn tamao mximo absoluto para la cach. No obstante, el tamao de la cach no puede sobrepasar el tamao de la cach de ID de SSL. El tamao mximo 0 permite un tamao ilimitado de la cach. Esta entrada de stanza slo es obligatoria cuando la clave accept-client-certs est establecida en prompt_as_needed. El valor predeterminado es 1024. Ejemplo: cert-cache-max-entries = 1024. Consulte tambin el apartado Habilite y configure la cach de ID de SSL de certificado en la pgina 170. cert-cache-timeout = nmero_segundos
457
Duracin mxima, en segundos, de una entrada en la cach de ID de SSL de certificado. El valor mnimo es cero. El valor cero significa que, cuando se llena la cach, las entradas se borran en funcin de un algoritmo de menos utilizadas recientemente. Esta entrada de stanza slo es obligatoria cuando la clave accept-client-certs est establecida en prompt_as_needed. El valor predeterminado es 120. Ejemplo: cert-cache-timeout = 120 Consulte tambin el apartado Defina el tiempo de espera para la cach de ID de SSL de certificado en la pgina 170.
Stanza [http-headers] http-headers-auth = {none|http|https|both} Habilita la autenticacin utilizando el mecanismo de autenticacin de cabeceras HTTP. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de cabeceras HTTP, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: http-headers-auth = none
Stanza [auth-headers] header = nombre_cabecera Utilice esta stanza para especificar todos los tipos de cabecera HTTP a las que se da soporte. De forma predeterminada, la biblioteca compartida incorporada est codificada de forma que no se puede modificar para dar soporte a datos de cabecera de proxy Entrust. Los valores de nombre_cabecera deben ser caracteres ASCII y cumplir la especificacin HTTP sobre nombres de cabecera. Normalmente, los valores de nombre_cabecera vienen determinados por un nombre de cabecera especfico requerido por una aplicacin de terceros. Al establecer este valor, el administrador de WebSEAL configura WebSEAL para que d soporte a estos otros nombres de cabecera. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: header = entrust-client
458
Habilita la autenticacin utilizando una direccin IP del cliente. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Cuando se habilita la autenticacin de direcciones IP, tambin debe configurarse una biblioteca de autenticacin adecuada estableciendo una pareja de clave=valor en la stanza [authentication-mechanisms]. Consulte el apartado Bibliotecas de autenticacin en la pgina 461 para obtener ms informacin. Esta entrada de stanza es obligatoria. El valor predeterminado es none. Ejemplo: ipaddr-auth = none
Stanza [authentication-levels] level = {unauthenticated|password|token-card} Niveles de autenticacin incremental. WebSEAL permite a los usuarios autenticados aumentar el nivel de autenticacin mediante la utilizacin de la autenticacin incremental. Esta pareja de clave=valor especifica los niveles de autenticacin incremental a los que este servidor WebSEAL da soporte. No especifique un nivel de autenticacin a menos que el mtodo de autenticacin est habilitado. Por ejemplo, debe habilitar la autenticacin bsica o de formularios antes de establecer level = password. Escriba una pareja de clave=valor separada para cada nivel soportado. Esta entrada de stanza es obligatoria. Valores predeterminados: level = authenticated level = password Ejemplo: level = password
Stanza [step-up] verify-step-up-user = {yes|no} Aplica la poltica que requiere que la identidad del usuario que realiza la operacin incremental coincida con la identidad del usuario que realiz la operacin de autenticacin original. Para aplicar esta poltica, establezca el valor en yes. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: verify-step-up-user = yes
459
Habilita el soporte para agentes proxy multiplexor. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: mpa = no
460
Bibliotecas de autenticacin
Stanza [authentication-mechanisms] passwd-cdas = ruta_acceso_completa Ruta de acceso completa de la biblioteca que implementa una biblioteca CDAS para la autenticacin bsica o de formularios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. passwd-ldap = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin bsica con un registro de usuarios de LDAP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo (escrito en una sola lnea): passwd-ldap = C:\ARCHIV~1\Tivoli\POLICY~1\bin\ldapauthn.dll & -cfgfile [C:/Archivos de programa/Tivoli/PDWeb/etc/webseald-default.conf] passwd-uraf = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin bsica mediante la interfaz URAF de Tivoli Access Manager con los tipos de registro de usuarios subyacentes. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. cert-ldap = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de certificado. Esta entrada de stanza es opcional. El archivo predeterminado para la biblioteca incorporada en Solaris es: /opt/PolicyDirector/lib/libcertauthn.so & -chgfile \ [/opt/pdweb/etc/webseal-default.conf] Ejemplo en Windows (escrito en una sola lnea): cert-ldap = C:\ARCHIV~1\Tivoli\POLICY~1\bin\libcertauthn.dll & -cfgfile [C:/Archivos de programa/Tivoli/PDWeb/etc/webseald-default.conf] token-cdas = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de seal. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. cert-ssl = ruta_acceso_completa
461
Ruta de acceso completa de una biblioteca que implementa la autenticacin de certificado. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. http-request = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cabeceras HTTP o de direcciones IP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. sso-create = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de creacin de inicio de sesin nico de WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. sso-consume = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de consumo de inicio de sesin nico de WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. kerberosv5 = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa soporte WebSEAL para la autenticacin SPNEGO. Esta biblioteca se utiliza para proporcionar el inicio de sesin nico del escritorio Windows de WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: kerberosv5 = /opt/PolicyDirector/lib/stliauthn.so passwd-strength = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de intensidad de contraseas. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. cred-ext-attrs = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de atributos ampliados de credencial. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. su-passwd = ruta_acceso_completa
462
Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin bsica o de formularios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-token-card = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de seal. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-certificate = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de certificado. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-http-request = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de cabeceras HTTP o de direcciones IP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-cdsso = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin de inicio de sesin nico entre dominios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. su-kerberosv5 = ruta_acceso_completa Ruta de acceso completa para una biblioteca que implementa la autenticacin de cambio de usuario para la autenticacin SPNEGO (Kerberos). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Consulte el apartado Autenticacin de cambio de usuario en la pgina 208. failover-password = ruta_acceso_completa
463
Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin bsica o de formularios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-token-card = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de tarjeta de seal. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-certificate = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de certificado. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-http-request = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de cabeceras HTTP o de direcciones IP. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-cdsso = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin de inicio de sesin nico entre dominios. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. failover-kerberosv5 = ruta_acceso_completa Ruta de acceso completa de una biblioteca que implementa la autenticacin de cookie de migracin tras error para la autenticacin SPNEGO. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. post-pwdchg-process = ruta_acceso_completa
464
Ruta de acceso completa de una biblioteca que implementa el proceso posterior al cambio de contrasea. WebSEAL llama a esta biblioteca cuando el usuario cambia una contrasea a travs de la pgina de cambio de contrasea pkms. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. En el siguiente ejemplo se muestra el nombre de ruta de acceso de la biblioteca incorporada de proceso posterior al cambio de contrasea, tal como se proporciona con WebSEAL en el Entorno operativo Solaris: post-pwdchg-process = /opt/PolicyDirector/lib/libxauthn.so
465
Reautenticacin
Stanza [reauthentication] reauth-for-inactive = {yes|no} Permite a WebSEAL solicitar a los usuarios que se vuelvan a autenticar cuando se haya agotado el tiempo de espera de su entrada en la cach de credenciales de WebSEAL debido a un periodo de inactividad. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: reauth-for-inactive = no reauth-reset-lifetime = {yes|no} Permite a WebSEAL restablecer el temporizador de duracin de las entradas en la cach de credenciales de WebSEAL despus de una reautenticacin correcta. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: reauth-reset-lifetime = no reauth-extend-lifetime = nmero_segundos Valor entero que expresa el tiempo en segundos en que se debe ampliar el temporizador de la cach de credenciales para permitir que los clientes realicen una reautenticacin. Cuando el valor es cero (0), no se ampla el temporizador de duracin. WebSEAL no impone ningn valor mximo. El valor mximo est limitado nicamente por el tipo de datos entero. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: reauth-extend-lifetime = 300
466
Stanza [failover] failover-auth = {none|http|https|both} Permite a WebSEAL aceptar cookies de migracin tras error. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: failover-auth = none failover-cookies-keyfile = ruta_acceso_completa Archivo de claves para el cifrado de cookies de migracin tras error. Debe utilizarse la utilidad cdsso_key_gen para generar este archivo. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: failover-cookies-keyfile = /tmp/failover.key failover-cookie-lifetime = nmero_minutos Valor entero que especifica el nmero de minutos durante el cual el contenido de las cookies de migracin tras error es vlido. Debe ser un entero positivo. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 60 Ejemplo: failover-cookie-lifetime = 60 use-utf8 = {yes|no}
467
Utilice codificacin UTF8 para las cadenas de la cookie de autenticacin de migracin tras error. A partir de la versin 5.1, los servidores WebSEAL utilizan la codificacin UTF-8 de forma predeterminada. Cuando esta entrada de stanza se establece en yes, las cookies pueden intercambiarse con otros servidores WebSEAL que utilicen codificacin UTF-8. Esto permite utilizar cookies en distintas pginas de cdigos (como para un idioma distinto). Para obtener compatibilidad con cookies creadas por servidores WebSEAL de una versin anterior a la 5.1, establezca esta entrada de stanza en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: use-utf8 = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. enable-failover-cookie-for-domain = {yes|no} Habilita las cookies de migracin tras error para el dominio. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: enable-failover-cookie-for-domain = no failover-update-cookie = nmero_segundos Intervalo mximo, expresado en nmero de segundos, permitido entre las actualizaciones de la marca de fecha y hora de actividad de la sesin en las cookies de migracin tras error. El valor es un nmero entero. Cuando el servidor recibe una solicitud, si ha transcurrido el nmero de segundos especificado para este parmetro, la marca de fecha y hora de actividad de la sesin se actualiza. Cuando el valor es 0, la marca de fecha y hora de la sesin se actualiza en cada solicitud. Cuando el valor es inferior a (nmero negativo), la marca de fecha y hora de actividad de la sesin no se actualiza nunca. No existe ningn valor mximo. Esta entrada de stanza es obligatoria. Valor predeterminado: 60 Ejemplo: failover-cookie-update = 60 failover-require-lifetime-timestamp-validation = {yes|no}
468
Habilita o inhabilita el requisito de validacin de la marca de fecha y hora de duracin de una sesin en la cookie de migracin tras error. Para la compatibilidad con versiones del servidor WebSEAL anteriores a la 5.1, establezca esta entrada de stanza en no. En las versiones anteriores a la 5.1, no se creaba la marca de fecha y hora de duracin de la sesin en la cookie de migracin tras error. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: failover-require-lifetime-timestamp-validation = no failover-require-activity-timestamp-validation = {yes|no} Habilita o inhabilita el requisito de validacin de la marca de fecha y hora de actividad de una sesin en la cookie de migracin tras error. Para la compatibilidad con versiones del servidor WebSEAL anteriores a la 5.1, establezca esta entrada de stanza en no. En versiones anteriores a la 5.1, no se creaba la marca de fecha y hora de actividad de la sesin en la cookie de migracin tras error. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: failover-require-activity-timestamp-validation = no
Stanza [failover-add-attributes] patrn_atributo = add Muestra una lista de los atributos de la credencial original que deben mantenerse en la cookie de migracin tras error. El formato es el siguiente: patrn_atributo = add El patrn del atributo es un patrn comodn sensible a las maysculas y minsculas. El orden de las entradas de la stanza es importante. Las reglas (patrones) que aparecen en una posicin anterior en la stanza prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coincidan con ningn patrn no se agregarn a la cookie de migracin tras error. Las entradas de esta stanza son opcionales. No existe ninguna entrada predeterminada en esta stanza. No obstante, el atributo AUTHENTICATION_LEVEL se agrega a la cookie de migracin tras error de forma predeterminada. No es necesario incluir este atributo en la stanza de configuracin. Ejemplo: tagvalue_* = add session-lifetime-timestamp = add
469
Esta entrada especifica que debe tomarse la marca de fecha y hora para la creacin de la sesin original de la cookie de migracin tras error y que dicha marca debe agregarse a la nueva sesin en el servidor replicado. Este atributo no puede especificarse mediante la coincidencia de patrones. Esta entrada debe agregarse exactamente como est escrita. Esta entrada de stanza es opcional. Entrada predeterminada: ninguna Ejemplo: session-lifetime-timestamp = add session-activity-timestamp = add Esta entrada indica que debe tomarse la marca de fecha y hora para la ltima actividad de usuario de la cookie de migracin tras error y que dicha marca debe agregarse a la nueva sesin en el servidor replicado. Este atributo no puede especificarse mediante la coincidencia de patrones. Esta entrada debe agregarse exactamente como est escrita. Esta entrada de stanza es opcional. Entrada predeterminada: ninguna Ejemplo: session-activity-timestamp = add
Stanza [failover-restore-attributes] patrn_atributo = preserve Lista los atributos que deben colocarse en la credencial nueva cuando se crea de nuevo una credencial desde una cookie de migracin tras error. El formato es el siguiente: patrn_atributo = preserve El patrn del atributo es un patrn comodn sensible a las maysculas y minsculas. El orden de las entradas de la stanza es importante. Las reglas (patrones) que aparecen en una posicin anterior en la stanza prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coincidan con ningn patrn no se agregarn a la credencial. Cuando WebSEAL vuelve a crear una credencial, todos los atributos de cookie de migracin tras error se omiten a menos que estn especificados mediante una entrada con el valor preserve. Las entradas de esta stanza son opcionales. Entradas predeterminadas: ninguna Ejemplo: tagvalue_* = preserve patrn_atributo = refresh
470
Lista de los atributos de cookie de migracin tras error que deben omitirse de la credencial de usuario que se ha creado de nuevo. El formato es el siguiente: patrn_atributo = refresh Esta lista no es necesaria en todas las configuraciones. El comportamiento predeterminado cuando se crea de nuevo una credencial de usuario es omitir todos los atributos que no se han especificado con el valor preserve. En algunos casos, puede ser necesario especificar una excepcin a la coincidencia de un patrn comodn para garantizar que un atributo especfico se renueva, no se mantiene. Esta especificacin puede ser necesaria, por ejemplo, cuando se utiliza un CDAS personalizado. El patrn del atributo es un patrn comodn sensible a las maysculas y minsculas. El orden de las entradas de la stanza es importante. Las reglas (patrones) que aparecen en una posicin anterior en la stanza prevalecen sobre las que aparecen ms adelante en la stanza. Los atributos que no coincidan con ningn patrn no se agregarn a la credencial. Las entradas de esta stanza son opcionales. Entradas predeterminadas: ninguna Ejemplo: tagvalue_special_* = refresh
471
472
Utilice codificacin UTF8 para las seales que se utilizan en el inicio de sesin nico entre dominios. A partir de la versin 5.1, los servidores WebSEAL utilizan la codificacin UTF-8 de forma predeterminada. Cuando esta entrada de stanza se establece en true, las seales pueden intercambiarse con otros servidores WebSEAL que utilicen codificacin UTF-8. Esto permite utilizar seales en distintas pginas de cdigos (como para un idioma distinto). Para obtener compatibilidad con seales creadas por servidores WebSEAL de una versin anterior a la 5.1, establezca esta entrada de stanza en false. Esta entrada de stanza es obligatoria. Valor predeterminado: true Ejemplo: use-utf8 = true Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48. Stanza [cdsso-peers] nombre_host_completo = ruta_acceso_completa Lista de servidores de igual que estn participando en el inicio de sesin nico entre dominios. El nombre de ruta de acceso debe especificar la ubicacin del archivo de claves del servidor. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: webhost2.ibm.com = /tmp/cdsso.key
Stanza [cdsso-token-attributes] nombre_dominio = patrn1 [patrn2,] [patrnN, .... ] Atributos de credencial que deben incluirse en las seales de autenticacin de CDSSO. El nombre_dominio especifica el dominio de destino que contiene el servidor que consumir la seal. El valor para nombre_dominio puede contener una o ms entradas. Puede tratarse de un valor especfico o bien de un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: example1.com = my_cdas_attr_* <default> = patrn1 [patrn2,] [patrnN, .... ]
473
Atributos de credencial que deben incluirse en las seales de autenticacin de CDSSO. Cuando WebSEAL no encuentra ninguna entrada nombre_dominio que coincida con el dominio, se utilizan las entradas de <default>. La palabra <default> es una palabra clave y no puede modificarse. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: <default> = my_cdas_attr_*
Stanza [cdsso-incoming-attributes] patrn_atributo = {preserve|refresh} Atributos ampliados que deben extraerse de las seales de autenticacin de CDSSO entrantes. Los atributos generalmente coinciden con los declarados en la stanza [cdsso-token-attributes] del servidor WebSEAL del dominio de origen. El patrn_atributo puede ser un valor especfico o un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). El orden de las entradas patrn_atributo es importante. Se utiliza la primera entrada que coincide con el atributo. Las dems entradas se omiten. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: my_cred_attr1 = preserve
474
Stanza [e-community-sso] e-community-sso-auth = {none|http|https|both} Habilita la participacin en el inicio de sesin nico de e-community. Especifica los protocolos a los que se da soporte. El valor both significa tanto HTTP como HTTPS. Esta entrada de stanza es obligatoria. Valor predeterminado: none Ejemplo: e-community-sso-auth = none e-community-name = nombre Valor de cadena que especifica un nombre de e-community. Si se da soporte al inicio de sesin nico de comunidad electrnica, este nombre debe coincidir con cualquier seal de garantizacin o cookie de comunidad electrnica que se reciba. La cadena no puede contener el signo igual (=) o ampersand (&). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: e-community-name = company1 is-master-authn-server = {yes|no} Especifica si este servidor WebSEAL acepta solicitudes de garantizacin procedentes de otras instancias de WebSEAL. Las instancias de WebSEAL deben tener claves de dominio listadas en la stanza [e-community-domainkeys]. Cuando este valor es yes, este servidor WebSEAL es el servidor de autenticacin maestro. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: is-master-authn-server = no master-authn-server = nombre_host_completo Ubicacin del servidor de autenticacin maestro. Este valor debe especificarse si is-master-authn-server est establecido en no. Si no se ha realizado ningn inicio de sesin en el dominio local, los intentos de autenticacin se redirigen a travs de la mquina maestra. La mquina maestra garantizar la identidad del usuario. La clave de dominio para master-authn-server debe estar listada en la stanza [e-community-domainkeys]. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: master-authn-server = diamond.dev.ibm.com master-http-port = nmero_puerto
475
Valor entero que especifica el nmero de puerto en que master-authn-server realiza la escucha de solicitudes HTTP. Este valor es necesario cuando e-community-sso-auth permite el uso del protocolo HTTP y master-authn-server realiza la escucha de solicitudes HTTP en un puerto distinto del puerto HTTP estndar (puerto 80). Esta entrada de stanza se omite si este servidor WebSEAL es el servidor de autenticacin maestro. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: master-http-port = 81 master-https-port = nmero_puerto Valor entero que especifica el nmero de puerto en que master-authn-server realiza la escucha de solicitudes HTTPS. Este valor es necesario cuando e-community-sso-auth permite el uso del protocolo HTTPS y master-authn-server realiza la escucha de solicitudes HTTPS en un puerto distinto del puerto HTTPS estndar (puerto 443). Esta entrada de stanza se omite si este servidor WebSEAL es el servidor de autenticacin maestro. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: master-https-port = 444 vf-token-lifetime = nmero_segundos Entero positivo que indica la duracin, en segundos, de la seal de garantizacin. Est establecido de forma que se tenga en cuenta la diferencia horaria entre los servidores participantes. El valor mnimo es 1 segundo. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es opcional. Valor predeterminado: 180 Ejemplo: vf-token-lifetime = 180 vf-url = designacin_URL Designador de la direccin URL de garantizacin. Esto especifica el principio de una direccin URL relativa a la raz del servidor. Se utiliza para construir solicitudes de garantizacin para los servidores de inicio de sesin nico de e-community participantes y para que el servidor de autenticacin maestro pueda distinguir entre las solicitudes de informacin de garantizacin y el resto de solicitudes. La cadena de designacin_URL puede contener caracteres alfanumricos y los siguientes caracteres especiales: signo de dlar ($), guin (-), subrayado (_), punto (.), signo ms (+), signo de exclamacin (!), asterisco (*), comillas simples (), parntesis ( ) y coma (,). Los signos de interrogacin (?) no estn permitidos. Esta entrada de stanza es opcional. Si la entrada de stanza no est presente en el archivo de configuracin, el valor predeterminado es /pkmsvouchfor. Ejemplo: vf-url = /pkmsvouchfor vf-argument = nombre_seal_garantizacin
476
Valor de cadena que contiene el nombre de la seal de garantizacin incluido en una respuesta de garantizacin. Se utiliza para que el servidor de autenticacin maestro pueda construir respuestas de garantizacin y para que los servidores de inicio de sesin nico de e-community participantes puedan distinguir las solicitudes de entrada que contienen informacin de garantizacin. Los valores vlidos para la cadena son caracteres ASCII, excepto el ampersand (&), signo igual (=) y signo de interrogacin (?). Esta entrada de stanza es opcional. Valor predeterminado: PD-VF Ejemplo: vf-argument = PD-VF ec-cookie-lifetime = nmero_minutos Valor entero positivo que indica la duracin de una cookie de e-community. El valor mnimo es 1. No existe ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 300 Ejemplo: ec-cookie-lifetime = 300 ecsso-allow-unauth = {yes|no} Habilita o inhabilita el acceso no autenticado a recursos no protegidos en un servidor esclavo SSO de e-community. El valor yes habilita el acceso no autenticado. El valor no inhabilita el acceso. Para obtener compatibilidad con versiones anteriores a la versin 5.1 de WebSEAL, establezca este valor en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: ecsso-allow-unauth = yes use-utf8 = {yes|no} Utilice la codificacin UTF8 para las seales utilizadas en el inicio de sesin nico de e-community. A partir de la versin 5.1, los servidores WebSEAL utilizan la codificacin UTF-8 de forma predeterminada. Cuando esta entrada de stanza se establece en true, las seales pueden intercambiarse con otros servidores WebSEAL que utilicen codificacin UTF-8. Esto permite utilizar seales en distintas pginas de cdigos (como para un idioma distinto). Para obtener compatibilidad con seales creadas por servidores WebSEAL anteriores a la versin 5.1, establezca esta entrada de stanza en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: use-utf8 = yes Consulte tambin el apartado Soporte para varios entornos locales con UTF-8 en la pgina 48.
477
Stanza [e-community-domain-keys] nombre_dominio = ruta_acceso_completa Nombres de archivo de las claves de cada dominio que participa en e-community. Incluye el dominio en el que se ejecuta el servidor WebSEAL. Se comparten en forma de parejas por dominio. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: ecssoserver.subnet.ibm.com = /tmp/ecsso.key
Stanza [ecsso-token-attributes] nombre_dominio = patrn1 [patrn2,] [patrnN, .... ] Atributos de credencial que deben incluirse en las seales de autenticacin eCSSO. El nombre_dominio especifica el dominio de destino que contiene el servidor que consumir la seal. El valor para nombre_dominio puede contener una o ms entradas. Puede tratarse de un valor especfico o bien de un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: example1.com = my_cdas_attr_* <default> = patrn1 [patrn2,] [patrnN, .... ] Atributos de credencial que deben incluirse en las seales de autenticacin eCSSO. Cuando WebSEAL no encuentra ninguna entrada nombre_dominio que coincida con el dominio, se utilizan las entradas de <default>. La palabra <default> es una palabra clave y no puede modificarse. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: <default> = my_cdas_attr_*
478
Atributos ampliados que deben extraerse de las seales de autenticacin eCSSO entrantes. Los atributos generalmente coinciden con los declarados en la stanza [cdsso-token-attributes] del servidor WebSEAL del dominio de origen. El patrn_atributo puede ser un valor especfico o un patrn que utilice caracteres comodn estndar de Tivoli Access Manager (*, [], ^, \, ?). El orden de las entradas patrn_atributo es importante. Se utiliza la primera entrada que coincide con el atributo. Las dems entradas se omiten. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: my_cred_attr1 = preserve
479
Calidad de proteccin
v v v v [ssl-qop] [ssl-qop-mgmt-hosts] [ssl-qop-mgmt-networks] [ssl-qop-mgmt-default]
Stanza [ssl-qop] ssl-qop-mgmt = {yes|no} Habilita o inhabilita la gestin de la calidad de proteccin SSL. El valor yes habilita la gestin de la calidad de proteccin SSL. El valor no la inhabilita. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: ssl-qop-mgmt = no
Stanza [ssl-qop-mgmt-hosts] IP-host = {ALL|NONE|nivel_cifrado} Lista de valores de cadena que especifican los niveles de cifrado permitidos para el acceso HTTPS de una direccin IP especfica. El valor ALL permite todos los cifrados. El valor NONE inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC. Para especificar los cifrados permitidos para un grupo seleccionado de direcciones IP, cree una entrada separada para cada direccin. Por ejemplo: 111.222.333.444 = RC4-128 222.666.333.111 = RC2-128 Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: 111.222.333.444 = ALL Tenga en cuenta que esta stanza se ha dejado de utilizar y slo se conserva para la compatibilidad con versiones anteriores. Para obtener ms informacin y una lista de los niveles_cifrado soportados, consulte el apartado Calidad de niveles de proteccin en la pgina 40.
480
Lista de valores de cadena que especifican los niveles de cifrado permitidos para el acceso HTTPS de una combinacin especfica de direccin IP y mscara de red. El valor ALL permite todos los cifrados. El valor NONE inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC. Para especificar los cifrados permitidos para un grupo seleccionado de direcciones IP y mscaras de red, cree una entrada separada para cada combinacin de red/mscara de red. Por ejemplo: 111.222.333.444/255.255.255.0 = RC4-128 222.666.333.111/255.255.0.0 = RC2-128 Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: 111.222.333.444/255.255.255.0 = RC4-128 Tenga en cuenta que esta stanza se ha dejado de utilizar y slo se conserva para la compatibilidad con versiones anteriores. Para obtener ms informacin y una lista de los niveles_cifrado soportados, consulte el apartado Calidad de niveles de proteccin en la pgina 40.
Stanza [ssl-qop-mgmt-default] default = {ALL|NONE|nivel_cifrado} Lista de valores de cadena que especifican los niveles de cifrado permitidos para el acceso HTTPS. El valor ALL permite todos los cifrados. El valor NONE inhabilita todos los cifrados y utiliza la suma de comprobacin MD5 MAC. Para especificar un grupo seleccionado de cifrados, cree una entrada separada para cada cifrado. Por ejemplo: default = RC4-128 default = RC2-128 default = DES-168 Los valores especificados en esta entrada de stanza se utilizan para todas las direcciones IP que no figuren en las entradas de la stanza [ssl-qop-mgmt-hosts] ni en las entradas de la stanza [ssl-qop-mgmtnetworks]. Esta entrada de stanza es obligatoria. Valor predeterminado: ALL Ejemplo: default = ALL Para obtener ms informacin y una lista de los niveles_cifrado soportados, consulte el apartado Calidad de niveles de proteccin en la pgina 40.
481
Sesin
Stanza [session] max-entries = nmero_entradas Nmero mximo de entradas simultneas en la cach de credenciales. El nmero mnimo para este valor es 0. Un valor de cero significa que la cach tiene un tamao ilimitado. WebSEAL no impone ningn valor mximo. Consulte las directrices sobre el tamao mximo de valores enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 4096 Ejemplo: max-entries = 4096 Consulte tambin el apartado Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147 y la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. timeout = nmero_segundos Valor entero para la duracin mxima, en segundos, de una entrada en la cach de credenciales. El nmero mnimo para este valor es 0. Un valor de 0 significa que la duracin es ilimitada. WebSEAL no impone ningn valor mximo. Consulte las directrices sobre el tamao mximo de valores enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 3600 Ejemplo: timeout = 3600 Consulte tambin el apartado Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147. inactive-timeout = nmero_segundos
482
Valor entero para la duracin, en segundos, de las entradas inactivas en la cach de credenciales. El nmero mnimo para este valor es 0. Un valor de 0 significa que, cuando se llena la cach, las entradas se borran en funcin de un algoritmo de menos utilizadas recientemente. WebSEAL no impone ningn valor mximo. Consulte las directrices sobre el tamao mximo de valores enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 600 Ejemplo: inactive-timeout = 600 Consulte tambin el apartado Configuracin de la cach de sesin/credenciales de WebSEAL en la pgina 147. ssl-id-sessions = {yes|no} Indica si se debe utilizar el ID de SSL para mantener el inicio de sesin HTTP de un usuario. El navegador Opera, en su configuracin predeterminada, no mantiene los ID de SSL entre distintas conexiones SSL. Si se utiliza este navegador, el parmetro ssl-id-sessions debe establecerse en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: ssl-id-sessions = yes Consulte tambin el apartado Mantenimiento del estado con cookies de sesin en la pgina 149. Nota sobre uso: Este valor debe establecerse en no si la siguiente pareja clave = valor est definida: [certificate] accept-client-certs = prompt_as_needed Para obtener ms informacin, consulte el apartado Especifique el mecanismo de autenticacin de certificado en la pgina 168. use-same-session = {yes|no}
483
Indica si se debe utilizar la misma sesin para los clientes SSL y HTTP. Cuando est establecido en yes, un usuario que se ha autenticado mediante HTTP estar autenticado al conectarse mediante HTTPS. Asimismo, el usuario que se ha autenticado mediante HTTPS estar autenticado al conectarse mediante HTTP. Si se utiliza yes, prevalecer ssl-id-sessions = yes, porque los clientes HTTP no leen un ID de SSL para mantener sesiones. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: use-same-session = no Consulte tambin el apartado Mantenimiento del estado con cookies de sesin en la pgina 149. resend-webseal-cookies = {yes|no} Indica si se deben enviar las cookies de WebSEAL con cada respuesta. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: resend-webseal-cookies = no Consulte tambin el apartado Mantenimiento del estado con cookies de sesin en la pgina 149. allow-backend-domain-cookies = {yes|no} Indica si WebSEAL puede enviar cookies de dominio de un servidor de fondo a un cliente. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: allow-backend-domain-cookies = no Consulte tambin el apartado Gestin de cookies de dominio en la pgina 342. user-session-ids = {yes|no} Habilita o inhabilita la creacin y el manejo de los ID de sesin de usuario. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: user-session-ids = yes Consulte tambin el apartado Mantenimiento del estado de la sesin entre las aplicaciones clientes y de fondo en la pgina 380.
484
Contenido
Este apartado contiene los siguientes temas y stanzas:
Seccin Gestin de contenido en la pgina 486 Gestin de cuentas en la pgina 488 Redireccin automtica en la pgina 492 CGI local en la pgina 493 Stanzas [content] [acnt-mgt] [content] [enable-redirects] [cgi] [cgi-types] [cgi-environment-variables] [content-index-icons] [icons]
Almacenamiento en cach de contenido en [content-cache] la pgina 497 Compresin del contenido en la pgina 498 Tipos de contenido MIME en la pgina 499 Codificacin de contenido en la pgina 500 [compress-mime-types] [content-mime-types] [content-encodings]
485
Gestin de contenido
Stanza [content] doc-root = ruta_acceso_completa Directorio raz del rbol de documentos de WebSEAL. El administrador puede aceptar el valor predeterminado de www/docs o especificar una ubicacin alternativa. Cuando el administrador acepta el valor predeterminado, la configuracin de WebSEAL anexa el valor predeterminado en el directorio de instalacin de WebSEAL. Por lo tanto, la ruta_acceso_completa predeterminada es directorio_instalacin_WebSEAL/www/docs. Cuando el administrador cambia este valor durante la configuracin, debe especificar una ruta de acceso completa. En este caso, WebSEAL no anexa la entrada en el directorio de instalacin de WebSEAL. De esta forma, la entrada doc-root coincide con la entrada del administrador. Esta entrada de stanza es obligatoria. Valor predeterminado: directorio_instalacin_WebSEAL/www/docs Ejemplo: doc-root = C:/Archivos de programa/Tivoli/PDWeb/www/docs directory-index = nombre_archivo Nombre de un archivo de ndice de directorios. Cuando se realiza una solicitud de un directorio situado en el servidor WebSEAL local, WebSEAL busca este archivo antes de proporcionar un listado de directorios. Esta entrada de stanza es obligatoria. Valor predeterminado: index.html Ejemplo: directory-index = index.html delete-trash-dir = ruta_acceso_completa Nombre de ruta de acceso de un directorio en el que se mueven los archivos eliminados mediante el mtodo DELETE. Los archivos se conservan all hasta que el administrador los elimina. Esta clave no se aplica en directorios vacos, ya que se suprimen siempre. De forma predeterminada, esta clave est inactiva (est marcada como comentario en el archivo de configuracin). Cuando la clave est inactiva, los archivos eliminados mediante el mtodo DELETE se eliminan inmediatamente del sistema de archivos. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: delete-trash-dir = /tmp/trashdir user-dir = nombre_archivo
486
Directorio dentro de los directorios iniciales del usuario que contiene documentos HTML pblicos. Esta entrada de stanza es obligatoria. Valor predeterminado: public_html Ejemplo: user-dir = public_html utf8-template-macros-enabled = {yes|no} Especifica cmo se insertan datos en los archivos HTML estndar de WebSEAL, como login.html, cuando se detectan cadenas %MACRO%. Cuando se establece en yes, los datos se insertan en formato UTF-8. Cuando se establece en no, los datos se insertan en el formato de la pgina de cdigos local. Esto afecta a los archivos que se encuentran en los directorios especificados por las entradas error-dir y mgt-pages-root de la stanza [acnt-mgt] del archivo de configuracin. Las pginas HTML de WebSEAL utilizan de forma predeterminada el juego de caracteres UTF8. Si modifica el juego de caracteres para especificar la pgina de cdigos local, establezca esta entrada en no. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: utf8-template-macros-enabled = yes error-dir = directorio_relativo Directorio en el que se encuentran las pginas de error HTML. El directorio es relativo al directorio especificado por la entrada server-root. Cuando WebSEAL necesita acceder a las pginas de error, agrega automticamente el nombre del directorio especfico del entorno local. Por ejemplo: /opt/pdweb/www-webseal1/lib/errors/C La entrada error-dir especifica solamente la parte de la ruta de acceso que se muestra en el ejemplo anterior como lib/errors. Esta entrada de stanza es obligatoria. Valor predeterminado: lib/errors Ejemplo: error-dir = lib/errors
487
Gestin de cuentas
Stanza [acnt-mgt] mgt-pages-root = nombre_ruta_acceso_relativa Raz de las pginas de gestin de cuentas. El directorio real utilizado es un subdirectorio de este directorio raz, determinado en funcin de los valores de localizacin. Esta ruta de acceso es relativa al valor de server-root de la stanza [server]. Esta entrada de stanza es obligatoria. Valor predeterminado: lib/html Ejemplo: mgt-pages-root = lib/html login = nombre_archivo Formulario de inicio de sesin estndar. Esta entrada de stanza es obligatoria. Valor predeterminado: login.html Ejemplo: login = login.html login-success = nombre_archivo Pgina que aparece despus de iniciar la sesin correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: login_success.html Ejemplo: login-success = login_success.html logout = nombre_archivo Pgina que aparece despus de finalizar la sesin correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: logout.html Ejemplo: logout = logout.html account-locked = nombre_archivo Pgina que aparece cuando se produce un error de autenticacin de usuario debido a una cuenta de usuario bloqueada. Esta entrada de stanza es obligatoria. Valor predeterminado: acct_locked.html Ejemplo: account-locked = acct_locked.html passwd-expired = nombre_archivo Pgina que aparece cuando se produce un error de autenticacin de usuario debido a una contrasea de usuario caducada. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd_exp.html Ejemplo: passwd-expired = passwd_exp.html passwd-change = nombre_archivo
488
Pgina que contiene un formulario de cambio de contrasea. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd.html Ejemplo: passwd-change = passwd.html passwd-change-success = nombre_archivo Pgina que aparece cuando una solicitud de cambio de contrasea ha finalizado correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd_rep.html Ejemplo: passwd-change-success = passwd_rep.html passwd-change-failure = nombre_archivo Pgina que aparece cuando una solicitud de cambio de contrasea no ha finalizado correctamente. Esta entrada de stanza es obligatoria. Valor predeterminado: passwd.html Ejemplo: passwd-change-failure = passwd.html help = nombre_archivo Pgina que contiene vnculos a pginas de administracin vlidas. Esta entrada de stanza es obligatoria. Valor predeterminado: help.html Ejemplo: help = help.html token-login = nombre_archivo Formulario de inicio de sesin de seales. Esta entrada de stanza es obligatoria. Valor predeterminado: tokenlogin.html Ejemplo: token-login = tokenlogin.html next-token = nombre_archivo Formulario de siguiente seal. Esta entrada de stanza es obligatoria. Valor predeterminado: nexttoken.html Ejemplo: next-token = nexttoken.html stepup-login = nombre_archivo Formulario de inicio de sesin de autenticacin incremental. Esta entrada de stanza es obligatoria. Valor predeterminado: stepuplogin.html Ejemplo: stepup-login = stepuplogin.html certificate-login = nombre_archivo
489
Formulario que requiere un inicio de sesin de autenticacin de certificado de cliente. Este formulario slo se utiliza cuando la clave accept-client-certs de la stanza [certificate] est establecida en prompt_as_needed. Esta entrada de stanza se necesita cuando la autenticacin de certificado con demora o el nivel de intensidad de autenticacin (incremental) para certificados est habilitado. Valor predeterminado: certlogin.html Ejemplo: certificate-login = certlogin.html cert-stepup-http = certstepuphttp.html WebSEAL muestra esta pgina HTML cuando un cliente intenta incrementar el nivel de intensidad de autenticacin (incremental) para los certificados cuando se utiliza el protocolo HTTP. Esta entrada de stanza es obligatoria. Valor predeterminado: certstepuphttp.html Ejemplo: cert-stepup-http = certstepuphttp.html switch-user = nombre_archivo Formulario de gestin de cambio de usuario. Esta entrada de stanza es obligatoria. Valor predeterminado: switchuser.html Ejemplo: switch-user = switchuser.html cert-failure = nombre_archivo Pgina que aparece cuando se requieren certificados y el cliente no puede autenticarse con un certificado. Esta entrada de stanza es obligatoria. Valor predeterminado: certfailure.html Ejemplo: cert-failure = certfailure.html client-notify-tod = {yes|no} Habilita la visualizacin de una pgina de error cuando se deniega la autenticacin debido a una comprobacin de hora del da de la poltica POP. La pgina de error es 38cf08cc.html. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: client-notify-tod = yes account-expiry-notification = {yes|no}
490
Especifica si WebSEAL notifica al usuario la causa del error de inicio de sesin cuando el error se debe a una cuenta que no es vlida o que ha caducado. Cuando esta entrada est establecida en no, el usuario recibe el mismo mensaje de error que se enva cuando un inicio de sesin falla porque la informacin de autenticacin no es vlida (por ejemplo, un nombre de usuario o una contrasea que no son vlidos). Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: account-expiry-notification = no
491
Redireccin automtica
v [acnt-mgt] v [enable-redirects]
Stanza [acnt-mgt] login-redirect-page = localizador_universal_recursos Localizador universal de recursos (URL) al que se redirige automticamente a los usuarios una vez iniciada la sesin. La direccin URL puede ser relativa al servidor o una direccin URL absoluta. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo de una direccin URL relativa al servidor: login-redirect-page = /jct/page.html Ejemplo de una direccin URL absoluta: login-redirect-page = http://www.ibm.com/ Consulte tambin el apartado Redireccin automtica durante el inicio de sesin del usuario en la pgina 235.
Stanza [enable-redirects] redirect = {forms-auth|basic-auth|token-auth} Habilita la utilizacin de la redireccin en uno o ms mecanismos de autenticacin. Se da soporte a la redireccin en: v Autenticacin de formularios v Autenticacin bsica v Autenticacin de seal El archivo de configuracin debe contener una entrada separada para cada mecanismo de autenticacin en que se habilite la redireccin. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo de entradas que habilitan la redireccin en la autenticacin bsica y de formularios: redirect = forms-auth redirect = basic-auth
492
CGI local
v [cgi] v [cgi-types] v [cgi-environment-variables]
Stanza [cgi] cgi-timeout = nmero_segundos Valor entero que indica el tiempo de espera, en segundos, para la escritura y lectura de procesos CGI hijos. Este valor no se aplica a los sistemas Windows. Esta entrada de stanza es obligatoria. El valor mnimo es 0. Este valor inhabilita el tiempo de espera. No es recomendable inhabilitar el tiempo de espera. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre el tamao mximo de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Ejemplo: cgi-timeout = 120
Stanza [cgi-types] extensin_archivo = comando Esta stanza contiene entradas que correlacionan las extensiones de archivo CGI con comandos de Windows. En servidores Windows, los archivos CGI con una extensin que no aparezca en esta lista no se ejecutan, a excepcin de los archivos con la extensin .EXE. Esta stanza se utiliza slo en servidores Windows. No existe ninguna entrada predeterminada. De forma predeterminada, el archivo de configuracin de WebSEAL contiene un nmero de entradas marcadas como comentarios (inactivas). Los administradores pueden agregar entradas adicionales. Las entradas adicionales deben estar formadas por caracteres ASCII. Esta entrada de stanza es opcional. Ejemplos de entradas sin comentarios del archivo de configuracin de WebSEAL: bat = cmd cmd = cmd pl = perl sh = sh tcl = tclsh76 Stanza [cgi-environment-variables] ENV = variable_entorno
493
Lista que contiene las variables de entorno del sistema que se deben exportar a las aplicaciones CGI. El administrador puede agregar variables en la lista, segn las necesidades de las aplicaciones especficas. Las entradas deben ser nombres vlidos de variables de entorno. Estas entradas son opcionales. En el archivo de configuracin de WebSEAL predeterminado se proporcionan las siguientes entradas: ENV ENV ENV ENV ENV ENV ENV ENV = = = = = = = = SystemRoot PATH LANG LC_ALL LC_CTYPE LC_MESSAGES LOCPATH NLSPATH
El archivo de configuracin de WebSEAL predeterminado proporciona una variable inactiva (marcada como comentario): #ENV = SystemDrive
494
Iconos
v [content-index-icons] v [icons]
Stanza [content-index-icons] tipo = nombre_ruta_acceso_relativa Las entradas de esta stanza especifican los iconos que se deben utilizar en los ndices de directorios. El valor de nombre_ruta_acceso_relativa es el nombre de ruta de acceso de la ubicacin del icono. El valor de tipo indica un patrn con carcter comodn de un conjunto de tipos MIME. El nombre de ruta de acceso es relativo al espacio de objetos protegidos de WebSEAL, tal como est establecido en la entrada doc-root de la stanza [content]. Los administradores pueden agregar entradas adicionales. El valor de tipo tiene que hacer referencia a tipos MIME vlidos. El carcter comodn (*) est limitado a las entradas de un conjunto de tipos MIME. Por ejemplo, image/*. No se realiza ninguna otra ampliacin del carcter comodn. Para obtener una lista de tipos MIME, consulte la stanza [content-mime-types]. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Las entradas de esta stanza son opcionales. El archivo de configuracin de WebSEAL proporciona las siguientes entradas predeterminadas: image/* = /icons/image2.gif video/* = /icons/movie.gif audio/* = /icons/sound2.gif text/html = /icons/generic.gif text/* = /icons/text.gif application/x-tar = /icons/tar.gif application/* = /icons/binary.gif
Stanza [icons] diricon = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa de un archivo de grficos utilizado para indicar un subdirectorio. Se utiliza cuando se visualiza un ndice de directorios. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Esta entrada de stanza es obligatoria. Si no se especifica ningn valor, se utiliza el valor de unknownicon. Valor predeterminado: /icons/folder2.gif Ejemplo: diricon = /icons/folder2.gif backicon = nombre_ruta_acceso_relativa
495
Nombre de ruta de acceso relativa de un archivo de grficos utilizado para indicar el directorio padre. Se utiliza cuando se visualiza un ndice de directorios. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Esta entrada de stanza es obligatoria. Si no se especifica ningn valor, se utiliza el valor de unknownicon. Valor predeterminado: /icons/back.gif Ejemplo: backicon = /icons/back.gif unknownicon = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa de un archivo de grficos utilizado para indicar un tipo de archivo desconocido. Se utiliza cuando se visualiza un ndice de directorios. El valor de nombre_ruta_acceso_relativa puede ser cualquier direccin URI vlida dentro del espacio de objetos protegidos de WebSEAL, tal como se define en doc-root. Esta entrada de stanza es obligatoria. Si no se especifica este valor, se muestra una imagen GIF de vnculo roto. Valor predeterminado: /icons/unknown.gif Ejemplo: unknownicon = /icons/unknown.gif
496
497
Stanza [compress-user-agents] patrn = {yes|no} Habilita o inhabilita la compresin HTTP en funcin de la cabecera user-agent enviada por los clientes. Esta entrada se utiliza para inhabilitar la compresin para clientes que envan una cabecera HTTP accept-encoding: gzip pero que en realidad no manejan correctamente codificaciones de contenido gzip. Un ejemplo de agente de usuario es un navegador, como Microsoft Internet Explorer 6.0. Esta entrada de stanza es opcional. No existe ninguna entrada predeterminada. Ejemplo: *MSIE 6.0* = yes
498
deftype = tipo_MIME Tipo predeterminado que se debe asignar a las pginas que no coincidan con ninguna de las entradas extensin = tipo_MIME definidas en esta stanza. El administrador no debera cambiar este valor. Esta entrada de stanza es obligatoria. El valor predeterminado es text/plain Ejemplo: deftype = text/plain
499
Codificacin de contenido
Stanza [content-encodings] extensin = tipo_codificacin Las entradas de esta stanza correlacionan una extensin de documentos con un tipo de codificacin. WebSEAL utiliza esta correlacin para informar sobre el tipo MIME correcto en la cabecera content-type de respuesta para archivos de conexiones locales. Esta correlacin es necesaria para que WebSEAL pueda comunicarse con un navegador que devuelva datos codificados (binarios). Los tipos MIME definidos en esta stanza tambin deben estar definidos en [content-mime-types]. Esta entrada de stanza es obligatoria. Los valores predeterminados son: gz = x-gzip Z = x-compress Cuando WebSEAL encuentra un documento con dos extensiones como, por ejemplo, .txt.Z, genera dos cabeceras: content-type: text/plain content-encoding: x-compress Por lo tanto, aunque los datos sean comprimidos, en la respuesta al navegador se especifica text/plain. Sin embargo, la cabecera content-encoding adicional indica al navegador que los datos estn en formato text/plain comprimido. En muchos casos, no es necesario que el administrador agregue entradas adicionales. Sin embargo, si el administrador agrega un nuevo tipo de extensin que requiera ms de una respuesta text/plain, la extensin y el tipo_codificacin tambin deben agregarse en esta stanza.
500
Uniones
Este apartado contiene los siguientes temas y stanzas:
Seccin Gestin de conexiones en la pgina 502 Filtrado de documentos en la pgina 506 Filtrado de manejadores de eventos en la pgina 507 Filtrado de esquemas en la pgina 509 Filtrado de tipos MIME y cabeceras en la pgina 510 Filtrado de scripts en la pgina 511 Renovacin de credenciales en la pgina 513 Nombres de cabecera en la pgina 513 Stanza [junction] [filter-url] [filter-events] [filter-schemes] [filter-content-types] [filter-request-headers] [script-filtering] [preserve-cookie-names] [credential-refresh-attributes] [header-names]
Cach de Global Sign-On en la pgina 514 [gso-cache] Cach de LTPA (Lightweight Third Party Authentication) en la pgina 516 [ltpa-cache]
501
Gestin de conexiones
Stanza [junction] junction-db = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa que contiene la ubicacin de la base de datos de conexiones. Este valor es relativo al valor establecido en la clave server-root de la stanza [server]. Esta entrada de stanza es obligatoria. Valor predeterminado: jct Ejemplo: junction-db = jct jmt-map = nombre_ruta_acceso_relativa Nombre de ruta de acceso relativa que contiene la ubicacin de la Tabla de correlaciones de conexiones a solicitudes (JMT). Este valor es relativo al valor establecido en la clave server-root de la stanza [server]. El administrador puede cambiar el nombre de este archivo, si es necesario. El nombre de archivo puede ser cualquier nombre de archivo que sea vlido en el sistema de archivos del sistema operativo. Esta entrada de stanza es obligatoria. Valor predeterminado: lib/jmt.conf Ejemplo: jmt-map = lib/jmt.conf http-timeout = nmero_segundos Valor entero que indica el tiempo de espera, en segundos, para el envo y la lectura de una unin TCP. El valor mnimo es 0. Cuando el valor es 0, no existe tiempo de espera. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 120 Ejemplo: http-timeout = 120 https-timeout = nmero_segundos Valor entero que indica el tiempo de espera, en segundos, para el envo y la lectura de una unin SSL (Secure Socket Layer). El valor mnimo es 0. Cuando el valor es 0, no existe tiempo de espera. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 120 Ejemplo: http-timeout = 120 ping-time = nmero_segundos
502
Valor entero que indica el nmero de segundos entre pings ejecutados por el servidor WebSEAL. Los pings se ejecutan peridicamente en segundo plano para comprobar que los servidores WebSEAL con unin estn en ejecucin. El valor mnimo es 1. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 300 Ejemplo: ping-time = 300 basicauth-dummy-passwd = contrasea_ficticia Contrasea global utilizada al proporcionar los datos de autenticacin bsica a travs de conexiones creadas con el argumento -b supply. Las contraseas deben estar formadas por caracteres ASCII. Esta entrada de stanza es obligatoria. Valor predeterminado: dummy Ejemplo: basicauth-dummy-passwd = dummy worker-thread-hard-limit = nmero_threads Valor entero que indica el lmite, expresado como un porcentaje, del nmero total de threads de trabajo que se utilizarn para procesar las solicitudes de conexiones. El valor predeterminado de 100 significa que no hay ningn lmite. Cuando el valor de worker-thread-hard-limit es inferior a 100 y se supera el lmite, WebSEAL genera un mensaje de error. Esta entrada de stanza es obligatoria. Valor predeterminado: 100 Ejemplo: worker-thread-hard-limit = 100 Consulte el apartado Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) en la pgina 45 y la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide. worker-thread-soft-limit = nmero_threads Valor entero que indica el lmite, expresado como un porcentaje, del nmero total de threads de trabajo que se utilizarn para procesar las solicitudes de conexiones. Cuando el valor de worker-thread-soft-limit es inferior a 100 y se supera el lmite, WebSEAL genera un mensaje de aviso. Esta entrada de stanza es obligatoria. Valor predeterminado: 90 Ejemplo: worker-thread-soft-limit = 100 Consulte el apartado Asignacin de threads de trabajo para uniones (imparcialidad de conexiones) en la pgina 45 y la publicacin IBM Tivoli Access Manager for e-business Performance Tuning Guide.
503
io-buffer-size = nmero_bytes Valor entero positivo que indica el tamao de bfer, en bytes, para la lectura y escritura de una unin. El valor mnimo es 1. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 4096 Ejemplo: io-buffer-size = 4096 max-webseal-header-size = nmero_bytes Valor entero que indica el tamao mximo, en bytes, de las cabeceras HTTP generadas por el servidor WebSEAL. Las cabeceras con un tamao superiores a este valor se dividen en varias cabeceras HTTP. Un valor de cero (0) inhabilita este soporte. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria. Valor predeterminado: 0 Ejemplo: max-webseal-header-size = 0 crl-ldap-server = nombre_servidor Nombre del servidor LDAP al que se debe hacer referencia para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin a travs de conexiones SSL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server = surf.santacruz.ibm.com crl-ldap-server-port = nmero_puerto Nmero de puerto para la comunicacin con el servidor LDAP especificado en crl-ldap-server. Se hace referencia al servidor LDAP para la comprobacin de la Lista de revocacin de certificados (CRL) durante la autenticacin a travs de uniones SSL. Esta entrada de stanza es opcional. Esta entrada de stanza es obligatoria cuando crl-ldap-server est establecido. No existe ningn valor predeterminado. Ejemplo: crl-ldap-server-port = 389 crl-ldap-user = DN_usuario Nombre distinguido (DN) completo de un usuario de LDAP que tiene los permisos para recuperar la Lista de revocacin de certificados. Esta entrada de stanza es opcional. Un valor vaco para crl-ldap-user indica que el autenticador SSL debe enlazarse al servidor LDAP de forma annima. No existe ningn valor predeterminado.
504
crl-ldap-user-password = contrasea_usuario La contrasea del usuario de LDAP especificado en la entrada de stanza crl-ldap-user. Esta entrada de stanza es opcional. Esta entrada de stanza es obligatoria cuando crl-ldap-server est establecido. No existe ningn valor predeterminado. Ejemplo: crl-ldap-user-password = mypassw0rd disable-ssl-v2 = {yes|no} Inhabilita el soporte para SSL versin 2 para las uniones. El soporte para SSL V2 est habilitado de forma predeterminada. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v2 = no disable-ssl-v3 = {yes|no} Inhabilita el soporte para SSL versin 3 para las uniones. El soporte para SSL V3 est habilitado de forma predeterminada. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-ssl-v3 = no disable-tls-v1 = {yes|no} Inhabilita el soporte para TLS versin 1 para las uniones. El soporte para TLS V1 est habilitado de forma predeterminada. El valor yes significa que el soporte est inhabilitado. El valor no significa que el soporte est habilitado. Esta entrada de stanza es opcional. Si no se especifica, el valor predeterminado es no. Valor predeterminado: no. La configuracin de WebSEAL establece este valor. Ejemplo: disable-tls-v1 = no
505
Filtrado de documentos
Stanza [filter-url] indicador_HTML = atributo Lista de atributos de direccin URL que el servidor de WebSEAL filtra en las respuestas de los servidores con unin. Los administradores pueden agregar entradas adicionales, si es necesario. Las nuevas entradas deben estar formadas por indicadores y atributos HTML. Al agregar nuevas entradas, conserve el orden alfabtico. Esta lista es obligatoria. Aunque no todos los indicadores son necesarios para todas las aplicaciones, los indicadores que no se utilizan no causan ninguna molestia. La prctica recomendada es dejar las entradas predeterminadas de esta lista. Indicadores y atributos HTML predeterminados: A = HREF APPLET = CODEBASE AREA = HREF BASE = HREF BGSOUND = SRC BLOCKQUOTE = CITE BODY = BACKGROUND DEL = CITE DIV = EMPTYURL DIV = IMAGEPATH DIV = URL DIV = VIEWCLASS EMBED = PLUGINSPAGE EMBED = SRC FORM = ACTION FRAME = LONGDESC FRAME = SRC HEAD = PROFILE IFRAME = LONGDESC IFRAME = SRC ILAYER = BACKGROUND ILAYER = SRC IMG = SRC IMG = LOWSRC IMG = LONGDESC IMG = USEMAP IMG = DYNSRC INPUT = SRC INPUT = USEMAP INS = CITE ISINDEX = ACTION ISINDEX = HREF LAYER = BACKGROUND LAYER = SRC LINK = HREF LINK = SRC OBJECT = CODEBASE OBJECT = DATA OBJECT = USEMAP Q = CITE SCRIPT = SRC TABLE = BACKGROUND TD = BACKGROUND TH = BACKGROUND TR = BACKGROUND WM:CALENDARPICKER = FOLDERURL WM:CALENDARPICKER = IMAGEPREVARROW WM:CALENDARPICKER = IMAGENEXTARROW WM:CALENDARVIEW = FOLDERURL WM:MESSAGE = DRAFTSURL WM:MESSAGE = URL WM:NOTIFY = FOLDER WM:REMINDER = FOLDER ?IMPORT = IMPLEMENTATION
506
507
Lista de cdigos HTML que WebSEAL utiliza para identificar y filtrar las direcciones URL absolutas incrustadas en JavaScript. JavaScript permite que los cdigos HTML incluyan manejadores de eventos que se invocan al producirse ciertos eventos. Por ejemplo, el indicador HTML: <form onsubmit="javascript:doSomething()"> hace que se llame a la funcin JavaScript doSomething() cuando se enva el formulario. Las entradas de esta stanza se utilizan para identificar los cdigos HTML que puedan contener cdigo JavaScript. Cuando se descubre uno de estos indicadores, WebSEAL busca en el indicador para filtrar cualquier direccin URL absoluta incrustada en JavaScript. Por ejemplo, si el ejemplo form onsubmit tuviera este formato: <form onsubmit="javaScript:doSomething(http://junction.server.com)"> el filtrado HTML de WebSEAL modificara el indicador de la siguiente forma: <form onsubmit="javaScript:doSomething(/junction)"> Los administradores pueden agregar entradas adicionales, si es necesario. Las nuevas entradas deben estar formadas por cdigos HTML que estn incorporados en JavaScript. Al agregar nuevas entradas, conserve el orden alfabtico. Esta lista es obligatoria. Aunque no todos los indicadores son necesarios para todas las aplicaciones, los indicadores que no se utilizan no causan ninguna molestia. La prctica recomendada es dejar las entradas predeterminadas de esta lista. Indicadores HTML y manejadores de eventos predeterminados: A = ONCLICK A = ONDBLCLICK A = ONMOUSEDOWN A = ONMOUSEOUT A = ONMOUSEOVER A = ONMOUSEUP AREA = ONCLICK AREA = ONMOUSEOUT AREA = ONMOUSEOVER BODY = ONBLUR BODY = ONCLICK BODY = ONDRAGDROP BODY = ONFOCUS BODY = ONKEYDOWN BODY = ONKEYPRESS BODY = ONKEYUP BODY = ONLOAD BODY = ONMOUSEDOWN BODY = ONMOUSEUP BODY = ONMOVE BODY = ONRESIZE BODY = ONUNLOAD FORM = ONRESET FORM = ONSUBMIT FRAME = ONBLUR FRAME = ONDRAGDROP FRAME = ONFOCUS FRAME = ONLOAD FRAME = ONMOVE FRAME = ONRESIZE FRAME = ONUNLOAD IMG = ONABORT IMG = ONERROR IMG = ONLOAD INPUT = ONBLUR INPUT = ONCHANGE INPUT = ONCLICK INPUT = ONFOCUS INPUT = ONKEYDOWN INPUT = ONKEYPRESS INPUT = ONKEYUP INPUT = ONMOUSEDOWN INPUT = ONMOUSEUP INPUT = ONSELECT LAYER = ONBLUR LAYER = ONLOAD LAYER = ONMOUSEOUT LAYER = ONMOUSEOVER SELECT = ONBLUR SELECT = ONCHANGE SELECT = ONFOCUS TEXTAREA = ONBLUR TEXTAREA = ONCHANGE TEXTAREA = ONFOCUS TEXTAREA = ONKEYDOWN TEXTAREA = ONKEYPRESS TEXTAREA = ONKEYUP TEXTAREA = ONSELECT
508
Filtrado de esquemas
Stanza [filter-schemes] esquema = nombre_esquema Lista de esquemas de direccin URL que WebSEAL no debe filtrar. Un esquema es un identificador de protocolo. Esta lista se utiliza cuando WebSEAL encuentra un documento que contiene una direccin URL bsica. Por ejemplo: <head> <base href="http://www.foo.com"> </head> <a href="mailto:bee@bee.com>Enveme un mensaje",/a> WebSEAL identifica el esquema mailto porque est incluido de forma predeterminada en la stanza [filter-schemes]. Si mailto no estuviera identificado como un esquema, WebSEAL lo interpretara como un documento y realizara el filtrado normal. A continuacin, WebSEAL volvera a escribir el vnculo como: <a href="http://www.foo.com/mailto:bee@bee.com" Esto sera incorrecto. WebSEAL proporciona un conjunto de esquemas predeterminados. El administrador puede ampliar la lista si se utilizan protocolos adicionales. La prctica recomendada es no suprimir ninguna entrada de esta lista. Entradas de la lista predeterminada: scheme scheme scheme scheme scheme scheme = = = = = = file ftp https mailto news telnet
509
Stanza [filter-request-headers] cabecera = nombre_cabecera Lista de cabeceras HTTP que WebSEAL filtra antes de enviar la solicitud a un servidor con unin. Existe una lista predeterminada incorporada en WebSEAL. Las entradas predeterminadas no se incluyen en el archivo de configuracin. Lista predeterminada: host connection proxy-connection expect te iv-ssl-jct iv-user iv_user iv-groups iv_groups iv-creds iv_creds iv_remote_address iv-remote-address La adicin de nuevas entradas en esta stanza es opcional. Por ejemplo, un administrador podra agregar la cabecera accept-encoding. Esto indicara a WebSEAL que debe eliminar cualquier cabecera accept-encoding de las solicitudes antes de reenviarlas a la unin. La eliminacin de la cabecera accept-encoding hara que el servidor con unin devolviera el documento en un formato sin codificar, lo que permitira a WebSEAL filtrar el documento, si fuera necesario. Las nuevas entradas deben estar formadas por cabeceras HTTP vlidas.
510
Filtrado de scripts
v [script-filtering] v [preserve-cookie-names] v [illegal-url-substrings]
Stanza [script-filtering] script-filter = {yes|no} Habilita o inhabilita el soporte para filtrado de scripts. El valor yes significa que est habilitado. El valor no significa que est inhabilitado. Cuando est habilitado, WebSEAL puede filtrar las direcciones URL absolutas que se encuentran en scripts como, por ejemplo, JavaScript. Esta entrada de stanza es opcional, pero se incluye de forma predeterminada. Cuando no est declarada, el valor de la funcionalidad script-filter est establecido en no de forma predeterminada. Valor predeterminado: no Ejemplo: script-filter = no Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321. rewrite-absolute-with-absolute = {yes|no} Permite a WebSEAL volver a escribir las direcciones URL absolutas con nuevas direcciones URL absolutas que contienen el protocolo, host y puerto (opcionalmente) y que representan la forma en que el usuario ha accedido al servidor WebSEAL. Esta entrada de stanza es opcional. No existe ningn valor predeterminado, pero si no se especifica la entrada en el archivo de configuracin, WebSEAL interpreta que el valor es no. Ejemplo: rewrite-absolute-with-absolute = no Consulte el apartado Modificacin de las direcciones URL absolutas con filtrado de scripts en la pgina 321. hostname-junction-cookie = {yes|no} Permite a WebSEAL identificar de forma exclusiva la cookie utilizada para resolver los vnculos sin filtrar. Se utiliza cuando otro servidor WebSEAL ha creado una unin con este servidor WebSEAL mediante una unin de WebSEAL a WebSEAL. Esta entrada de stanza es opcional, pero se incluye de forma predeterminada en el archivo de configuracin. Valor predeterminado: no Ejemplo: hostname-junction-cookie = no
511
Lista de nombres de cookies especficas que WebSEAL no debe modificar. De forma predeterminada, WebSEAL modifica los nombres de cookies que se devuelven en respuestas desde uniones creadas con pdadmin mediante el indicador j. WebSEAL tambin modifica de forma predeterminada el nombre de las cookies que aparecen en la lista de la tabla de correlaciones de uniones (JMT). Esta modificacin predeterminada se realiza para evitar conflictos de denominacin con las cookies que devuelven otras uniones. Si una aplicacin frontal depende de los nombres de cookies especficas, el administrador puede inhabilitar la modificacin de los nombres de esas cookies especficas. Para ello, el administrador lista las cookies en esta stanza. Al especificar un valor para nombre_cookie, utilice caracteres ASCII. No existe ningn nombre de cookie establecido de forma predeterminada. Ejemplo: Name = JSESSIONID
Stanza [illegal-url-substrings] substring = cadena WebSEAL bloquea las solicitudes HTTP que contienen cualquiera de las subcadenas especificadas aqu. Esta entrada de stanza es opcional. Entrada predeterminada: substring = <script
512
Renovacin de credenciales
Stanza [credential-refresh-attributes] authentication_level = {preserve|refresh} Especifica si el nivel de autenticacin para el usuario debe mantenerse o renovarse durante la renovacin de una credencial. El nivel de autenticacin puede reflejar los resultados de una poltica de intensidad de autenticacin (autenticacin incremental). En la mayora de los casos, este nivel debera mantenerse durante la renovacin de una credencial. Esta entrada de stanza es obligatoria. Valor predeterminado: preserve Ejemplo: authentication_level = preserve patrn_nombre_atributo = {preserve|refresh} Especifica si un atributo, o un grupo de atributos que coinciden con un patrn, deben conservarse o renovarse durante la renovacin de una credencial. Esta entrada de stanza es opcional. Entrada predeterminada: tagvalue_* = preserve Ejemplo: tagvalue_* = preserve
Nombres de cabecera
Stanza [header-names] server-name = {iv-server-name|(ningn valor)} Especifica el nombre del servidor de administracin de API de autorizacin utilizado con el comando server task para la aplicacin con unin. El nombre se pasa en la cabecera al servidor con unin. Para inhabilitar la cabecera, omita cualquier valor de esta clave: server-name = Esta entrada de stanza es obligatoria. Entrada predeterminada: server-name = iv-server-name Ejemplo: server-name = iv-server-name
513
514
Valor entero que especifica el tiempo de espera, en segundos, de las entradas de cach que estn inactivas. El valor debe ser mayor que o igual a cero (0). Un valor de 0 significa que las entradas no se eliminan de la cach de GSO debido a su inactividad. Sin embargo, es posible que se eliminen igualmente si se supera el valor de la entrada de stanza gso-cache-size o gso-cache-entry-lifetime. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de GSO est inhabilitado. Valor predeterminado: 120 Ejemplo: gso-cache-entry-idle-timeout = 120
515
516
Valor entero que especifica el tiempo de espera, en segundos, de las entradas de cach que estn inactivas. El valor debe ser mayor que o igual a cero (0). Un valor de 0 significa que las entradas no se eliminan de la cach de LTPA debido a su inactividad. Sin embargo, es posible que se eliminen igualmente si se supera el valor de la entrada de stanza ltpa-cache-size o ltpa-cache-entry-lifetime. WebSEAL no impone ningn valor mximo. Consulte la informacin sobre los valores mximos de tipos de datos enteros en el apartado Directrices para configurar stanzas en la pgina 416. Esta entrada de stanza es obligatoria, pero se omite si el almacenamiento en cach de LTPA est inhabilitado. Valor predeterminado: 600 Ejemplo: gso-cache-entry-idle-timeout = 600
517
Registro
Stanza [logging] server-log = ruta_acceso_completa Ruta de acceso completa del archivo de registro de errores del servidor. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es log/webseald.log, que se encuentra dentro del directorio de instalacin de WebSEAL. Ejemplo en UNIX: server-log = /var/pdweb/log/msg__webseald.log max-size = nmero_bytes Valor entero que indica el lmite de tamao de los archivos de registro. Tambin se hace referencia al lmite de tamao como umbral de creacin. Cuando el archivo de registro alcanza este umbral, se cambia el nombre del archivo de registro original y se crea un nuevo archivo de registro con el nombre original. Cuando el valor es cero (0), no se crea ningn archivo de registro nuevo. Cuando el valor es un entero negativo, se crean nuevos registros diariamente, independientemente del tamao. Cuando el valor es un entero positivo, el valor indica el tamao mximo, en bytes, que debe tener el archivo de registro antes de crear uno nuevo. El intervalo permitido es de 1 byte a 2 megabytes. Un valor entero que indica el lmite de tamao de los archivos de registro. Este valor se aplica a los archivos de registro de solicitudes, referentes y agentes. Esta entrada de stanza es opcional. Valor predeterminado: 2000000 Ejemplo: max-size = 2000000 flush-time = nmero_segundos Valor entero que indica la frecuencia, en segundos, con la que se debe forzar un vaciado de los bferes de registro. El valor mnimo es 1 segundo. El valor mximo es 600 segundos. Esta entrada de stanza es opcional. Valor predeterminado: 20 Ejemplo: flush-time = 20 requests = {yes|no}
518
Habilita o inhabilita el registro de solicitudes. Se trata de un registro estndar de las solicitudes HTTP. El valor yes habilita el registro de solicitudes. El valor no inhabilita el registro de solicitudes. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: requests = yes Para obtener ms informacin, consulte el apartado Auditora heredada para HTTP en la pgina 119. requests-file = ruta_acceso_completa Ruta de acceso completa del archivo de registro de solicitudes. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es www-instancia/log/request.log, que se encuentra en el directorio de instalacin de WebSEAL. Ejemplo en UNIX: requests-file = /var/pdweb/www-web1/log/request.log referers = {yes|no} Habilita o inhabilita el registro de referentes. Este registro anota la cabecera Referer: de cada solicitud HTTP. El valor yes habilita el registro de referentes. El valor no inhabilita el registro de referentes. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: referers = yes Para obtener ms informacin, consulte el apartado Auditora heredada para HTTP en la pgina 119. referers-file = ruta_acceso_completa Ruta de acceso completa del archivo de registro de referentes. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es www-instancia/log/referer.log, que se encuentra en el directorio de instalacin de WebSEAL. Ejemplo: referers-file = /var/pdweb/www-web1/log/referer.log agents = {yes|no} Habilita o inhabilita el registro de agentes. Este registro anota el contenido de la cabecera User_Agent: de cada solicitud HTTP. El valor yes habilita el registro de agentes. El valor no inhabilita el registro de agentes. Esta entrada de stanza es obligatoria. Valor predeterminado: yes Ejemplo: agents = yes Para obtener ms informacin, consulte el apartado Auditora heredada para HTTP en la pgina 119. agents-file = ruta_acceso_completa
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL
519
Ruta de acceso completa del archivo de registro de agentes. Esta entrada de stanza es obligatoria. La ubicacin predeterminada es www-instancia/log/agent.log, que se encuentra en el directorio de instalacin de WebSEAL. Ejemplo: agents-file = /var/pdweb/www-web1/log/agent.log gmt-time = {yes|no} Habilita o inhabilita el registro de solicitudes utilizando GMT (Hora del meridiano de Greenwich) en lugar de la zona horaria local. Un valor de yes significa que se debe utilizar GMT. Un valor de no significa que se debe utilizar la zona horaria local. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: gmt-time = no
520
Auditora
Stanza [aznapi-configuration] logclientid = webseald Nombre del daemon de cuyas actividades se realiza una auditora mediante la utilizacin del registro de la API de autorizacin. Esta entrada de stanza es obligatoria. Valor predeterminado: webseald Ejemplo: logclientid = webseald logsize = nmero_bytes Valor entero que indica el lmite de tamao de los archivos de registro de auditora. Tambin se hace referencia al lmite de tamao como umbral de creacin. Cuando el archivo de registro de auditora alcanza este umbral, se cambia el nombre del archivo de registro de auditora original y se crea un nuevo archivo de registro con el nombre original. Cuando el valor es cero (0), no se crea ningn archivo de registro nuevo. Cuando el valor es un entero negativo, se crean nuevos registros diariamente, independientemente del tamao. Cuando el valor es un entero positivo, el valor indica el tamao mximo, en bytes, que debe tener el archivo de registro de auditora antes de crear uno nuevo. El intervalo permitido es de 1 byte a 2 megabytes. Esta entrada de stanza es opcional. Valor predeterminado: 2000000 Ejemplo: max-size = 2000000 logflush = nmero_segundos Valor entero que indica la frecuencia, en segundos, con la que se debe forzar un vaciado de los bferes de registro. El valor mnimo es 1 segundo. El valor mximo es 600 segundos. Esta entrada de stanza es opcional. Valor predeterminado: 20 Ejemplo: logflush = 20 logaudit = {yes|true|no|false} Habilita o inhabilita la auditora. Los valores yes o true habilitan la auditora. Los valores no o false inhabilitan la auditora. De forma predeterminada, si se ha habilitado la auditora a travs de esta clave y no se ha especificado ningn evento de auditora mediante auditcfg, se capturarn todos los eventos auditables. Esta entrada de stanza es obligatoria. Valor predeterminado: no Ejemplo: logaudit = no
521
auditlog = ruta_acceso_completa Ubicacin del archivo de seguimiento de auditora de WebSEAL. El valor de la ruta de acceso completa representa una cadena alfanumrica. Esta entrada de stanza es obligatoria cuando la auditora est habilitada. El valor predeterminado se establece durante la configuracin de WebSEAL mediante la adicin de log/aznapi_webseald.log en la ruta de acceso del directorio de instalacin de WebSEAL. Ejemplo en UNIX: auditlog = /var/pdweb/log/aznapi_webseald.log auditcfg = {azn|authn|http} Indica los componentes para los que se ha configurado la auditora de eventos. Para habilitar los registros de auditora especficos de un componente, agregue la definicin adecuada. Los valores vlidos son: azn Captura de los eventos de autorizacin. authn Captura de los eventos de autenticacin. http Captura los eventos HTTP. Se trata de los eventos registrados por los clientes de registro de solicitudes, referentes y agentes. Esta entrada de stanza es opcional para WebSEAL. Sin embargo, esta entrada de stanza es obligatoria cuando la auditora est habilitada (logaudit = yes). No existe ningn valor predeterminado para WebSEAL, ya que la auditora est inhabilitada de forma predeterminada. Cree una entrada de stanza separada para cada componente que desee activar. En el archivo de configuracin predeterminado se incluyen los componentes, pero estn marcadas como comentarios. Para activar una entrada con comentario, elimine el signo # del principio de la entrada. Ejemplo: auditcfg = azn #auditcfg = authn #auditcfg = http logcfg = categora:{stdout|stderr|file|pipe|remote}[ [parmetro=valor ] [,parmetro=valor]...]
522
Especifica el registro de eventos para la categora especificada. En WebSEAL, las categoras son: v azn Eventos de autorizacin. v authn Autenticacin de obtencin de credenciales. v http Toda la informacin de registro HTTP. v http.clf Informacin de solicitud HTTP en formato de registro comn. v http.ref Informacin de cabecera HTTP Referer. v http.agent Informacin de cabecera HTTP User_Agent. v http.cof Formato combinado NCSA que captura informacin de solicitud HTTP (con la marca de fecha y hora) y agrega las cadenas entre comillas de referente y agente al formato de registro comn estndar. El registro de eventos da soporte a una variedad de tipos de destinos de salida: {stdout|stderr|file|pipe|remote} Normalmente, la auditora de WebSEAL est configurada para utilizar el tipo file. Cada tipo de registro de eventos da soporte a una variedad de valores de parmetro = valor opcionales. Para obtener ms informacin sobre los tipos de destinos de salida y los valores de parmetro = valor opcionales, consulte la publicacin IBM Tivoli Access Manager Base Gua de administracin. Esta entrada de stanza es opcional. No existe ningn valor predeterminado. Entrada de ejemplo para request.log (formato de registro comn), introducida en una sola lnea: logcfg = http.clf:file path=archivo_solicitud, \ flush=tiempo, rollover=tamao_mx, \ log=clf,buffer_size=8192,queue_size=48 Para obtener ms informacin, consulte el apartado Captura y registro de eventos en la pgina 111.
523
524
policy-cache-size = tamao_cach El tamao mximo de la cach de polticas en memoria puede configurarse. La cach est formada por la poltica y por relaciones entre la poltica y los recursos. La informacin que indica que un recurso no tiene una poltica asociada directamente tambin se almacena en la cach. El tamao mximo de la cach debe ser relativo al nmero de objetos de poltica definidos, al nmero de recursos protegidos y a la memoria disponible. Un buen algoritmo para empezar es: (nmero de objetos de poltica * 3) + (nmero de recursos protegidos * 3) Este valor controla cunta informacin se almacena en la cach. Una cach de mayor tamao posiblemente mejorar el rendimiento de la aplicacin pero tambin supondr un uso adicional de memoria. El tamao se especifica como nmero de entradas. Esta entrada de stanza es opcional. Valor predeterminado: ninguno Ejemplo: policy-cache-size = 32768 azn-server-name = nombre_servidor_webseal Especifica el nombre de servidor WebSEAL que se debe utilizar para ponerse en contacto con Policy Server como un cliente de API de autorizacin. Esta entrada de stanza se establece durante la configuracin de WebSEAL y normalmente el administrador no debe cambiarla. Esta entrada de stanza es obligatoria. El valor predeterminado consiste en una combinacin de webseald y el nombre de host, separados por un guin (-): Ejemplo: azn-server-name = webseald-surf pd-user-name = identidad_servidor_webseal Identidad de Tivoli Access Manager del servidor WebSEAL. svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL y el administrador no debera cambiarla. Esta entrada de stanza es obligatoria. El valor predeterminado consiste en una combinacin de webseald y el nombre de host, separados por una barra inclinada (/): Ejemplo: pd-user-name = webseald/surf pd-user-pwd = contrasea Contrasea de la identidad del cliente de API de autorizacin. Esta identidad representa el daemon del servidor WebSEAL. svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL y el administrador no debera cambiarla. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado. Ejemplo: pd-user-pwd = ZsLuBKSo
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL
525
Servicios de titularidad
Stanza [aznapi-entitlement-services] service-id = nombre_base_biblioteca La API de autorizacin de Tivoli Access Manager proporciona una infraestructura para agregar servicios de titularidad al proceso de toma de decisiones de autorizacin. La API de autorizacin obtiene la informacin de los servicios de titularidad activos a travs de la lectura de las entradas de los archivos de stanza, como este, y de la lectura de las entradas de la stanza de inicializacin que se envan a la API al iniciarse. WebSEAL utiliza un servicio de titularidad incorporado que se proporciona en forma de biblioteca compartida. Esta entrada del archivo de configuracin proporciona un ID-servicio de AZN_ENT_EXT_ATR. Nota: La API de autorizacin utiliza el ID-servicio para denotar la presencia de un servicio que se debe cargar al inicializar la API. Para obtener ms informacin, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. Esta entrada del archivo de configuracin tambin especifica el nombre de la biblioteca compartida: azn_ent_ext_attr. El nombre de la biblioteca compartida azn_ent_ext_attr y su ubicacin dentro del sistema de archivos dependen de cada sistema operativo. Por ejemplo, en plataformas Windows, los nombres de las bibliotecas compartidas contienen el sufijo .dll. Sin embargo, el nombre base de la biblioteca es comn en todos los sistemas operativos. Este valor se especifica en nombre_base_biblioteca. WebSEAL lee el nombre_base_biblioteca y utiliza un algoritmo interno de bsqueda para encontrar la biblioteca compartida adecuada mediante la utilizacin de todos los prefijos, sufijos y ubicaciones de archivos conocidos. Esta entrada de stanza es obligatoria. El administrador no debera cambiar esta entrada. Para obtener ms informacin sobre los servicios de titularidad, consulte la publicacin IBM Tivoli Access Manager for e-business Authorization C API Developer Reference. WebSEAL contiene una entrada predeterminada para un servicio de titularidad: AZN_ENT_EXT_ATTR = azn_ent_ext_attr
526
Policy Server
v [policy-director] v [manager]
Stanza [policy-director] config-file = /opt/PolicyDirector/etc/pd.conf Nombre de ruta de acceso del archivo de configuracin de Tivoli Access Manager Policy Server para el dominio en el que est configurado el servidor WebSEAL. La configuracin de WebSEAL establece esta entrada de stanza y no se debera modificar. Esta entrada de stanza es obligatoria. El valor predeterminado de la ruta de acceso del archivo de configuracin se forma agregando etc/pd.conf en el directorio de instalacin de Tivoli Access Manager. Ejemplo en UNIX: config-file = /opt/PolicyDirector/etc/pd.conf
Stanza [manager] master-host = nombre_host_Policy_Server Nombre de host de Tivoli Access Manager Policy Server para el dominio al que pertenece este servidor WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado.svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL. Los administradores no deberan cambiar esta entrada de stanza. Ejemplo: master-host = server77 master-port = nmero_puerto Puerto TCP que el host de Policy Server utiliza para comunicarse con WebSEAL. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado.svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL. Los administradores no deberan cambiar esta entrada de stanza. Ejemplo: master-port = 7135 master-dn = DN_LDAP DN completo del daemon de Policy Server para este dominio seguro de Tivoli Access Manager. Esta entrada de stanza es obligatoria. No existe ningn valor predeterminado.svrsslcfg establece esta entrada de stanza durante la configuracin de WebSEAL. Los administradores no deberan cambiar esta entrada de stanza. Ejemplo: master-dn = CN=ivmgrd/master,O=Policy Director,C=US
527
Stanza [p3p-header] p3p-element = policyref=ubicacin_referencia_poltica Especifica los elementos que deben agregarse a la cabecera P3P adems de los elementos especificados por otros elementos de configuracin de esta stanza. Generalmente, esto se lleva a cabo haciendo referencia a la ubicacin de una poltica XML completa. La entrada predeterminada remite a una referencia de poltica predeterminada que se encuentra en el sitio web de World Wide Web Consortium. Esta entrada de stanza es obligatoria. El valor predeterminado es policyref="/w3c/p3p.xml". Ejemplo: p3p-element = policyref="/w3c/p3p.xml" access = {none|all|nonident|contact-and-other|ident-contact|other-ident}
528
Especifica el tipo de acceso que tiene el usuario a la informacin que contiene y con la que la cookie establece un vnculo. v none No se otorga acceso a los datos identificados. v all Se otorga acceso a todos los datos identificados. v contact-and-other Se otorga acceso a informacin en lnea y a informacin de contactos fsicos identificada, as como a otros datos identificados determinados. v ident-contact Se otorga acceso a informacin en lnea y a informacin de contactos fsicos identificada. Los usuarios, por ejemplo, pueden acceder a datos tales como una direccin postal. v nonident El sitio web no recopila los datos identificados. v other-ident Se otorga acceso a otros datos identificados determinados. Los usuarios, por ejemplo, pueden acceder a datos tales como sus cargos de cuenta en lnea. Esta entrada de stanza es obligatoria. El valor predeterminado es none. Ejemplo: access = none
529
categories = {physical|online|uniqueid|purchase|financial| computer|navigation|interactive|demographic| content|state|political|health|preference| location|government|other-category} Especifica el tipo de informacin que se almacena en la cookie o con la que la cookie establece un vnculo. Cuando la opcin non-identifiable se establece en yes, no es necesario configurar ninguna categora. Los valores posibles son: v physical Informacin que permite establecer contacto con un individuo o localizarlo en el mundo fsico. Por ejemplo, nmero de telfono o direccin. v online Informacin que permite establecer contacto con un individuo o localizarlo en Internet. v uniqueid Identificadores no financieros (excepto los identificadores emitidos por el gobierno) que se emiten para poder identificar o reconocer a un individuo de forma sistemtica. v purchase Informacin que se genera de forma activa al adquirir un producto o servicio, incluyendo informacin sobre el mtodo de pago. v financial Informacin sobre las finanzas de un individuo incluyendo el estado de las cuentas e informacin de la actividad, como el saldo de la cuenta, los pagos o el historial de descubiertos, e informacin sobre la adquisicin o el uso de instrumentos financieros por parte de un individuo, incluida informacin sobre la tarjeta de crdito o de dbito. v computer Informacin sobre el sistema informtico que el individuo utiliza para acceder a la red. Por ejemplo, nmero de IP, nombre del dominio, tipo de navegador o sistema operativo. v navigation Datos generados de forma pasiva al navegar por el sitio web. Por ejemplo, pginas visitadas y tiempo durante el que los usuarios permanecen en una pgina. v interactive Datos generados de forma activa a partir de interacciones explcitas, o que las reflejan, con un proveedor de servicio a travs de su sitio. Por ejemplo, consultas a un motor de bsquedas o registros sobre la actividad de las cuentas. v demographic Datos sobre las caractersticas de un individuo. Por ejemplo, sexo, edad e ingresos. v content Palabras y expresiones que contiene el cuerpo de una comunicacin. Por ejemplo, texto de un correo electrnico, destino de los tablones de anuncios o comunicaciones en salas de chat.
530
v state Mecanismos para mantener una sesin con informacin de estado con un usuario o para reconocer automticamente a los usuarios que han visitado un sitio determinado o que han accedido con anterioridad a un determinado contenido. Por ejemplo, cookies HTTP. v political Pertenencia a grupos o afiliacin a los mismos, tales como organizaciones religiosas, sindicatos, asociaciones profesionales y partidos polticos. v health Informacin sobre la salud fsica o mental de un individuo, orientacin sexual, uso o consulta o adquisicin de servicios o productos de salud. v preference Datos sobre aquello que gusta o no gusta a un individuo. Por ejemplo, color o estilos musicales favoritos. v location Informacin que puede utilizarse para identificar la ubicacin fsica actual de un individuo y realizar un seguimiento del individuo a medida que su ubicacin va cambiando. Por ejemplo, datos sobre la posicin del sistema GPS (Global Positioning System). v government Identificadores que emite un gobierno para poder identificar a un individuo de forma sistemtica. v other-category Otros tipos de datos no recogidos por las definiciones anteriores. Esta entrada de stanza es obligatoria. El valor predeterminado es uniqueid. Ejemplo: categories = uniqueid disputes = {yes|no} Especifica si la poltica P3P completa contiene informacin relacionada con las disputas sobre la informacin que contiene la cookie. El valor yes indica que la informacin sobre las disputas se encuentra la poltica P3P completa. El valor no indica que la poltica no contiene informacin sobre las disputas. Esta entrada de stanza es obligatoria. El valor predeterminado es no. Ejemplo: disputes = no
531
remedies = {correct|money|law} Especifica los tipos de remedio en caso de que se produzca una infraccin de una poltica. Cuando esta entrada no tiene ningn valor, la poltica compacta P3P no contiene informacin sobre remedios. v correct El servicio remediar los errores o las acciones improcedentes que surjan en relacin con la poltica de privacidad. v money Si el proveedor de servicios infringe su poltica de privacidad, deber pagar al individuo una cantidad especificada en la poltica de privacidad en formato legible por el usuario o el importe de los daos. v law Los remedios para las infracciones de la sentencia de poltica se determinarn en funcin de la ley a la que se haga referencia en la descripcin en formato legible por el usuario. Esta entrada de stanza es obligatoria. El valor predeterminado es correct. Ejemplo: remedies = correct non-identifiable = {yes|no} Especifica que la informacin de la cookie, o con la que la cookie establece un vnculo, no identifica de forma personal al usuario. v yes Los datos que se recopilan identifican al usuario. v no O bien no se recopilan datos (incluidos registros de la web) o bien la informacin que se recopila no identifica al usuario. Esta entrada de stanza es obligatoria. El valor predeterminado es no. Ejemplo: non-identifiable = no purpose = {current|admin|develop|tailoring|pseudo-analysis| pseudo-decision|individual-analysis|individual-decision| contact|historical|telemarketing|other-purpose} [:[opt-in|opt-out|always]]
532
Especifica la finalidad de la informacin de la cookie y de la informacin con la que la cookie establece un vnculo. v current El proveedor de servicios puede utilizar la informacin para completar la actividad para la que se ha proporcionado. v admin La informacin puede utilizarse para el soporte tcnico del sitio web y del sistema. v develop La informacin puede utilizarse para mejorar, evaluar o revisar de otro modo el sitio, el servicio, el producto o el mercado. v tailoring La informacin puede utilizarse para adaptar o modificar el contenido o el diseo del sitio en el que se utiliza la informacin solamente para una visita al sitio. v pseudo-analysis La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados (como el nombre, la direccin, el nmero de telfono o la direccin de correo electrnico) al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de llevar a cabo investigacin, anlisis e informes, pero no se utilizar para intentar identificar a individuos especficos. v pseudo-decision La informacin puede utilizarse para crear o construir un registro de un individuo o un sistema determinado que est vinculado con un identificador de pseudnimo, sin vincular datos identificados (como el nombre, la direccin, el nmero de telfono o la direccin de correo electrnico) al registro. Este perfil se utilizar para determinar los hbitos, los intereses u otras caractersticas de los individuos a fin de tomar decisiones que directamente afectan al individuo, pero no se utilizar para intentar identificar a individuos especficos. v individual-analysis La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de llevar a cabo investigacin, anlisis e informes. v individual-decision La informacin puede utilizarse para determinar los hbitos, los intereses u otras caractersticas de los individuos y combinarlos con datos identificados a fin de tomar una decisin que directamente afecta al individuo. v contact La informacin puede utilizarse para establecer contacto con un individuo, a travs de un canal de comunicaciones que no sea el telfono por voz, para promocionar un producto o un servicio. v historical La informacin puede archivarse o almacenarse con el objeto de mantener un historial social segn establezca una ley o una poltica. v telemarketing La informacin puede utilizarse para establecer contacto con un individuo a travs de una llamada de telfono por voz para promocionar un producto o un servicio. v other-purpose La informacin puede utilizarse de otras formas no recogidas por las definiciones anteriores.
Apndice A. Informacin de consulta del archivo de configuracin de WebSEAL
533
Para todos los valores, con la excepcin de current, puede especificarse una opcin adicional. Los valores posibles son: v always Los usuarios no pueden permitir (opt-in) ni denegar (opt-out) este uso de sus datos. v opt-in Los datos pueden utilizarse con esta finalidad slo si el usuario solicita afirmativamente este uso. v opt-out Los datos pueden utilizarse con esta finalidad a menos que el usuario solicite que no se utilicen de este modo. Si no se especifica ninguna opcin adicional, el valor predeterminado es always. Esta entrada de stanza es obligatoria. Los valores predeterminados son current y other-purpose:opt-in. Ejemplo: purpose = current purpose = other-purpose:opt-in recipient = {ours|delivery|same|unrelated|public|other-recipient} [:[opt-in|opt-out|always]]
534
Especifica los destinatarios de la informacin de la cookie y de la informacin con la que la cookie establece un vnculo. Los valores posibles son: v ours Nosotros mismos o entidades que actan como nuestros agentes, o entidades para las que nosotros actuamos como agente. Un agente es un tercero que procesa datos solamente en nombre del proveedor de servicios. v delivery Entidades legales que llevan a cabo servicios de entrega que pueden utilizar datos para otros objetivos que no sean la realizacin del objetivo indicado. v same Entidades legales que siguen nuestros procedimientos. Se trata de entidades legales que utilizan los datos en su propio nombre en procedimientos ecunimes. v unrelated Terceros no relacionados. Se trata de entidades legales cuyos procedimientos de uso de datos no conoce el proveedor de servicios original. v public Foros pblicos. Se trata de foros pblicos, tales como tablones de anuncios, directorios pblicos o directorios de CD-ROM comerciales. v other-recipient Entidades legales que siguen procedimientos distintos. Se trata de entidades legales que estn limitadas por el proveedor de servicios original y que son responsables ante ste, pero que pueden utilizar datos de una forma no especificada en los procedimientos del proveedor de servicios. Para todos los valores, puede especificarse una opcin adicional. Los valores posibles son: v always Los usuarios no pueden permitir (opt-in) ni denegar (opt-out) este uso de sus datos. v opt-in Los datos pueden utilizarse con esta finalidad slo si el usuario solicita afirmativamente este uso. v opt-out Los datos pueden utilizarse con esta finalidad a menos que el usuario solicite que no se utilicen de este modo. Si no se especifica ninguna opcin adicional, el valor predeterminado es always. Esta entrada de stanza es obligatoria. El valor predeterminado es ours. Ejemplo: recipient = ours recipient = public:opt-in retention = {no-retention|stated-purpose|legal-requirement| business-practices|indefinitely}
535
Especifica el tiempo durante el que se mantiene la informacin de la cookie y la informacin con la que la cookie establece un vnculo. Los valores posibles son: v no-retention La informacin slo se retiene durante el breve perodo de tiempo necesario para utilizarla durante el curso de una nica interaccin en lnea. v stated-purpose La informacin se retiene para cumplir la finalidad indicada y debe descartarse lo antes posible. v legal-requirement La informacin se retiene para cumplir la finalidad indicada pero el perodo de retencin es ms largo debido a un requisito o a una responsabilidad legal. v business-practices La informacin se retiene segn los procedimientos empresariales indicados por el proveedor de servicios. v indefinitely La informacin se retiene durante un perodo indeterminado de tiempo. Esta entrada de stanza es obligatoria. El valor predeterminado es no-retention. Ejemplo: retention = no-retention
536
Windows:
MSDOS> pdadmin pdadmin> login Escriba el ID de usuario: sec_master Escriba la contrasea: pdadmin>
Para crear uniones WebSEAL, utilice el comando pdadmin server task create:
pdadmin> server task nombre_servidor-nombre_host create opciones
Por ejemplo, si el nombre configurado de un nico servidor WebSEAL es default, el nombre_servidor es default-webseald seguido por -nombre_host. Por ejemplo, el nombre del servidor sera:
default-webseald-cruz.dallas.ibm.com
Si instala varias instancias de servidor WebSEAL en la misma mquina, el nombre_servidor-nombre_host es el nombre configurado de la instancia de servidor WebSEAL, seguido por webseald, seguido por el nombre de host:
nombre_instancia-webseald-nombre_host
Copyright IBM Corp. 1999, 2003
537
Por ejemplo, si los nombres configurados de dos instancias adicionales de WebSEAL son webseal2 y webseal3, las identificaciones de servidor aparecen como:
webseal2-webseald-cruz webseal3-webseald-cruz
Opciones obligatorias de comandos de unin: Las opciones de comando obligatorias necesarias para crear una unin WebSEAL bsica son: v Nombre de host del servidor de aplicaciones de fondo (opcin h) v Tipo de unin tcp, ssl, tcpproxy, sslproxy, local (opcin t) v Punto de unin (punto de montaje)
pdadmin> server task nombre_instancia-webseald-nombre_host create -t tipo -h nombre_host punto-unin
Comandos de unin
Los siguientes comandos de unin estn disponibles con pdadmin server task:
Comando create add remove Descripcin Crea una unin nueva para un servidor inicial. Agrega servidores adicionales a un punto de unin existente. Elimina un servidor de un punto de unin. Sintaxis: remove i id-servidor punto-unin Utilice el comando show para determinar el ID de un servidor concreto. delete Elimina el punto de unin. Sintaxis: delete punto-unin list Muestra una lista de todos los puntos de unin de este servidor. Sintaxis: list show Muestra los detalles de una unin. Sintaxis: show punto-unin jmt load jmt clear El comando jmt load proporciona a WebSEAL los datos de la tabla de correlaciones de uniones(jmt.conf) para gestionar el proceso de las direcciones URL relativas al servidor gestionadas dinmicamente. El comando jmt clear elimina los datos de la tabla de correlaciones de uniones WebSEAL. help Muestra una lista de los comandos de unin. Sintaxis: help help comando exit Muestra la ayuda detallada de un comando de unin especfico. Sale de la utilidad pdadmin. Sintaxis: exit
538
U nombre_usuario
W contrasea D DN
Opciones de unin de proxy (requiere t tcpproxy o t sslproxy) H nombre-host P puerto Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Especificacin de la informacin de cabecera de BA b valor-BA Define cmo el servidor WebSEAL transfiere la informacin de autenticacin BA HTTP al servidor de fondo. Puede ser: filter (valor predeterminado), ignore, supply, gso Opciones generales de unin TCP y SSL
539
c tipos-id
Inserta la identidad de cliente de Access Manager en las cabeceras HTTP a travs de la unin. El argumento id-types puede incluir cualquier combinacin de los tipos siguientes de cabecera HTTP de Access Manager: iv-user, iv-user-l, iv-groups, iv-creds, all. El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas. Proporciona la identificacin de unin en una cookie para gestionar direcciones URL relativas al servidor generadas por script. Enviar cookie de sesin al servidor de portal de fondo. Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para uniones TCP; 443 para uniones SSL. Ruta de acceso relativa para el script query_contents. De forma predeterminada, Access Manager busca query_contents en /cgi_bin/. Si este directorio es distinto o si el nombre del archivo query_contents es distinto, utilice esta opcin para indicar a WebSEAL la nueva direccin URL para el archivo. Es necesario para los servidores Windows de fondo. Insertar direccin IP entrante en la cabecera HTTP a travs de la unin. Permite que las solicitudes denegadas y la informacin de las causas de error de las reglas de autorizacin procedan a travs de la unin. Especifica que la unin debe dar soporte a aplicaciones con informacin de estado. De forma predeterminada, las uniones no tienen informacin de estado. Nombre de recurso o grupo de recursos de GSO. Obligatorio y utilizado slo con la opcin b gso. Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una unin con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con unin de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La solicitud de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las solicitudes destinadas a una configuracin de servidor de fondo como host virtual.
i j
k p puerto
q ubicacin
r R
v nombre-hostvirtual[:puerto]
w Imparcialidad de unin
540
Define el lmite dinmico de consumo de threads de trabajo. Define el lmite fijo de consumo de threads de trabajo.
Habilitar e inhabilitar las uniones LTPA. Ubicacin del archivo de claves utilizado para cifrar la cookie LTPA. Contrasea del archivo de claves
Uniones SSL de WebSEAL a WebSEAL C Autenticacin mutua entre un servidor WebSEAL frontal y un servidor WebSEAL de fondo a travs de SSL. Requiere el tipo t ssl o t sslproxy.
Inicio de sesin nico de formularios S archivo-config Ubicacin del archivo de configuracin de inicio de sesin nico de formularios.
Opciones de unin local (utilcelo con t local) d dir f Punto de unin Ubicacin en el espacio de nombres de WebSEAL para crear la unin. Directorio local de la unin. **Obligatorio.** Forzar la sustitucin de una unin existente.
Opciones de unin de proxy (obligatorio con t tcpproxy y t sslproxy) H nombre-host P puerto Nombre de host DNS o direccin IP del servidor proxy. Puerto TCP del servidor proxy.
Opciones generales de unin TCP y SSL i El servidor WebSEAL trata las direcciones URL como no sensibles a maysculas y minsculas.
541
p puerto
Puerto TCP del servidor de fondo de terceros. El valor predeterminado es 80 para uniones TCP; 443 para uniones SSL. Direccin URL relativa para el script query_contents. Access busca query_contents en /cgi_bin/. Si este directorio es distinto o si se ha cambiado el nombre del archivo query_contents, utilice esta opcin para indicar a WebSEAL la direccin URL nueva para el archivo. Especifica el UUID de un servidor de fondo conectado a WebSEAL a travs de una unin con informacin de estado (s). Nombre de host virtual representado en el servidor de fondo. Esta opcin da soporte a una configuracin de host virtual del servidor de fondo. Utilice v cuando el servidor con unin de fondo espera una cabecera de nombre de host porque se conecta a una instancia virtual de ese servidor. La solicitud de cabecera HTTP predeterminada del navegador no sabe que el servidor de fondo tiene varios nombres y varios servidores virtuales. Debe configurar WebSEAL para que proporcione esa informacin de cabecera adicional en las solicitudes destinadas a una configuracin de servidor de fondo como host virtual.
q url
u UUID
v nombre-host-virt
w Punto de unin
542
Apndice C. Avisos
Esta informacin se ha desarrollado para productos y servicios que se ofrecen en Estados Unidos. Es posible que en otros pases IBM no ofrezca los productos, los servicios o las caractersticas que se describen en este documento. Pngase en contacto con el representante local de IBM para obtener informacin sobre los productos y servicios disponibles actualmente en su rea. Las referencias a programas, productos o servicios de IBM no pretenden indicar ni implicar que slo puedan utilizarse los productos, programas o servicios de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y comprobar el funcionamiento de cualquier producto, programa o servicio que no sea de IBM. IBM puede tener patentes o solicitudes de patentes en trmite que afecten a los temas tratados en este documento. La posesin de este documento no confiere ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por escrito, a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 Estados Unidos Para consultas sobre licencias en las que se solicite informacin sobre el juego de caracteres de doble byte (DBCS), pngase en contacto con el departamento de propiedad intelectual de IBM de su pas o enve directamente las consultas por escrito a: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome Minato-ku Tokio 106 Japn El siguiente prrafo no se aplica al Reino Unido ni a ningn otro pas donde estas disposiciones sean incompatibles con la legislacin vigente: INTERNATIONAL BUSINESS MACHINES CORPORATION FACILITA ESTA PUBLICACIN TAL CUAL, SIN GARANTAS DE NINGN TIPO, NI EXPLCITAS NI IMPLCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTAS IMPLCITAS DE NO INFRACCIN, COMERCIALIZACIN O ADECUACIN A UN FIN CONCRETO. Algunos estados o pases no permiten la renuncia a las garantas explcitas o implcitas en ciertas transacciones; por tanto, es posible que esta declaracin no resulte aplicable a su caso. Este documento puede contener imprecisiones tcnicas o errores tipogrficos. Peridicamente se efectan cambios en la informacin aqu contenida; dichos cambios se incorporarn en nuevas ediciones de la publicacin. IBM se reserva el
543
derecho a realizar, si lo considera oportuno, cualquier modificacin en los productos o programas que se describen en esta informacin y sin notificarlo previamente. Las referencias en este documento a sitios web que no sean de IBM se proporcionan nicamente como ayuda y no se consideran en modo alguno sitios web aprobados por IBM. Los materiales de dichos sitios web no forman parte de este producto de IBM y la utilizacin de los mismos ser por cuenta y riesgo del usuario. IBM puede utilizar o distribuir la informacin que se le suministre de cualquier modo que considere adecuado sin incurrir por ello en ninguna obligacin con el remitente. Los titulares de licencias de este programa que deseen informacin sobre el mismo con el fin de permitir: (i) el intercambio de informacin entre programas creados independientemente y otros programas (incluido ste) y (ii) la utilizacin mutua de la informacin intercambiada, deben ponerse en contacto con: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 Estados Unidos Dicha informacin puede estar disponible, sujeta a los trminos y condiciones adecuados, incluido, en algunos casos, el pago de una tasa. El programa bajo licencia que se describe en este documento, y todos los materiales bajo licencia disponibles para el mismo, los proporciona IBM bajo los trminos del Acuerdo con el Cliente IBM, del Acuerdo Internacional de Licencias para Programas IBM o de cualquier acuerdo equivalente entre el cliente e IBM. Todos los datos de rendimiento contenidos en el presente documento se han determinado en un entorno controlado. Por consiguiente, los resultados obtenidos en otros entornos operativos pueden ofrecer variaciones importantes. Algunas mediciones se pueden haber realizado en sistemas de nivel de desarrollo, por lo que no existe ninguna garanta de que dichas mediciones sean iguales en los sistemas disponibles generalmente. Adems, alguna medicin se puede haber estimado mediante extrapolacin. Los resultados reales pueden variar. Los usuarios de este documento deben verificar los datos aplicables para su entorno especfico. La informacin relacionada con productos que no son de IBM se ha obtenido de los proveedores de dichos productos, sus anuncios publicados o de otras fuentes disponibles pblicamente. IBM no ha probado estos productos y no puede confirmar la precisin de su rendimiento, compatibilidad o cualquier otra reclamacin relacionada con los productos que no son de IBM. Las preguntas relacionadas con las posibilidades de los productos que no son de IBM se deben dirigir a los proveedores de dichos productos. Todas las declaraciones relacionadas con la orientacin o los propsitos futuros de IBM se pueden cambiar o retirar sin previo aviso y nicamente representan metas y objetivos. Esta informacin contiene ejemplos de datos e informes utilizados en operaciones empresariales diarias. Para ilustrarlos lo ms claramente posible, los ejemplos
544
incluyen nombres de individuos, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con los nombres y direcciones utilizados en empresas reales es coincidencia. LICENCIA DE COPYRIGHT: Esta informacin contiene programas de aplicacin de ejemplo en lenguaje fuente que ilustran tcnicas de programacin en diferentes plataformas operativas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con la interfaz de programacin de aplicaciones que corresponde a la plataforma operativa para la que se han escrito dichos programas de ejemplo. stos no han sido probados en su totalidad en todas las situaciones posibles. IBM, por tanto, no puede garantizar la fiabilidad, servicio o funcionalidad de estos programas. Puede copiar, modificar y distribuir estos programas de ejemplo en cualquier formato sin abonar ninguna cantidad a IBM con el propsito de desarrollo, uso, comercializacin o distribucin de dichos programas de aplicacin en conformidad con las interfaces de programacin de aplicaciones de IBM. Cada copia o cualquier fragmento de estos programas de ejemplo o cualquier trabajo que derive de ellos debe incluir un aviso de copyright como el siguiente: (el nombre de su empresa) (ao). Partes de este cdigo se derivan de Programas de ejemplo de IBM Corp. Copyright IBM Corp. _escriba el ao o los aos_. Reservados todos los derechos.
Marcas registradas
Los siguientes trminos son marcas registradas de International Business Machines Corporation en Estados Unidos, en otros pases o en ambos: AIX DB2 IBM Logotipo de IBM SecureWay Tivoli Logotipo de Tivoli WebSphere Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos o en otros pases. Java y todos los logotipos y marcas registradas basados en Java son marcas registradas de Sun Microsystems, Inc. en Estados Unidos y en otros pases. UNIX es una marca registrada de The Open Group en Estados Unidos y en otros pases. Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicio de terceros.
Apndice C. Avisos
545
546
ndice A
accept-client-certs 167, 171, 457 access, p3p 528 account-expiry-notification 158, 490 account-locked 98, 488 acct_locked.html 99 ACL 4 ACL, polticas caracteres vlidos para nombres de ACL 125 definicin 4 especficas de WebSEAL 124 explcita 5 heredada 5 acnt-mgt, stanza 235 actualizaciones y sondeo de la base de datos de autorizaciones 42 actualizar utf-8, problemas 52 ad-server-config 439 ADI 393 ADI, recuperacin 393 ADI de la solicitud de cliente de WebSEAL 395 aznapi-configuration, stanza 396 configurar la recuperacin de ADI dinmica 401 desplegar el servicio de recuperacin de atributos 402 especificar causas de error en las conexiones 400 recuperar ADI de la cabecera de la solicitud 396 recuperar ADI de la cadena de consulta de la solicitud 397 recuperar ADI de la credencial de usuario 399 recuperar ADI del cuerpo POST de la solicitud 397 resource-manager-provided-adi 396 visin general 394 agent.log 119 ejemplo 122 formato de registro de eventos 114 agentes proxy multiplexor (autenticacin) 203 agents 119, 519 agents-file 119, 519 agrupacin de eventos http 114 http.agent 114 http.clf 114 http.cof 114 http.ref 114 agrupacin de eventos http 114 almacenamiento en la cach de solicitudes 221 almacenamiento en la cach de solicitudes del servidor 221 almacenamiento en la cach de solicitudes POST 221 allow-backend-domain-cookies 342, 484 amwebars, stanza 402 amwebars.conf 404 amwebbackup.lst 103 amwebcfg archivo de respuestas 23 amwebcfg, sintaxis 22 AMWS_hd_ prefix 395 AMWS_pb_ prefix 395 AMWS_qs_ prefix 395 aplicador de polticas 6 archivo de configuracin para cada instancia 21 archivo de direccionamiento 108 archivo de respuestas 23 archivos de seguimiento de auditora 111 archivos locales archivos de UNIX ejecutables 85 argument-stanza 364 atributos ampliados credenciales 238 document-cache-control (POP) 87 HTTP-Tag-Value, unin 381 reauth (POP) 227 auditcfg 119, 522 auditlog 119, 522 auditora 111 autenticacin acceso autenticado a los recursos 10 acceso no autenticado a los recursos 10 agentes proxy multiplexor (MPA) 203 autenticacin bsica 160 biblioteca de conversin 156 cabecera HTTP 172 cambio de usuario 208 CDSSO 272 certificado 164 configuracin de varios mtodos de autenticacin configuracin predeterminada 156 direccin IP 175 e-community 283 formularios 162 inicio de sesin nico con formularios 361 mtodos soportados 144 objetivos 9 parmetros locales 155 reautenticacin 226, 230 redireccin automtica 235 redireccin forzada 235 registros de eventos 115 seal 176 solicitud de inicio de sesin 157 tipos de datos de sesin soportados 144 visin general 8 visin general de la configuracin 155 visin general del proceso 144 autenticacin bsica configuracin 160 autenticacin de CDSSO 272 autenticacin de certificado 164 con demora 170 modalidad con demora 164 modalidad opcional 164 pasos de configuracin 167 autenticacin de direcciones IP 175 autenticacin de e-community 283 caractersticas 284 cifrado de la seal de garantizacin 295 claves de dominio 295 condiciones y requisitos 290 configuracin 292 cookie de e-community 289
157
547
autenticacin de e-community (continuacin) flujo de proceso 285 seal de garantizacin 290 solicitud y respuesta de garantizacin 289 autenticacin de formularios 162 solucin de inicio de sesin nico 361 autenticacin de migracin tras error actualizar 190 dominio 189 pasos de configuracin 191 visin general 183 autenticacin de seal 176 intensidad de contraseas 179 SecurID 176 autenticacin incremental 132 autenticacin Kerberos 202, 260 autenticacin MPA 203 auth-headers, stanza 458 auth-using-compare 437 authentication_level 513 AUTHENTICATION_LEVEL 195 authentication-levels, stanza 134, 459 authentication-mechanisms, stanza 212 authtoken-lifetime 278, 472 azn_ent_amwebars, biblioteca 402 azn-entitlements-services, stanza 402 azn-server-name 525 aznapi-configuration, stanza 396, 402 aznapi-entitlement-services, stanza 526
B
ba-auth 160, 455 backicon 84, 495 base-crypto-library 34, 451 basic-auth-realm 160, 455 basicauth-dummy-passwd 351, 503 BHAPI 33 biblioteca CDMF 272 biblioteca compartida libfailoverauthn bind-dn ldap 433 bind-id Active Directory 440 bind-pwd Active Directory 441 ldap 433 BSAFE (RSA) 33
193
C
cabecera 173 cabecera HOST, mejores prcticas para conexiones 376 cabecera HTTP accept-charset 60 accept-language 59 lmite de tamao 333 PD-USER-SESSION-ID 381 cabecera HTTP accept-language 59 cabecera PD_PORTAL 378 cabecera set-cookie gestin del atributo de dominio 342 modificacin de atributo de ruta de acceso en uniones -j 327 modificacin del atributo de nombre en las uniones -j 328 cabecera set-cookie, gestionada por uniones -j 327
cach GSKit (SSL) 146 WebSEAL, credenciales 146 cach CRL, configuracin 258 gsk-crl-cache-entry-lifetime 258 gsk-crl-cache-size 258 cach de credenciales 146 configuracin 147 mximo de entradas 148 tiempo de espera de duracin 148 tiempo de espera de inactividad 148 visin general y estructura 11 cach de documentos 85 document-cache-control POP 87 vaciado de cachs 86 cach de GSO, configurar 356 cach de ID de SSL de certificado 170 inhabilitar 171 cach de LTPA, configurar 359 cach de sesin configuracin 147 GSKit (SSL) 146 tiempo de espera de duracin 148 tiempo de espera de inactividad 148 visin general y estructura 11 WebSEAL, credenciales 146 cach de sesin/credenciales de WebSEAL visin general y estructura 11 cache-enabled 434 cache-group-expire-time 435 cache-group-membership 435 cache-group-size 434 cache-policy-expire-time 435 cache-policy-size 434 cache-refresh-interval 43, 524 cache-use-user-cache 435 cache-user-expire-time 434 cache-user-size 434 caducidad de cuenta 158 calidad de proteccin hosts 41 nivel predeterminado 40 POP, poltica 141 redes 41 cambio de usuario 208 biblioteca compartida incorporada 211 biblioteca compartida personalizada 218 exclusin de usuarios 210 habilitacin 210 mecanismo de autenticacin 211 mtodos de autenticacin vlidos 215 securitygroup 210 su-admin, atributo ampliado 218 su-admins, grupo 208, 210 su-excluded, grupo 210 utilizacin 216 cambio posterior a la contrasea 159 categories, p3p 530 causa del error 400 cdsso-argument 278, 472 cdsso-auth 276, 472 cdsso-create 276, 472 cdsso-incoming-attributes, stanza 474 cdsso_key_gen 194, 277, 295 cdsso-peers, stanza 277, 473 cdsso-token-attributes, stanza 473 cert-cache-max-entries 170, 457
548
cert-cache-timeout 170, 457 cert-failure 98, 169, 490 cert-ldap 461 cert-ssl 168, 461 cert-stepup-http 171, 490 certfailure.html 99 certificado del servidor WebSEAL 37 certificados gestin 254 GSKit 254 iKeyman 254 prompt_as_needed 167 tipos de archivos de base de datos de claves 254 certificados de cliente visin general 164 certificate-login 169, 489 cgi-environment-variables, stanza 373 cgi-timeout 32, 493 client-connect-timeout 31, 424 client-notify-tod 96, 490 codificacin, caracteres no vlidos (en cadena de consulta URL) 61 codificacin de caracteres (cadena de consulta URL), no vlidos 61 compatibilidad con versiones anteriores autenticacin de migracin tras error 190 autenticacin de seal 181 cookies de migracin tras error 190 pginas de error 96 compresin datos HTTP 89 compresin de datos gzip 89 HTTP 89 POP, poltica 91 tipo de agente de usuario 90 compress-mime-types, stanza 89, 498 compress-user-agents, stanza 90, 498 comprobacin de CRL, configuracin 257 conectividad SSL 31 conectividad TLS 31 conexiones escalabilidad 13 especificar causa de error (-R) 400 HTTP-Tag-Value, atributo 381 mejores prcticas 376 mejores prcticas de cabecera HOST (-v) 376 nombre de host virtual (-v) 376 visin general 11 config-file, Policy Server 527 configuracin de hardware criptogrfico aceleracin SSL 33 almacenamiento de claves seguras 33 BHAPI 33 IBM 4758 33 IBM 4960 33 nCipher nForce 300 33 PKCS#11 33 pkcs11driver-path 38 pkcs11token-label 38 pkcs11token-pwd 38 Rainbow CryptoSwift 33 seal 35 webseal-cert-keyfile-label 38 configuracin de WebSEAL amwebcfg 22 lnea de comandos 22
configuracin interactiva 21 configuracin SSL WebSEAL a LDAP 18 content-cache, stanza 497 content-encodings, stanza 500 content-index-icons, stanza 495 Content-Length, cabecera 322 content-mime-types, stanza 499 cookie, nombre 511 cookie de e-community 289 cookie de migracin tras error adicin de datos 186 agregar nivel de autenticacin 195 atributos ampliados 197 extraccin de datos 188 marca de fecha y hora de duracin de la sesin 186 cookie de unin, evitar conflictos de denominacin 317 cookies conservar nombres de cookies de aplicacin 329 cookie de unin, evitar conflictos de denominacin 317 dominio 342 hostname-junction-cookie, parmetro 317 preserve-cookie-names, stanza 329 sesin 149, 333 unin (IV_JCT) 324 cookies de dominio 342 cookies de migracin tras error cifrado/descifrado de datos de cookie 194 codificacin utf8 195 configuracin 183 configuracin de la duracin de cookie 194 habilitacin 193 habilitar cookies de dominio 199 marca de fecha y hora de duracin de la sesin 195 utf8, compatibilidad con versiones anteriores 195 cookies de sesin 149 habilitacin 151 cookies de unin 324 copia de seguridad 103 cred-attribute-entitlement-services 239 cred-ext-attrs 462 credenciales atributos ampliados (indicador/valor) 238, 381 insercin de ID de sesin de usuario en cabecera HTTP 381 visin general 11 credential-refresh-attributes, stanza 247, 513 crl-ldap-server 257, 449, 504 crl-ldap-server-port 257, 449, 504 crl-ldap-user 257, 449, 504 crl-ldap-user-password 257, 450, 505
CH
chunk-responses 425
D
datos cifrados lista de soportados 41 datos de auditora utf8 117 datos de LDAP en cabeceras HTTP datos de registro codificacin utf8 122
238
ndice
549
datos de WebSEAL realizar copia de seguridad 103 restaurar 103 db-file 42, 524 decode-query 61, 427 default-policy-override-support 437 deftype 499 delete-trash-dir 486 detencin de WebSEAL 80 determinacin de problemas estadsticas 105 rastreo 105 direcciones URL dinmicas actualizar, dynurl update 386 colocar limitaciones en solicitudes POST 387 correlacionar objetos ACL 384 dynurl-allow-large-posts 388 dynurl-map 385 ejemplo 390 mtodos GET y POST 387 proporcionar control de acceso 384 request-body-max-read 387 resolver 386 resumen y notas tcnicas 388 visin general 384 directorio raz de documentos 19 cambiar ubicacin 83 directory-index 83, 486 diricon 84, 495 disable-ncipher-bsafe 35, 39, 450 disable-rainbow-bsafe 35, 451 disable-ssl-v2 31, 447, 505 para uniones 310 disable-ssl-v3 31, 447, 505 para uniones 310 disable-tls-v1 31, 447, 505 para uniones 310 disputes, p3p 531 dnforpd 441 doc-root 20, 82, 486 document-cache-control, atributo ampliado de POP domain, Active Directory 440 domino-server-config 442 double-byte-encoding 429 dynamic-adi-entitlements-services 402 dynurl-allow-large-posts 388, 427 dynurl.conf 384 dynurl-map 385, 426 dynurl update 386
error.log 108 escalabilidad 13 servidores de fondo replicados 14 servidores frontales replicados 14 escucha de notificaciones de actualizaciones 42 espacio de objetos protegidos 3 objeto protegido 3 objetos de gestin 3 objetos definidos por el usuario 3 objetos web 3 recurso del sistema 3 server-name WebSEAL 82 estado de la sesin configuracin de cach de credenciales de WebSEAL 147 configuracin de cach de ID de sesin SSL de GSKit 147 cookies de migracin tras error 183 cookies de sesin 149 entre cliente y de fondo 380 gestin 146 gestin de ID de sesin de usuario 380 habilitar cookies de sesin 151 terminar sesin de usuario nica 382 terminar todas las sesiones de usuario 383 tipos de datos de ID de sesin vlidos 153 evaluador de reglas de autorizacin 394 expresiones regulares lista de 366 para direcciones URL dinmicas 385 para inicio de sesin nico con formularios 366
F
failover-add-attributes, stanza 469 failover-auth 467 failover-cdsso 193, 464 failover-certificate 193, 464 failover-cookie-lifetime 194, 467 failover-cookies-keyfile 194, 467 failover-http-request 193, 464 failover-kerberosv5 464 failover-password 184, 193, 463 failover-require-activity-timestamp-validation 200, 469 failover-require-lifetime-timestamp-validation 199, 468 failover-restore-attributes, stanza 198, 470 failover-token-card 193, 464 failover-update-cookie 196, 468 fatal.log 108 filter-content-types, stanza 87, 510 filter-events, stanza 507 filter-request-headers, stanza 510 filter-schemes, stanza 88, 509 filtrado Content-Length, cabecera X-Old-Content-Length 322 direcciones URL absolutas 320 direcciones URL relativas al servidor 320 documentos estticos 320 especificacin de tipos MIME de documentos 87 filtrado de direcciones URL absolutas con filtrado de scripts 321 mejores prcticas para las direcciones URL absolutas 376 proceso de direcciones URL en las solicitudes 323 reglas de filtrado de direcciones URL estndar para WebSEAL 320 text/html 320 text/vnd.wap.wml 320
87
E
e-community-domain-keys, stanza 295 e-community-name 294, 475 e-community-sso-auth 293, 475 ec-cookie-lifetime 298, 477 ecsso acceso no autenticado 298 utf8 299 ecsso-allow-unauth 298, 477 ecsso-incoming-attributes, stanza 478 ecsso-token-attributes, stanza 478 enable-failover-cookie-for-domain 199, 468 entrust-client 173 ENV 493 Eracom 33 error-dir 96, 487
550
filtrado de direcciones URL Content-Length, cabecera 322 filtrado de scripts para direcciones URL absolutas 321 proceso de direcciones URL en las solicitudes 323 reglas de filtrado estndar 320 filtrado de las direcciones URL, mejores prcticas 376 filtrado de scripts (direcciones URL absolutas) rewrite-absolute-with-absolute, parmetro 322 script-filter, parmetro 321 stanza script-filtering 321 fin de sesin 158 fips-mode-processing 35, 451 flush-time 121, 518 fondo, soporte para aplicaciones de 375 formato combinado NCSA 114 formato de registro comn (request.log) 121 formato de registro HTTP comn 121 forms-auth 162, 455 forms-sso-login-pages, stanza 364 fsso.conf.template 364
G
gestin de claves configurar la cach de CRL 258 configurar la comprobacin de CRL 257 configurar los parmetros de la base de datos de claves de WebSEAL 255 gestin de certificados de cliente 254 gestin de certificados de servidor 254 iKeyman, utilidad 257 tipos de archivos de base de datos de claves 254 visin general de los parmetros de WebSEAL 253 gestin de ID de sesin 380 gestin de ID de sesin de usuario 380 tagvalue_user_session_id 380 user-session-ids 380 gestor de recursos 6 GET, mtodo 387 global sign-on (GSO) 354 gmt-time 120, 520 gsk-crl-cache-entry-lifetime 258, 449 gsk-crl-cache-size 258, 448 GSKit 254 cach CRL 258 tipos de archivos 254 GSKit (SSL), cach de sesin de 146 configuracin 147 GSO 354 configuracin de la cach de GSO 356 gso-cache-enabled 356, 514 gso-cache-entry-idle-timeout 356, 514 gso-cache-entry-lifetime 514 gso-cache-lifetime 356 gso-cache-size 356, 514 gso-resource 364 gzip 89
HTTP compresin de datos 89 HTTP, autenticacin de cabeceras 172 HTTP, mensajes de error 93 soporte para macros 95 HTTP, registro habilitar e inhabilitar 120 utilizacin del registro de eventos 113 valor predeterminado 119 HTTP/1.1, respuestas 342 http.agent, agrupacin de eventos 114 http.clf, agrupacin de eventos 114 http.cof, agrupacin de eventos (NCSA) 114 http-headers-auth 172, 458 HTTP_IV_CREDS 331, 372, 375 HTTP_IV_GROUPS 331, 372, 375 HTTP_IV_REMOTE_ADDRESS 332 HTTP_IV_USER 331, 372, 375 http-method-trace-enabled 76, 430 http-method-trace-enabled-remote 76, 430 HTTP_PD_USER_SESSION_ID 243 HTTP_PD-USER-SESSION-ID 382 http-port 29, 425 http.ref, agrupacin de eventos 114 http-request 173, 462 HTTP-Tag-Value, atributo de unin 242, 381 http-timeout 502 http-timeout (uniones) 32 httpauthn 173 https 30, 425 https-port 31, 425 https-timeout 502 https-timeout (uniones) 32
I
IBM 4758 33 IBM 4960 33 ICC 34 iconos de ndice de directorios 84 ID de sesin SSL 151 inhabilitar 169 identidad de servidor (HTTP), supresin 76 identidad de servidor HTTP, supresin 76 identidad de usuario match with step-up 140 iKeyman 256 certificado de prueba de WebSEAL 29 configuracin de hardware criptogrfico 36 SSL, uniones de tipo 310 uniones SSL autenticadas mutuamente 312 visin general 257 ikmuser.properties 36 ikmuser.sample 36 illegal-url-substrings, stanza 62 imparcialidad de uniones 45 inactive-timeout 148, 482 informacin de consulta del servicio de recuperacin de atributos 403 informacin de decisiones de autorizacin (ADI) 393 inicio de sesin condiciones de solicitud 157 inicio de sesin entre dominios CDSSO 272 e-community 283 inicio de sesin nico -b filter 352 ndice
H
help 98, 489 help.html 99 hostname, Active Directory 439 hostname-junction-cookie 317, 511 HTML, pginas personalizadas 98 http 29, 425
551
inicio de sesin nico (continuacin) -b gso 353 -b ignore 352 -b supply 351 autenticacin de formularios 361 CDSSO 272 conceptos 350 configuracin de la cach de GSO 356 e-community 283 especificar identidad del cliente en cabeceras de BA global sign-on (GSO) 354 LTPA (WebSphere) 358 inicio de sesin nico del escritorio de Windows 260 pasos de configuracin 263 inicio de WebSEAL 80 instancia de servidor agregar nueva 25 caracteres vlidos para el nombre 16 interfaz de red lgica 17 nombre de host 16 instancia de servidor, configuracin 16 instancia de servidor, eliminar 27 intensidad de contraseas autenticacin de seal 181 interfaz de red lgica 17 io-buffer-size 504 ipaddr-auth 175, 458 ipauth 137 is-master-authn-server 296, 475 iv-creds 331, 375 iv-groups 331, 375 IV_JCT (cookie de unin) 324 iv-remote-address 332 iv-user 331, 375
350
login 98, 488 login-form-action 364 login.html 99, 163, 234 login-page 364 login-page-stanza 364 login-redirect-page 235, 492 login-success 98, 488 login_success.html 99 logout 98, 488 logout.html 99 logsize 119, 521 Lotus Domino hostname 442 keyfile 443 KeyFile_DN 443 KeyFile_PW 443 LDAPPort 443 NAB 444 password 444 PDM 444 server 442 UseSSL 443 LTPA (WebSphere) 358 configuracin de la cach de LTPA 359 configuracin de la unin 358 ltpa-cache-enabled 359, 516 ltpa-cache-entry-idle-timeout 359, 516 ltpa-cache-entry-lifetime 359, 516 ltpa-cache-size 359, 516
M
macro USERNAME, para formularios de reautenticacin master-authn-server 297, 475 master-dn 527 master-host, policy server 527 master-http-port 297, 475 master-https-port 297, 476 master-port 527 max-client-read 223, 426 max-entries 148, 482 max-size 120, 518 max-webseal-header-size 333, 504 mejores prcticas filtrado de las direcciones URL absolutas 376 informacin de cabecera HOST (-v) 376 mensajes 108 archivo de direccionamiento 108 error.log 108 fatal.log 108 notice.log 108 warning.log 108 mensajes de error HTTP 93 servicios 108 soporte para macros para HTTP 95 mensajes de servicios 108 archivo de direccionamiento 108 error.log 108 fatal.log 108 notice.log 108 warning.log 108 mtodos de autenticacin, resumen 144 mgt-pages-root 98, 488 mkkrb5clnt 267 Modalidad FIPS 34 modalidad PIN 176 234
J
jmt.conf 325 jmt load 325 jmt-map 325, 502 junction, stanza 45 junction-db 304, 502
K
kerberosv5 269, 462 kinit 269 ktpass 264
L
lcp_bin 58 lcp_uri 58 ldap-server-config 432 ldapauthn 160, 162 libhttpauthn 173 libldapauthn 160, 162 libsslauthn 168 libsuauthn 211 libtokenauthn 180 lista de control de accesos (ACL) listen-flags 42, 524 logaudit 119, 521 logcfg 112, 113, 522 logclientid 521 logflush 119, 521
552
mode 524 mpa 205, 459 msg_webseald.log 108 multi-domain Active Directory 439 mltiples instancias de WebSEAL sintaxis en comandos pdadmin
308, 537
N
nCipher nForce 300 33 net, comando (Windows) 80 next-token 98, 489 nexttoken.html 99 nivel de autenticacin 459 niveles de autenticacin 134 nombre, cookie 511 nombre de instancia 16 nombre de instancia de servidor 16 nombres de cookie, conservar entre uniones -j non-identifiable, p3p 532 notice.log 108
329
O
objeto protegido 3 objetos de gestin 3 objetos definidos por el usuario objetos web 3 3
P
p3p access 69 categories 69 configuracin 68 conservacin de la cabecera 67 declaracin de poltica 66 disputes 70 non-identifiable 71 poltica, visin general 65 poltica compacta completa 74 poltica compacta personalizada 74 poltica predeterminada 67 purpose 71 recipient 72 remedies 70 retention 73 p3p-element 528 pgina de error inicio de sesin de certificado 169 pginas de error HTTP crear nuevas 95 hora del da 96 ubicacin 96 pginas de gestin de cuentas 98 pginas de gestin de cuentas HTML soporte para macros 99 parmetros de tiempo de espera HTTP y HTTPS 31 SSL de GSKit cach de sesin de 147 WebSEAL, cach de credenciales/sesin de passwd-cdas 461 passwd-change 98, 488 passwd-change-failure 98, 489 passwd-change-success 98, 489
147
passwd_exp.html 99 passwd-expired 98, 488 passwd.html 99 passwd-ldap 160, 162, 461 passwd_rep.html 99 passwd-strength 181, 462 passwd-uraf 461 pd-user-name 525 pd-user-pwd 525 PD-USER-SESSION-ID HTTP, cabecera 381 pdadmin server task terminate all_sessions 383 pdbackup 103 pdbackup, extraccin de datos archivados 104 pdbackup, restaurar 104 pdconfig configuracin de WebSEAL 21 pdweb 80 pdweb, comando 80 pdweb_start 80 persistent-con-timeout 31, 424 ping-time 502 ping-time (uniones) 32 PKCS#11 33 pkcs11-driver-path 38, 450 pkcs11driver-path 38 pkcs11token-label 38 pkcs11token-pwd 38 pkcs11-token-label 38, 450 pkcs11-token-pwd 38, 450 pkmscdsso 279 pkmslogout 158 pkmspasswd 159, 237 pkmsvouchfor 289, 297 policy-cache-size 525 poltica de ACL default-webseal 125 poltica de ACL explcita 5 poltica de ACL heredada 5 poltica de inicio de sesin en tres intentos 126 poltica de intensidad de autenticacin 132 poltica de intensidad de contraseas 129 poltica de pdadmin disable-time-interval 126 max-login-failures 126 max-password-repeated-chars 129 min-password-alphas 129 min-password-length 129 min-password-non-alphas 129 password-spaces 129 poltica de seguridad identificacin de tipos de contenido 8 niveles de proteccin 8 planificacin e implementacin 7 polticas de objetos protegidos 4 POP 4 definicin 4 document-cache-control, atributo ampliado 87 intensidad de autenticacin (incremental) 132 reauth, atributo ampliado 227 POP, poltica calidad de proteccin 141 portal-map, stanza 378 POST, mtodo 387 configuracin de limitaciones 387 post-pwd-change 237 post-pwdchg-process 464 pre-410-compatible-tokens 200, 280, 299 ndice
553
pre-410compatible-tokens 429 pre-510-compatible-tokens 201, 280, 299 pre-510compatible-tokens 430 prefer-readwrite-server 435 preserve-base-href 76, 430 preserve-cookie-names, stanza 329, 511 preserve-p3p-policy 67, 528 proceso posterior al cambio de contrasea 237 process-root-filter, stanza 431 process-root-requests 431 programacin de CGI soporte 372 soporte para variables de entorno WIN32 373 prompt_as_needed autenticacin de certificado 167 publicaciones relacionadas xxi puerto de escucha 17 purpose, p3p 532
Q
query_contents 344 instalar 344 personalizar 346 proteger 347 query_contents.c 344 query_contents.cfg 344 query_contents.exe 344 query_contents.html 344 query_contents.sh 344
registro de eventos (continuacin) logcfg 112 remedies, p3p 532 REMOTE_USER 372 renovar credenciales conservar y renovar 247 pasos de configuracin 249 sintaxis de configuracin 247 usuario especfico 250 visin general 244 replicar servidores WebSEAL frontales 64 request-body-max-read 223, 387, 426 request.log 119 ejemplo 121 formato de registro de eventos 114 request-max-cache 224, 426 requests 119, 518 requests-file 119, 519 resend-webseal-cookies 151, 484 resource-manager-provided-adi 396 restauracin 103 retention, p3p 535 rewrite-absolute-with-absolute 322, 511 RSA 34
S
salida del registro de eventos HTTP 114 script-filter 321, 511 scripts entre sitios illegal-url-substrings, stanza 62 prevencin de vulnerabilidad 62 SecurID 176 SecurID (RSA) 176 SecurID RSA Linux para zSeries 179 SecurID RSA, cliente 176 securitygroup 210 seal 35 server-log 518 server-name 64, 82, 249, 423, 513 server-root 215, 423 service-url 402 servicio de autorizaciones 6 servicio de personalizacin configuracin de WebSEAL 378 ejemplo 379 visin general 378 servicio de recuperacin de atributos 401, 402 servicio de titularidad de atributos de registro 238 servidor WebSEAL detener 80 iniciar 80 mostrar estado 81 reiniciar 81 servidores WebSEAL frontales replicar 64 session-activity-timestamp 196, 470 session-lifetime-timestamp 195, 469 solicitud de inicio de sesin condiciones 157 solicitud y respuesta de garantizacin 289 sondeo 42 sondeo de la base de datos de autorizaciones 43 soporte para aplicaciones de fondo 375 soporte para aplicaciones del servidor 375
R
Rainbow CryptoSwift 33 reautenticacin basada en inactividad de sesin 230 evitar eliminacin de entradas de la cach de sesin 233 personalizacin de formularios de inicio de sesin 234 poltica basada en la seguridad (POP) 226 reauth, atributo ampliado de POP 227 reauth-extend-lifetime 228, 232, 233 reauth-for-inactive, parmetro 231 reauth-reset-lifetime 228, 232, 233 reauth, atributo ampliado de POP 227 reauth-extend-lifetime 228, 232, 466 reauth-for-inactive 231, 233, 466 reauth-reset-lifetime 228, 232, 466 recipient, p3p 534 recuperacin de ADI dinmica 401 desplegar el servicio de recuperacin de atributos 402 recurso del sistema 3 redireccin, a pgina de presentacin 235 redireccin automtica, a pgina de presentacin 235 redireccin forzada, a pgina de presentacin 235 redirect 492 referer.log 119 ejemplo 122 formato de registro de eventos 114 referers 119, 519 referers-file 119, 519 registro HTTP (registro de eventos) 113 HTTP predeterminado 119 registro de eventos autenticacin 115 HTTP, registro 113
554
soporte para macros HTTP, mensajes de error 95 pginas de gestin de cuentas HTML 99 USERNAME, para formularios de reautenticacin soporte para varios idiomas 59 SPNEGO 202 autenticacin, compatibilidad 262 kinit 269 pasos de configuracin 263 plataformas soportadas 261 visin general 260 spnego, stanza 269 spnego-auth 269, 455 spnego-krb-keytab-file 456 spnego-krb-service-name 456 ssl-authn-type 452 ssl-auto-refresh 451 ssl-enabled ldap 436 ssl-id-sessions 150, 151, 169, 483 ssl-keyfile 257, 446 ldap 436 ssl-keyfile-label 257, 446 ldap 436 ssl-keyfile-pwd 257, 446 ldap 437 ssl-keyfile-stash 257, 446 ssl-listening-port 42, 452 ssl-max-entries 147, 170, 448 ssl-pwd-life 452 ssl-qop-mgmt 40, 480 ssl-v2-timeout 147, 447 ssl-v3timeout 448 ssl-v3-timeout 147 sslauthn 168 sso-consume 276, 462 sso-create 276, 462 stanza acnt-mgt 98 stanza aznapi-configuration 42, 113 stanza cgi-environment-variables 493 stanza cgi-types 84, 493 stanza content-caches 85 stanza e-community-domain-keys 295, 478 stanza filter-url 321, 506 stanza ltpa-cache 359 stanza ssl-qop-mgmt-default 40, 481 stanza ssl-qop-mgmt-hosts 41, 480 stanza ssl-qop-mgmt-networks 41, 480 stanza uraf-ad en activedir.conf 439 stanzas uraf-ad en activedir.conf 439 uraf-domino 442 stepup-login 98, 135, 489 stepuplogin.html 99, 135 su-admin, atributo ampliado 218 su-admins, grupo 208, 210 su-cdsso 463 su-certificate 463 su-excluded, grupo 210 su-http-request 463 su-kerberosv5 463 su-passwd 462 su-token-card 463 suauthn 211 substring 512 suppress-server-identity 76, 429 switch-user 98, 490
switchuser.html
99
234
T
tabla de correlaciones de conexiones 325 tagvalue_ atributos 240 tagvalue_user_session_id 381 tarea de servidor pdadmin (uniones) 308 terminar sesin de usuario nica 382 terminar todas las sesiones de usuario 383 threads de trabajo asignacin global 45 asignacin por unin 46 gestin 44 imparcialidad de uniones 45 uniones 45 WebSEAL 44 timeout 148, 227, 231, 233, 482 tipo, MIME 88 tipos de archivos de base de datos de claves 254 tipos de datos de ID de sesin 153 tipos de datos de sesin 144 tipos de documentos para el filtrado de direcciones URL 87 tipos MIME, especificacin para el filtrado de direcciones URL 87 token-auth 179, 456 token-cdas 180, 461 token-login 98, 489 tokenauthn 180 tokenlogin.html 99, 234 TRACE de HTTP, habilitar 76 Transport Layer Security (TLS) 31
U
ubicacin de bases de datos de autorizaciones replicadas 42 ubicacin de rplicas de base de datos de autorizaciones 42 uniones -b filter 352 -b gso 353 -b ignore 352 -b supply 351 aplicacin de permisos 341 asignacin de threads de trabajo (-l) 46 asignacin de threads de trabajo (-L) 46 autenticacin con cabecera de BA (-B, -U, -W) 313 autenticacin de certificado 341 autenticadas mutuamente (-D, -K, -B, -U, -W) 312 certificado de cliente (WebSEAL) (-K) 313 certificado de cliente de WebSEAL (-K) 313 coincidencia de Nombre distinguido (DN) (-D) 312 conservar nombres de cookies de aplicacin 329 consulta de comandos 537 cookie de sesin al servidor de portal (-k) 333 cookie de unin, evitar conflictos de denominacin 317 cookies a travs de mltiples uniones -j 327 de WebSEAL a WebSEAL (-C) 317 direcciones URL no sensibles a maysculas y minsculas (-i) 334 directrices para la creacin 304 especificacin del UUID de fondo (-u) 335 especificar direccin IP en cabeceras HTTP (-r) 332 especificar identidad del cliente en cabeceras HTTP (-c) 331
ndice
555
uniones (continuacin) filtrado de direcciones URL absolutas con filtrado de scripts 321 filtrado de direcciones URL en las respuestas 320 forzar una nueva unin (-f) 83, 330 global sign-on (GSO) 354 HTTP/1.0 y 1.1, respuestas 342 impacto de las opciones -b en las uniones autenticadas mutuamente 314 inicio de sesin nico con formularios (-S) 367 LTPA (-A, -F, -Z) 358 modificacin de direcciones URL en aplicaciones de fondo 318 montaje de varios servidores 341 opcin de host (-h) 309 opcin de tipo (-t) 309 opciones gso (-b gso, -T) 356 opciones necesarias 309 pdadmin server task 308 procesar direcciones URL relativas al servidor con correlacin de uniones 325 proceso de direcciones URL en las solicitudes 323 proceso de las direcciones URL relativas al servidor con cookies (-j) 324 query_contents 344 sistemas de archivos Windows (-w) 338 soporte para uniones con informacin de estado (-s, -u) 335 tabla de correlaciones de conexiones 325 uniones de proxy (-H, -P) 316 utilizar WPM 306 visin general 304 uniones autenticadas mutuamente 312 uniones con informacin de estado 335 uniones WebSEAL, vase uniones 303 unix-group 423 unix-pid-file 423 unix-user 423 unknownicon 84, 496 uraf-domino 442 URL acerca de las rutas de acceso absolutas 319 acerca de las rutas de acceso relativas 319 acerca de las rutas de acceso relativas del servidor 319 codificacin nica 51 especificacin de tipos MIME de documentos para el filtrado 87 informacin sobre tipos de ruta de acceso 319 modificacin de direcciones URL en recursos de fondo 318 opciones de filtrado 319 tabla de correlaciones de uniones 325 uso de cookies de unin 324 use-same-session 151, 152, 483 use-utf8 56, 57, 279, 299, 467, 472, 477 useEncryption, Active Directory 440 user-and-group-in-same-suffix 438 user-dir 486 User Registry Adapter Framework (URAF) 439 user-session-ids 249, 380, 484 usuarios no autenticados, controlar 141 utf-8 conversin de datos 49 impactos en la autenticacin 51 problemas de actualizacin 52 programas CGI 50
utf8 cabeceras HTTP de unin 339 cdsso 279 datos de auditora 117 datos de registro 122 ecsso 299 inicio de sesin de mltiples bytes macros HTML 101 mensajes de servicios 109 programas CGI 373 uniones 57 visin general 48 utf8_bin 58 utf8-form-support-enabled 54, 428 utf8temnplate-macros-enabled 101 utf8-qstring-support-enabled 55, 428 utf8-template-macros-enabled 487 utf8_uri 58 utf8-url-support-enabled 53, 427 utilidad de estadsticas 105 utilidad de rastreo (trace) 105
161
V
vaciado de cachs 86 valor de indicador 238, 381 variables de entorno de WIN32, soporte verify-step-up-user 140, 459 VeriSign, servicio de perfiles 401 vf-argument 296, 476 vf-token-lifetime 298, 476 vf-url 297, 476 373
W
warning.log 108 Web Portal Manager 5 gestionar conexiones 306 WebSEAL directorio raz del rbol de documentos 82 en espacio de objetos 82 estadsticas 105 HTTP/1.1, respuestas 342 inicio y detencin del servidor 80 rastreo 105 server-name 82 visin general 1 WebSEAL, cach de credenciales/sesin de configuracin 147 visin general 146 webseal-cert-keyfile 255, 445 webseal-cert-keyfile-label 29, 38, 255, 341, 445 webseal-cert-keyfile-pwd 255, 445 webseal-cert-keyfile-stash 255, 445 webseal-mpa-servers, grupo 205 WebSphere desplegar el servicio de recuperacin de atributos WebSphere LTPA 358 worker-thread-hard-limit 46, 503 worker-thread-soft-limit 46, 503 worker-threads 44, 45, 424 WPM conexiones, gestionar 306
402
556
SC10-9835-00